Pourquoi les compagnies aériennes sont-elles une cible privilégiée des cyberattaques ?

De récentes cyberattaques de grande envergure contre American Airlines et Japan Airlines ont mis en évidence les vulnérabilités du secteur aérien et souligné la nécessité de renforcer les mesures de cybersécurité. 

Le 26 décembre 2024 au matin, Japan Airlines (JAL) a commencé à rencontrer des dysfonctionnements dans ses systèmes. En fin de compte, la compagnie aérienne a découvert que ces systèmes défectueux étaient le résultat d'une cyberattaque. Bien qu'aucune donnée n'ait été divulguée, l'attaque a provoqué d'importants retards et l'arrêt de la vente des billets, entraînant des pertes commerciales et une perte de confiance de la clientèle.

La cyberattaque survenue pendant la période des fêtes pour Japan Airlines a eu lieu quelques mois seulement après l'accès à des données clients d'American Airlines par des pirates. La compagnie aérienne basée aux États-Unis a signalé que l'attaque survenue en juillet 2024 a pu compromettre les dates de naissance, les numéros de permis de conduire et de passeport, ainsi que les informations médicales d'un petit groupe de clients.

Ces cyberattaques rappellent de manière frappante les risques posés par les acteurs malveillants sophistiqués, qui adaptent constamment leurs tactiques pour exploiter les failles des systèmes des compagnies aériennes. Alors que le secteur aérien continue d'adopter des technologies telles que l'intelligence artificielle (IA), le cloud computing et l'Internet des objets (IoT), la surface d'attaque pour les cybercriminels s'élargit. Il est donc impératif pour les compagnies aériennes de garder une longueur d'avance dans leurs efforts de cybersécurité.

Les compagnies aériennes sont souvent la cible de cybercriminels, notamment pour les raisons suivantes :

• Complexité opérationnelle
• Valeur élevée des données
• Interruption opérationnelle
• Motivations géopolitiques
• Exploitation de la confiance

Les opérations des compagnies aériennes sont intrinsèquement complexes en raison des exigences réglementaires strictes du secteur aérien et de la dépendance à des systèmes vastes et interconnectés. Pour répondre à leurs nombreux besoins spécifiques, les compagnies aériennes s'appuient généralement sur une chaîne d'approvisionnement mondiale composée de fournisseurs et de prestataires divers. Cela nécessite que leurs systèmes opérationnels soient interconnectés et accessibles à des tiers. Toute perte de connectivité peut avoir un impact opérationnel majeur, notamment des retards et annulations de vols.

Les données sur les passagers, y compris les habitudes et préférences de voyage, sont très lucratives pour les cybercriminels. Si ce type de données personnelles fait l'objet d'une violation de données, elles peuvent être monétisées directement ou utilisées pour des campagnes d'hameçonnage ciblées.

Les compagnies aériennes dépendent de la fluidité des opérations. Les cybercriminels et les pirates exploitent cette dépendance pour lancer des cyberattaques et des attaques par ransomware, sachant que les compagnies aériennes sont susceptibles de payer de lourdes rançons pour restaurer leurs opérations rapidement ou pour garantir la sécurité des données.

Les compagnies aériennes sont souvent ciblées pour des raisons géopolitiques, les pirates commandités par un État cherchant à recueillir des renseignements ou à perturber les infrastructures nationales.

Les compagnies aériennes sont des entités de confiance et toute perturbation opérationnelle ou violation de données peut ternir leur réputation et éroder la confiance des passagers, offrant ainsi aux attaquants un levier sur l'organisation victime.

Pour contrer la menace croissante des cyberattaques, les compagnies aériennes devraient envisager d'adopter une stratégie de cybersécurité multicouche. Voici quelques mesures que les compagnies aériennes peuvent prendre pour améliorer leur sécurité :

• Migrer vers une architecture de sécurité Zero Trust
• Utiliser la segmentation du réseau pour limiter l'impact des cyberattaques
• Améliorer la formation et la sensibilisation des collaborateurs
• Mettre à niveau les systèmes obsolètes
• Élaborer un plan de réponse aux incidents
• Collaborer avec d'autres compagnies aériennes, organismes de réglementation et organisations de cybersécurité

Dans un réseau Zero Trust, aucun utilisateur ou terminal n'est automatiquement considéré comme fiable, même s'il fait déjà partie du réseau ou a été authentifié auparavant. La mise en œuvre d'une approche Zero Trust garantit que chaque terminal et chaque utilisateur (qu'il s'agisse de collaborateurs, de partenaires ou de sous-traitants) est authentifié et autorisé avant que l'accès au système ne soit accordé. Cela réduit le risque d'accès non autorisé à des données sensibles par des cybercriminels se faisant passer pour des utilisateurs légitimes. 

