Cybersécurité : les aéroports nouvelles cibles des cyber-attaques

Les aéroports ne sont plus simplement des espaces d’échanges et des portes de transit, ils sont devenus des centres névralgiques de technologies avancées. Nombre de données circulent dans un aéroport : des données personnelles des passagers aux détails des vols en passant par la gestion du trafic aérien et une multitude de transactions bancaires…

Les aéroports sont devenus ainsi des cibles attrayantes pour les cybercriminels car ils combinent à la fois des données sensibles et des systèmes critiques pour la sécurité et la sûreté. Ils présentent ainsi une vulnérabilité et une surface d’attaque importante qui nécessite de prévenir et d’agir face à la menace cyber.

Les aéroports une cible privilégiée des cyberattaques dont les conséquences sont lourdes

Le 15 mars 2023, un groupe cybercriminel appelé Anonymous Sudan, a lancé des cyberattaques contre Aéroports de Paris ainsi que les aéroports de Paris-Vatry, de Marseille, de Lyon et de Bordeaux. Récemment trois de ces aéroports se sont trouvés en panne après un déni de service.

Ce groupe a justifié ces cyber-attaques par la publication des caricatures de Mahomet par le journal satirique Charlie Hebdo.

Cet acte souligne une vérité de plus en plus incontestable : les aéroports sont devenus des cibles privilégiées pour les cybercriminels.

En effet, les aéroports, bien plus que de simples carrefours de transit, sont des symboles puissants. Ils incarnent la souveraineté des États et sont des vitrines de leur modernité et de leur connectivité avec le reste du monde. L'impact d'une attaque réussie sur de tels lieux est donc démultiplié, touchant non seulement à la sécurité et à la fluidité des opérations, mais aussi à l'image et à la réputation de l'État qu'ils représentent.

Toutefois, les menaces à la cybersécurité ne proviennent pas toujours de l'extérieur, dans un contexte marqué par l’explosion des attaques par rebonds. Pour rappel, les attaques informatiques dites par rebond consistent à utiliser un ou des systèmes intermédiaires, participant à leur insu à l’attaque, et permettant à un cyber assaillant de dissimuler son identité.

Récemment, Nuctech, une entreprise chinoise spécialisée dans la fabrication de scanners à rayon X et de portiques de sécurité a décroché plusieurs contrats publics avec des aéroports français, notamment ceux de Brest, Quimper, Bordeaux, Toulouse, Lille et Nouméa.

Dans ce contexte, la proximité de Nuctech avec l'État chinois a soulevé des inquiétudes quant à la sécurité et la confidentialité des données qu'elle pourrait avoir en sa possession. Le fait que cette entreprise soit en mesure de gérer des informations sensibles au sein d'infrastructures critiques a amené plusieurs élus français à exprimer publiquement leurs préoccupations.

Parmi ces voix figurent celles d'Éric Bothorel, député des Côtes-d'Armor, et de Nathalie Loiseau, députée européenne. Ils ont tous deux exprimé des réserves quant à la possibilité que des données sensibles d'européens deviennent accessibles à des puissances étrangères.

Ces préoccupations mettent en lumière l'importance de la vigilance lors de la sélection des sous-traitants et des fournisseurs de services pour les infrastructures aéroportuaires, soulignant une fois de plus la complexité et la portée globale du défi de la cybersécurité dans le secteur de l'aviation.

Les mesures mises en place par les aéroports pour augmenter leur résilience opérationnelle

L’escalade des cyberattaques a conduit les législateurs, tant au niveau français qu’européen, à instaurer des normes spécifiques en matière de cybersécurité.

La réponse contre les cybermenaces se traduit par une approche en deux temps : la prévention des attaques et la réactivité en cas de crise.

Les aéroports, comme toute organisation traitant des données personnelles dans l'UE, doivent d’abord se conformer au RGPD.

Le RGPD va bien au-delà d’une simple politique de confidentialité, il contraint notamment les aéroports à mettre en œuvre des mesures techniques et organisationnelles spécifiques pour garantir un niveau de sécurité adapté aux risques.

Le non-respect de ces obligations peut entraîner des sanctions financières importantes et un préjudice pour la réputation, ce qui renforce l'importance de ces mesures notamment pour tous les aéroports qui manipulent des données à caractère personnel.

En outre, la Directive 2022/2555, communément appelée NIS 2, qui doit être intégrée en droit national avant octobre 2024, désigne les aéroports comme des entités essentielles. Par conséquent, ils se trouvent soumis à des obligations spécifiques en matière de sécurité et de notification des incidents.

Dans ce contexte, les mesures a minima suivantes devront être mises en place :

Signalement des incidents de sécurité : Les aéroports disposeront de 24 heures à compter de la survenance de l’incident pour soumettre un premier signalement à l’ANSSI via un rapport préliminaire. Celui-ci devra être complété par un rapport final sous un délai maximum d’un mois.

Gestion des risques cyber : les aéroports devront porter une attention particulière à la formation de leurs décideurs à la gestion des risques. La directive NIS 2 souligne également l’obligation du corps managérial de contribuer au processus de validation des mesures de gestion des risques cyber.

Tests et audits de sécurité : les aéroports devront mener régulièrement des tests et des audits techniques, dont des tests d’intrusions et scans de vulnérabilités pour évaluer l'efficacité des mesures de sécurité déployées.

Enfin, la directive NIS 2 vient également renforcer le régime de sanction des entités assujetties. Les sanctions s’étendront de l’obligation de réalisation d’audits de sécurité et de mise en conformité jusqu’à des amendes administratives. Le mécanisme prévu pourra, selon les infractions, se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité concernée : 

***

Le département cybersécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droit des nouvelles technologies et de la communication et en droit de la propriété intellectuelle accompagne ses clients dans la gestion préventive du risque cyber ainsi que dans les réponses juridiques à apporter en cas de crise. Nos équipes se tiennent à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour en savoir plus, rendez-vous