Table of Contents
Le Groupe ADP a fait appel aux hackers Yogosha pour tester la sécurité numérique des équipements aéroportuaires. Rencontre avec son RSSI, Eric Vautier.
Eric Vautier est le RSSI du Groupe ADP ; c’est lui qui est en charge de la sécurité numérique des aéroports de Paris-CDG, Paris-Orly et Paris-Le Bourget. À l’écouter parler, on comprend que c’est bien plus qu’un travail, c’est une mission. Derrière son calme olympien, l’homme vibre de passion pour son domaine – l’aviation.
Nous nous sommes entretenus avec lui à l’occasion de tests de sécurité menés avec les hackers éthiques de la Yogosha Strike Force. Nous avons discuté cybersécurité et hacking éthique, mais aussi transformation numérique, smart airports et collaboration au sein de l’écosystème aéroportuaire. Si les avions ont la tête dans les nuages, Eric Vautier a les pieds bien sur terre.
Le Groupe ADP, de New Delhi à Santiago
C’est quoi, le Groupe ADP ? “Historiquement, c’est l’entité qui gère les trois aéroports autour de Paris : Paris-Charles de Gaulle, hub international, Paris-Orly et Paris-Le Bourget pour l’aviation d’affaires et les vols sanitaires” explique M. Vautier.
“Le Groupe ADP possède également l’ensemble des aérodromes d’aviation générale autour de Paris, comme Lognes-Émerainville et Pontoise-Cormeilles-en-Vexin. Ils reprennent aujourd’hui une haute importance dans le cadre des nouvelles mobilités, notamment avec les eVTOL (Electric Vertical Take-Off and Landing). Il y a d’ailleurs des tests de prototypes à Pontoise.”
Pour autant, le Groupe ADP ne se cantonne pas aux seules frontières franciliennes, ni même à celles de la France. Le RSSI poursuit :
“Aujourd’hui, le Groupe ADP a des participations dans vingt-huit aéroports dans le monde – en Jordanie, au Chili, en Croatie, en Turquie, en Inde… Mon rôle est à 95% sur les aéroports de Paris, et à 5% sur le reste du groupe. Ce sont des échanges de bonnes pratiques, car la structure actionnariale de chacun et les spécificités mêmes du modèle aéroportuaire font que deux aéroports ne sont jamais similaires, et les mesures de sécurité ne s’appliquent pas de la même manière.”
L’aviation, un continuum de sécurité
On ne vous apprendra rien en disant que la sécurité est un sujet de la plus haute importance dans le secteur aéroportuaire, y compris au sein du Groupe ADP.
“On est sur un domaine considéré comme hautement sensible, donc il y a une obligation de l’entreprise de donner des gages sur le niveau de sécurité au sens large : la sécurité physique, la sécurité aéronautique et la cybersécurité.” – Eric Vautier, RSSI du Groupe ADP
Ces trois axes constituent “le continuum de sécurité de l’aviation”.
- La sécurité physique représente les mesures prises pour protéger les passagers et les aéroports des menaces directes, comme les attaques armées ou les intrusions.
- La sécurité aéronautique englobe l’ensemble des mesures visant à réduire le risque aérien. Elle s’articule autour de 5 piliers, comme la circulation aérienne ou la formation du personnel navigant. La Direction de la sécurité aéronautique d’Etat a publié une page éclairante sur le sujet.
- La cybersécurité, enfin, constitue l’ensemble des moyens mis en œuvre pour assurer la sécurité des systèmes informatiques et des données des activités aéroportuaires.
Le cœur de métier de Yogosha étant la cybersécurité offensive, le reste de ce papier s’intéressera principalement au troisième pilier, la sécurité numérique. Néanmoins, il est important de savoir qu’elle est une brique qui s’intègre dans un tout. Une bonne sécurité est une sécurité globale, dans l’aéroportuaire peut-être plus qu’ailleurs.
Aviation, cybersécurité et réglementations
Il va sans dire que l’aviation est un domaine très réglementé – “on ne fait pas voler des avions sans un certain nombre de certifications” insiste M. Vautier. La cybersécurité ne fait pas exception à la règle. Sous la surveillance de la DGAC et de l’ANSSI, les aéroports sont ainsi régis par un certain nombre de réglementations, qu’elles soient françaises ou européennes, à l’image de la récente directive NIS2, qui façonne les exigences en matière de sécurité numérique au sein de l’UE.
“Avant, on était OSE (Opérateur de Services Essentiels), maintenant nous sommes Entité Essentielle, c’est la nouvelle formulation apportée par NIS2. C’est le cas des aéroports en général, et du Groupe ADP a fortiori puisque nous sommes le plus gros complexe aéroportuaire de France, et de loin.” – Eric Vautier, RSSI du Groupe ADP
La conformité, “un levier pour faire de la vraie sécurité”
Pour autant, il n’est pas question de “faire de la conformité pour faire de la conformité” prévient le RSSI. Terre à terre, il n’oublie pas que le respect de la réglementation n’est pas une fin en soi : l’objectif primordial, c’est la sécurité des passagers et des collaborateurs des plateformes aéroportuaires.
“Ce n’est pas la réglementation qui garantit un bon niveau de cybersécurité, mais ça reste malgré tout un bon driver. Chez Groupe ADP, sous mon impulsion, on essaie de se servir de la conformité comme d’un levier pour faire de la vraie sécurité. On a des exigences qui nous fixent un horizon ; la cybersécurité, c’est essayer d’atteindre cet horizon. Mais le sujet est tellement vaste que la réglementation ne peut couvrir tout ce qu’il y a à faire. On est vraiment dans une transformation sociétale, pas uniquement dans une amélioration des technologies.”
