Par nature, le secteur de l’aéronautique et de la défense se trouve fortement exposé aux risques, mais a su développer des approches éprouvées pour les anticiper, les maîtriser, et faire de l’avion l’un des moyens de transport les plus sûrs au monde. Cependant, plusieurs évolutions récentes fragilisent la sécurité de certains maillons de la filière – donc la filière toute entière. De fait, la cyber-résilience de l’industrie aéronautique et de la défense française et européenne présente des vulnérabilités préoccupantes. Sous peine d’exposer celle-ci à de graves conséquences, une mobilisation concertée des diverses parties prenantes apparaît indispensable.

La prévalence d’un niveau élevé de risques constitue l’une des données fondamentales du secteur de l’aéronautique et de la défense. Secteur régalien, il présente un intérêt géostratégique majeur pour les Etats, dont il détermine la puissance militaire, ainsi que la vitalité technologique et industrielle. C’est un secteur qui draine des flux financiers considérables. Il implique une kyrielle d’acteurs tout au long de chaînes de valeur étendues. Structurellement, il cumule des risques multiples : espionnage, contrefaçon ou compromission de produit, vol de propriété intellectuelle, malveillance, débauchage de compétences clefs, etc. – susceptibles d’être encore amplifiés par le risque d’opinion. La cartographie des risques du secteur est donc toujours apparue chargée, mais restait jusqu’à ces dernières années relativement connue et maîtrisée.

Or plusieurs facteurs concourent aujourd’hui à une « montée des périls » insuffisamment perçue et traitée par certains acteurs. D’abord, l’ouverture du jeu concurrentiel voit émerger de nouveaux acteurs internationaux, mus par les ambitions et forts du soutien de leurs Etats d’origine. Ensuite, l’évolution du modèle industriel de la filière élargit la surface d’exposition au risque. Sur le plan géographique d’une part, l’implantation dans de nouvelles régions – où la gestion des risques peut s’avérer plus complexe – devient souvent inévitable, soit pour déverrouiller l’accès au marché, soit en réponse à des contraintes de rentabilité. Sur le plan temporel d’autre part, l’allongement du cycle de vie des produits accroît la probabilité d’une attaque, lors de la mise à jour d’un programme de navigation par exemple. Il faut mentionner aussi l’essor d’un terrorisme « de masse » vraisemblablement appelé à s’inscrire dans la durée. Mais c’est surtout le facteur technologique qui change la donne. La digitalisation généralisée du secteur multiplie les points d’entrée potentiels pour des acteurs malveillants, telles par exemple les plateformes de développement collaboratives. Elle créé de nouvelles vulnérabilités, tant au niveau des systèmes de conception, de production et de maintenance au sol, que des systèmes embarqués – de navigation notamment.

Si ces menaces accrues sont assez largement prises en compte par les pouvoirs publics et les grands acteurs de la filière, elles dépassent en revanche souvent les moyens financiers et humains des sous-traitants de rang 2, 3 ou ultérieurs. Or la robustesse de tout système est conditionnée par celle du plus faible de ses maillons. Les principaux donneurs d’ordre doivent donc endosser la responsabilité de sensibiliser aux enjeux de cyber-sécurité tous les acteurs en amont de leur chaîne de production. Cette démarche touche essentiellement la dimension culturelle, ce qui implique une transformation en profondeur. Parmi les principaux axes d’action : adopter une démarche intégrée qui ne se cantonne pas aux murs d’une entreprise mais englobe son écosystème ; aborder la problématique sécuritaire sous l’angle stratégique et managérial, et pas uniquement technique ; favoriser le retour d’expérience au sein de la filière – comme cela se pratique aux Etats-Unis où les incidents de sécurité sont moins tabous, et où en retour, le degré de sensibilisation apparaît supérieur. Pour les ETI et PME sous-traitantes, se protéger efficacement pourra nécessiter l’accompagnement d’un tiers de confiance, afin d’optimiser leurs investissements et de préserver leur indépendance face aux grands donneurs d’ordre, qui souvent sont eux-mêmes également prestataires de solutions de cyber-sécurité.

Mieux prendre, collectivement, la mesure des risques de cyber-sécurité aurait aussi une autre vertu, celle de contribuer au développement d’acteurs français et européens sur des marchés en forte croissance : protection des systèmes d’information critiques, gestion d’identité en environnement collaboratif, chiffrement de données, ou encore détection d’attaques ciblées. De nombreux groupes européens se positionnent à l’heure actuelle sur ces créneaux : Airbus Defense&Space, Thales, Safran via sa filiale Morpho, Finmeccanica, BAE, etc. La France et d’autres pays européens possèdent par ailleurs des savoir-faire de pointe et de nombreuses start-ups dans le secteur de la sécurité des systèmes d’information. Sur la base de ces atouts, favoriser l’émergence de champions continentaux – par exemple en réduisant la fragmentation réglementaire au niveau de l’UE – permettrait de valoriser ces gisements de croissance potentielle tout en protégeant mieux les actifs d’un secteur industriel crucial pour la compétitivité de l’Europe.

Si ce sujet vous intéresse, n’hésitez pas à me contacter.