Perspectives
Renforcer la cybersécurité dans les domaines aérospatial et militaire : les meilleures avenues
Prendre son envol, en toute sécurité
Et si des pirates informatiques pouvaient causer l'écrasement d'un avion? Prendre le contrôle d'un drone militaire, interférer avec un satellite ou accéder aux informations de la chaîne d'approvisionnement d'une entreprise aérospatiale? Ces scénarios peuvent sembler futuristes, mais la réalité est que certains d'entre eux se produisent déjà à l'heure actuelle. Ces dernières années ont été le théâtre d’un nombre croissant d’incidents de cybersécurité dans le milieu de l’aérospatiale et de la défense. L’engouement exponentiel pour l’infonuagique, l’Internet des objets et l’intelligence artificielle (IA) a entraîné une dépendance accrue à la technologie. Qui plus est, l’étendue numérique croissante ouvre plus de portes aux cyberattaques potentielles, et donc à des perturbations majeures. C’est sans compter le raffinement des attaques – piratage psychologique ou attaque du jour zéro, par exemple – qui passent sous le radar des mesures de sécurité traditionnelles.
Les brèches de cybersécurité touchent tous les secteurs. Dans l’Aérospatiale et la défense, elles sont encore plus lourdes de conséquences, étant donné la présence de données sensibles (information classifiée sur des opérations et technologies militaires, par exemple) et d’infrastructures essentielles (chaînes d’approvisionnement, systèmes de communication, réseaux satellites, réseaux de transport, etc.). Les conséquences d’une brèche peuvent donc se répercuter gravement sur la sécurité nationale et les opérations de défense ou porter atteinte à l’avantage technologique d’un pays.
Ces risques sont au cœur des préoccupations de la Défense nationale canadienne lorsqu’il est question de préparer sa capacité militaire future. « Le modèle canadien de développement de la capacité militaire s’attarde particulièrement à la résilience en cybersécurité. Nous sommes conscients que l’on peut avoir affaire à un adversaire compétent et tenace; nos capacités et nos technologies militaires doivent donc être sécurisées, fiables et encore inexploitées, pour nous donner l’avantage », explique l’ancien vice-amiral Darren Hawco, conseiller de direction chez Deloitte Canada.
Conséquemment, les pirates informatiques semblent maintenant miser sur quatre objectifs clés : le vol de propriété intellectuelle, l’infiltration dans les réseaux des fournisseurs de l’aérospatiale et de la défense pour affaiblir les chaînes d’approvisionnement, l’atteinte au matériel, et les attaques par logiciel de rançon ou d’autres attaques à des fins lucratives.2
L’essor des risques : inévitable
Jason Hunt, gestionnaire principal aux Conseils en gestion des risques de Deloitte États-Unis, indique : « Les processus d’opérations et de fabrication intelligents mis en place demandent une connectivité accrue. Nous devons absolument penser cybersécurité, parce que c’est cette même connectivité qui peut permettre à un intrus de s’infiltrer dans les vulnérabilités des systèmes industriels. » Ces risques ne sont qu’amplifiés par la dernière version de ChatGPT (GPT-4) et les avancées constantes en informatique quantique offrent de nouveaux points d’accès aux cyberattaques.
« On pourrait utiliser ChatGPT pour générer un code malveillant ou des courriels hameçons plus sophistiqués, des campagnes de désinformation ou de mésinformation, ou encore faire de l’hypertrucage (deep fake) », observe Kimberly Sablon, directrice principale en IA de confiance et autonomie, au bureau de recherche et d’ingénierie du sous-secrétaire américain à la défense. La spécialiste a récemment abordé ces enjeux lors de la Pacific Operational Science & Technology Conference à Hawaï.3
Au fil des progrès technologiques, les risques de cybersécurité pourraient se multiplier : tant l’État que les organisations privées doivent mettre en œuvre des mesures de protection efficaces.
Investir dans la cybersécurité à tous les échelons
Une cybersécurité efficace nécessite une approche organisationnelle privilégiant les talents et favorisant une culture de la sécurité à tous les échelons. Cela signifie que l’ensemble du personnel, de la haute direction aux nouvelles recrues, doit saisir l’importance de la cybersécurité et connaître son rôle dans le maintien d’un milieu sécurisé.
