Aéronautique : comment renforcer la cybersécurité d'avions connectés ?

Alors que les avions commerciaux et particuliers sont plus connectés que jamais, identifier et traiter les failles potentielles de chaque système, interface et connexion de l'aéronef s'avère de plus en plus complexe pour les ingénieurs en cybersécurité. Pour y parvenir, ces derniers ont besoin d'un outil d'analyse de cybersécurité complet qui vérifie la sécurité au niveau du système en identifiant les vulnérabilités tout au long du cycle de vie.

Les avions de ligne commerciaux et les petits avions sont les appareils les plus exposés au piratage informatique, comme le révèle un récent rapport du Département américain de la sécurité intérieure. De plus en plus modernes, ces aéronefs sont dotés d’une connectivité sans précédent qui accroît leur vulnérabilité aux cyberattaques, telles que l’introduction de codes malveillants ou le piratage des données des systèmes de communication de l’avion.  Pour faire face à ces menaces, l’Agence européenne de la sécurité aérienne (EASA) a récemment renforcé les normes sur la cybersécurité pour la certification des réseaux et des systèmes électroniques.

Cependant, il est très difficile d’identifier et de traiter les failles potentielles de chaque système, interface et connexion de l’avion. Pour y parvenir, les ingénieurs ont besoin d’un outil d’analyse de cybersécurité complet qui vérifie la sécurité au niveau du système en identifiant les vulnérabilités tout au long du cycle de vie afin d’éliminer tous les risques. Mais alors, pourquoi est-il impératif que les constructeurs s’intéressent à cette technologie ?

Identifier les besoins spécifiques

Dans l’aéronautique plus que dans tout autre marché, gérer une attaque informatique après qu’elle a eu lieu peut avoir des conséquences désastreuses. Cependant, la prévention des attaques s’avère très complexe car le volume des composants numériques, des modules logiciels et des interconnexions devant être protégés dépasse les capacités de la plupart des équipes d’ingénierie. En effet, la plupart des outils utilisés actuellement ne permettent pas d’identifier les risques potentiels pendant les premières étapes de la conception. Par conséquent, l’évaluation de la sécurité nécessite beaucoup de main d’œuvre et devient, in-fine, très coûteuse. Les ingénieurs doivent résoudre les problèmes au stade du prototype ce qui peut retarder considérablement le développement de l’avion et ralentir sa mise sur le marché.

Toutefois, de plus en plus d’équipes s’appuient sur de nouveaux outils d’analyse de sécurité basés sur les modèles afin d’identifier et de traiter les vulnérabilités dans les architectures électroniques de l’avion, dès la phase de conception. Ces outils aident à répondre à des normes exigeantes telles que DO-178C, DO-297 et DO-254, pour la validation des systèmes aérospatiaux basés sur des logiciels. Ils permettent aux ingénieurs de modéliser les exigences de ces réglementations et de les intégrer au flux de travail, afin de détecter toutes les sources de cyber-attaques possibles, de prédire leur probabilité de survenance et leur impact afin de les éliminer.  

Cette approche par étapes réduit le besoin d’analyse manuelle lors de l’évaluation de la cybersécurité permettant à de petites équipes d’ingénieurs de rationaliser et d’accélérer cette étape, de générer rapidement des résultats précis et d’écarter le risque d’erreur humaine.

Rester vigilant aux nouvelles menaces

En matière de cybersécurité, ce qui est reconnu comme sûr aujourd’hui ne le sera peut-être plus demain. Pour faire face à l’évolution permanente des menaces, le processus d’identification, d’évaluation, d’actualisation et de correction doit être continu tout au long du cycle de vie de l’aéronef, depuis le développement à l’exploitation et à la maintenance.

Néanmoins, le suivi de ces menaces et l’évaluation de la probabilité d’une attaque restent des défis importants. Les ingénieurs doivent déterminer le niveau de connaissance des utilisateurs des systèmes, connaître et comprendre les technologies utilisées par les attaquants et estimer avec précision la probabilité que ces technologies portent atteinte à un système donné. Ces étapes sont essentielles pour permettre aux équipes d’étudier les contre-mesures de cybersécurité possible dès la conception.

Pour y parvenir, les entreprises doivent utiliser des outils d’analyse des menaces pour effectuer des analyses de risques systématiques et reproductibles avec un catalogue qui enregistre les vulnérabilités et les menaces connues. Grâce à ces catalogues qui recueillent et stockent les connaissances du marché, les équipes peuvent analyser les différents domaines victimes d’attaques, intégrer ces données aux évaluations de cybersécurité, en déduire de nouvelles exigences de sécurité, mettre à jour les catalogues et réévaluer précisément les risques. Par exemple, la publication d’une nouvelle menace dans un catalogue peut mettre à jour la vulnérabilité de certains composants. L’outil d’analyse va alors examiner l’architecture afin de décrypter le système auquel les composants sont connectés, évaluer la vulnérabilité et renseigner précisément sur le niveau de risque. Sans cet outil, il est extrêmement difficile d’identifier tous les systèmes pouvant être affectés en cas de piratage d’un composant.

En définitive, ces technologies permettent de réduire le temps de développement des nouveaux systèmes tout en assurant la cybersécurité des avions en service.

Délivrer le bon niveau de sécurité

Le défi de la cybersécurité aérospatiale implique également la recherche du bon équilibre. D’un côté, les ingénieurs ne doivent pas sous-estimer les risques réels, sous peine d’introduire de nouvelles vulnérabilités. De l’autre, ils doivent éviter à tout prix la sur-ingénierie en dotant les systèmes de caractéristiques de sécurité supplémentaires qui les rendraient trop coûteux et difficiles à entretenir, ou qui pourraient engendrer de nouvelles menaces.  L'utilisation d'un outil d'analyse de la sécurité basé sur un modèle permet de répondre à cet objectif et permet d’accélérer le développement d’avions hautement sécurisés, conformes aux normes industrielles et rentables.