Stratégie

Comment Airbus a bâti sa cybersécurité

Pascal Andrei, directeur de la sécurité d'Airbus, a posé 25 conditions avant d'accepter le passage à G Suite (photo DR).

Avec son Codir et en coopérant avec ses concurrents, Pascal Andrei, directeur de la sécurité d'Airbus, a installé sa cybersécurité.

PublicitéPascal Andrei est directeur de la sécurité d'Airbus, responsable à la fois de la sécurité physique et de la cybersécurité. Vingt ans en arrière, le groupe aéronautique ne parlait pas de cybersécurité, seule la sécurité des vols l'accaparait, avec son lot de normes internationales à respecter. L'A380 a changé la donne. « C'était le premier avion communicant dans la mesure où il contenait des routeurs Cisco, du WiFi, Windows (pas sur les commandes de vol), explique Pascal Andrei. On a également embarqué de la PKI, mais pour cela il a fallu créer un standard, rien n'existait, et ce standard a même été adopté par Boeing ». Ce fut le début d'une coopération avec l'américain en matière de cybersécurité.

Pour cette coopération inédite avec ses concurrents, Airbus a créé une communauté : ASUP, Aircraft Security User's Panel. Lancée il y a dix ans, elle regroupait une dizaine de compagnies, aujourd'hui, c'est soixante-dix participants, des compagnies mais aussi des autorités publiques responsables de la sécurité, comme la gendarmerie française ou la Conférence européenne de l'aviation civile. L'ASUP lors de ces rendez-vous travaille sur tous les sujets de sécurité, physique ou logique, par exemple : la détection des menaces à bord, la gestion des crises en particulier sur le terrorisme, la coopération avec les sous-traitants sur les sujets de sécurité, la biométrie. « On s'installe régulièrement une semaine autour d'une table, pour étudier tous les sujets de sécurité et la coopération possible entre nous, on s'échange beaucoup d'informations, sauf celles tenant au marketing client », note Pascal Andrei.

Le white net, par opposition au dark net

« A ma connaissance, remarque Philippe Trouchaud, Partner au sein du cabinet Pwc, c'est le seul exemple au monde de coopération entre entreprises concurrentes pour faire progresser leur sécurité ». Ce qu'on nomme désormais le white net, par opposition au dark net. Le white net, c'est l'aspect positif de l'internet, celui où la coopération se fait au grand jour entre parties prenantes, quels que soient les antagonismes pour coopérer ensemble.

Parallèlement, Airbus a lui-même beaucoup évolué sur le sujet. Au début des années 2 000 raconte Pascal Andrei, pour convaincre son Codir de l'intérêt des sujets de cybersécurité, il a recruté une équipe de hackers, qui ont réussi à pénétrer en partie le système d'information. Cette démonstration faite, le Codir était convaincu de l'urgence des questions de cybersécurité. « Il faut toujours trouver les arguments qui leur parlent, la mesure des dégâts éventuels ou les cyberassurances sont de bons leviers pour intéresser les membres d'un Codir ».

La longue validation de G Suite

PublicitéPlus récemment, le groupe a décidé au plus haut niveau, celui du patron mondial Tom Enders de passer de Microsoft à Google pour ses postes de travail. « J'ai été longtemps à me décider avant de donner mon accord, nous confie Pascal Andrei. Mes collègues CDO et export control manager a fait de même. J'ai posé 25 conditions avant de conclure cet accord et jusqu'au bout je n'ai pas cédé, seuls des points mineurs ont été accordés. J'ai des juristes dans mon équipe sécurité, l'une d'elles s'est mobilisée à plein temps pendant plusieurs mois sur cet accord ».

Autre point de vigilance notable, la gestion des talents. « Il y a le recrutement souligne Pascal Andrei, et la capacité à retenir les talents, un sujet aussi important. Les ressources humaines sont dans mon équipe, pour détecter ceux qui pourraient partir. La solution, c'est de répartir le travail des hackers, les mettre à 50% sur un projet et leur laisser un peu de liberté pour garder le contact avec leur communauté. Si le hacker, trop mobilisé par un projet, perd contact avec sa communauté, en six mois il est mort. Et ce sont eux nos meilleures recrues. Si vous les coupez de leur communauté ils se dévalorisent et partent ». Ils sont une quarantaine à l'heure actuelle chez Airbus.