Ce genre d’approche multiéchelle renforce la cybersécurité des organisations de plusieurs façons. Elle assure l’engagement de la direction ainsi que la formation du personnel sur les risques et les meilleures pratiques. Elle garantit aussi un contrôle de l’accès aux données et aux systèmes sensibles, la mise à jour et les correctifs logiciels et système (ou d’autres formes de contrôle en l’absence de correctifs), la mise en place d’un plan d’intervention en cas d’incident informatique et le suivi constant des systèmes et des réseaux (voir la figure 1).
L’architecture d’entreprise : une priorité
L’architecture d’entreprise (AE) désigne le cadre stratégique de planification et de gestion utilisé par les organisations pour faire concorder leurs objectifs d’affaires et leurs infrastructures et investissements technologiques. Une AE réfléchie et résiliente devrait être le pendant d’une culture d’entreprise forte. Elle permet aux entreprises d’avoir une vue d’ensemble de tous leurs systèmes et processus TI, pour qu’elles puissent détecter les failles potentielles et implanter des stratégies de cybersécurité plus efficaces (voir la figure 2 pour quelques suggestions).
« Souvent, les réseaux ne sont pas assez segmentés pour contenir les dommages en cas de cyberattaque, explique Jason Hunt. Il n’y a pas de processus ou d’outils pour assurer le suivi de la sécurité – c’est-à-dire que l’on ignore qu’un problème est survenu jusqu’à ce qu’il se répercute concrètement sur le processus de production – et la gestion des accès n’est pas faite de façon assez rigoureuse. »
« C’est cette absence de contrôles qui attire de plus en plus les pirates vers les milieux industriels. Nous avons d’ailleurs vu en 2022 une augmentation de 87 % des attaques par logiciels de rançon contre des organisations, et une augmentation de 35 % du nombre de groupes de pirates usant de ce type d’attaque en visant les réseaux et les systèmes de production. » 4
Gestion et atténuation des risques de cybersécurité
La sensibilisation aux risques grandissants, une équipe bien préparée, une culture de sécurité multiéchelle et l’AE peuvent contribuer à renforcer l’importance de la cybersécurité chez le personnel et dans l’organisation, en plus d’offrir un cadre général pour une gestion efficace des risques de cybersécurité en entreprise. La clé de ce dispositif ? La collaboration.
« La coopération entre les organisations aérospatiales et de défense est essentielle pour garder une longueur d’avance. L’adoption de plateformes automatisées de renseignement sur les menaces au sein de la communauté est fortement recommandée, constituant un cercle de confiance et un mécanisme pour partager les dernières menaces; ainsi que des renseignements exploitables pour aider à prévenir, à détecter et à réagir aux cybermenaces », témoigne Alejandro Campos, associé en Cybersécurité dans l’Aéronautique et la Défense chez Deloitte.
En tant que troisième pôle aérospatiale au monde, le Canada, qui a aussi l’un des plus grands bassins de spécialistes en cybersécurité, a un rôle majeur à jouer dans la protection des données, des chaînes d’approvisionnement et des autres grandes infrastructures sensibles à l’échelle nationale. 5
- « Sécurité de l’Internet des objets – ITSAP.00.012 », Conseils sur la cybersécurité, Centre canadien pour la cybersécurité, juillet 2022.
- « La cybermenace provenant des chaînes d’approvisionnement », Conseils sur la cybersécurité, Centre canadien pour la cybersécurité, modifié le 8 février 2023.
- « Just in: Pentagon’s top AI official addresses ChatGPT’s possible benefits, risks », Stew Magnuson, National Defense, 8 mars 2023.
- « Ransomware attacks on industrial firms increased by 87% in 2022 », Financial Post, 14 février 2023.
- « Canada – Aerospace and defense », International Trade Administration, Département du Commerce des États-Unis, mis à jour en août 2022.
Contributrices
Leslie Guerin
Manager Stratégie d'entreprise Deloitte
Monitor Deloitte
Avis de non-responsabilité
La présente publication ne contient que des renseignements généraux, et Deloitte n’y fournit aucun conseil ou service professionnel dans les domaines de la comptabilité, des affaires, des finances, du placement, du droit, de la fiscalité, ni aucun autre type de service ou conseil. Ce document ne remplace pas les services ou conseils professionnels et ne devrait pas être utilisé pour prendre des décisions ou mettre en œuvre des mesures susceptibles d’avoir une incidence sur votre entreprise. Avant de prendre des décisions ou des mesures qui peuvent avoir une incidence sur vous ou votre entreprise, vous devriez consulter un conseiller professionnel reconnu. Deloitte ne peut être tenu responsable de toute perte subie par une personne qui se serait fiée à cette publication.