Aux États-Unis, la Transportation Security Administration (TSA) a publié des directives spécifiques concernant les exigences en matière de cybersécurité pour les exploitants d'aéroports et d'aéronefs. Ces directives imposent aux compagnies aériennes de mettre en place des mesures de contrôle d'accès pour sécuriser et empêcher tout accès non autorisé à des systèmes stratégiques. Une approche pertinente consiste à éliminer l'utilisation des VPN pour l'accès aux applications et aux systèmes, et à les remplacer par une solution d'accès réseau Zero Trust (Zero Trust Network Access, ZTNA).

De nombreux incidents de cybersécurité et attaques par ransomware commencent lorsqu'un pirate exploite une vulnérabilité connue d'un système ou utilise l'hameçonnage pour s'introduire dans le réseau d'une compagnie aérienne. Une fois ce premier accès obtenu, les pirates ont tendance à se déplacer latéralement dans le réseau, en cherchant à accéder à d'autres ressources et à exploiter ou verrouiller d'autres systèmes avec un ransomware.

Heureusement, il existe un moyen d'empêcher les pirates de progresser davantage et de causer des dégâts supplémentaires une fois qu'ils se sont introduits dans un réseau : la segmentation. La TSA indique que les compagnies aériennes doivent élaborer des politiques et des contrôles de segmentation du réseau pour garantir que les systèmes technologiques opérationnels peuvent continuer à fonctionner en toute sécurité dans le cas où un système de technologie de l'information serait compromis, et inversement.

Les compagnies aériennes devraient envisager de déployer des solutions de microsegmentation capables d'empêcher les mouvements latéraux et de limiter l'étendue des dommages causés par une cyberattaque ou un ransomware.

Même si un seul employé est victime d'une attaque par hameçonnage, les conséquences peuvent être dévastatrices. Pour aider les employés à reconnaître les tentatives d'hameçonnage et autres tactiques d'ingénierie sociale, les compagnies aériennes devraient organiser régulièrement des sessions de formation. Elles devraient également former régulièrement leurs employés à la gestion des données sensibles et partager les meilleures pratiques pour sécuriser leurs terminaux. 

Le remplacement de systèmes obsolètes par une infrastructure moderne et sécurisée est une étape essentielle pour renforcer la résilience de toute entreprise, en particulier dans des secteurs comme l'aviation, où la sécurité et l'efficacité sont primordiales. Les systèmes hérités présentent souvent des vulnérabilités intrinsèques en raison de technologies dépassées, d'un manque de prise en charge et d'une compatibilité limitée avec les mesures de sécurité actuelles.

La mise à niveau vers des systèmes avancés améliore la fiabilité opérationnelle, l'évolutivité et la cybersécurité en intégrant des fonctionnalités, grâce à l'intégration de fonctionnalités telles que la surveillance en temps réel, la détection automatisée des menaces et des protocoles de chiffrement robustes.

En cas de cyberattaque, un plan de réponse solide aux incidents garantit un confinement et une reprise rapides tout en minimisant les dommages. Ce plan doit définir clairement les rôles, les procédures et les stratégies de communication, et il doit être testé régulièrement.

Le partage d'informations sur les menaces dans le secteur aérien peut jouer un rôle crucial dans le renforcement de la résilience collective face aux cybermenaces émergentes et dans la réduction de l'impact des cyberattaques. En favorisant les partenariats entre les compagnies aériennes, les aéroports, les organismes de réglementation et les organisations de cybersécurité, le secteur aérien peut construire une stratégie de défense unifiée. 

Les efforts collaboratifs permettent un échange rapide d'informations essentielles sur les vulnérabilités, les méthodes d'attaque et les stratégies d'atténuation, ce qui peut aider les parties prenantes à rester en tête par rapport aux adversaires.

Alors que le secteur aérien poursuit sa transformation numérique, l'écosystème des menaces évolue, augmentant la surface d'attaque et exposant de nouvelles vulnérabilités. Les compagnies aériennes doivent faire de la cybersécurité une priorité centrale de leurs opérations pour protéger les passagers, maintenir la confiance et garantir la continuité du service. 

Les récentes attaques contre American Airlines et Japan Airlines doivent servir de signal d'alarme, soulignant l'urgence de mettre en place des mesures de cybersécurité proactives pour protéger le ciel.