Transformation numérique : “Internet n’a pas apporté grand-chose, tout était déjà en place”
Toutes les organisations sont, à leur échelle, confrontées à la question de la transformation numérique. Mais comment envisager le sujet dans un environnement aussi sensible qu’un aéroport ? Comment ouvrir une porte vers le cloud, alors même que la raison enjoint à garder les portes fermées ? Cette question, le RSSI du Groupe ADP se l’est évidemment posée bien avant nous.
“D’abord, il faut savoir qu’on est un métier très brick & mortar. Il faut que les gens viennent dans l’aéroport pour être servis. Et donc, culturellement, on a une sensibilité à la proximité des équipements et une certaine réticence à aller dans le cloud, notamment sur tout un ensemble de services opérationnels. On a besoin de cette proximité, de pouvoir se dire “si je dois mettre la main sur le serveur, je mets la main sur le serveur.”
Ainsi, l’ouverture sur le cloud se fait plutôt sur la gestion classique d’une entreprise, comme la facturation. “Les fonctions support aux opérations de l’aéroport, mais pas les opérations de l’aéroport en tant que telles” résume M. Vautier, avant de poursuivre :
“Il faut savoir que les aéroports sont déjà très interconnectés. On reçoit par exemple les informations sur les passagers directement des compagnies aériennes, on n’a pas besoin d’aller dans le cloud pour ça. Il existe depuis très longtemps un réseau mondial qui s’appelle SITA (Société Internationale de Télécommunication Aéronautique). On a ce réseau interne déjà maillé, et l’arrivée d’Internet n’a finalement pas apporté grand-chose sur cet angle là puisque tout était déjà en place.”
Les Smart Airports, l’optimisation par le numérique
Par sa nature même, l’aéroportuaire a donc un temps d’avance sur les autres domaines en matière d’interconnexion. Mais si le numérique n’a pas révolutionné le secteur, il permet d’optimiser l’existant. Eric Vautier explique :
“On a un certain nombre de contraintes environnementales qui font que, d’une certaine manière, on ne peut plus s’étendre. On est donc dans des besoins d’optimisation des infrastructures physiques de l’aéroport.
On parle de Smart Airport, au même titre que les Smart Cities ou les Smart Factories. C’est une tendance assez forte qui consiste, grossièrement, à brancher tout ce qu’on peut sur un écran de supervision de manière à avoir une vue holistique de l’aéroport.
On essaie d’aller plus loin que la gestion ordinaire, avec la gestion des incidents par exemple. Si une batterie d’ascenseurs ne fonctionne plus, ça va complexifier les flux de passagers. Peut-être qu’ils vont arriver en retard, et mettre les avions en retard. De même, s’il y a de la neige, les passagers vont avoir du mal à rejoindre l’aéroport. C’est le principe de l’effet papillon. Avec le Smart Airport, on essaie d’avoir le maximum de capteurs pour centraliser, analyser et optimiser les opérations aéroportuaires.”
Si M. Vautier voit d’un bon œil les bienfaits de l’aéroport connecté, le RSSI en lui tempère ses propos. L’ouverture des données pose des questions intrinsèques de sécurité numérique, qu’il se doit d’adresser. “Forcément, en tant que RSSI, on a le mauvais rôle – celui de dire ‘Attention, que voulez-vous mettre à l’extérieur? Réfléchissons avant.’ Nous avons des obligations régaliennes autour de la sûreté, on ne peut donc pas tout mettre dans le cloud.”
Vous l’aurez compris, Eric Vautier a toujours un œil rivé sur la sécurité du groupe, jusque dans ses moindres détails. Ainsi, certains équipements de l’aéroport ont récemment eu droit à un traitement de faveur. Afin de tester leur sécurité, le RSSI du Groupe ADP a fait appel aux hackers éthiques de la Yogosha Strike Force.
Les équipements physiques, des vecteurs d’attaque à sécuriser
Il y a pléthore d’équipements dans un aéroport. Des trieurs bagages, des capteurs dans les parkings, des objets connectés à foison. Et forcément, qui dit connecté dit cybersécurité. Là comme ailleurs, le RSSI du groupe prône le risque zéro.
“Aujourd’hui, tous ces équipements sont connectés sur le réseau, pour faire des statistiques, des réglages, compiler des données de fonctionnement. On fait évidemment ce qu’il faut en matière de segmentation, mais ça reste un réseau avec ses faiblesses potentielles. Chaque équipement doit donc embarquer un niveau de sécurité naturel. On ne peut pas considérer qu’un équipement peut être plus faible parce qu’il est sur un réseau sécurisé. Intellectuellement, c’est une forme de modèle Zero Trust.”
“On a voulu avoir des certitudes sur la robustesse intrinsèque des équipements”
Dernièrement, une session de tests de sécurité a été menée sur “des équipements de sûreté qui seront en service dans quelques années” explique M. Vautier.
“L’idée de cette session, c’était de tester la résistance des équipements à une attaque physique. Ils ne sont évidemment pas accessibles à n’importe qui, mais on doit prendre en compte toutes les menaces. On peut imaginer des scénarios où des gens essaieraient d’y accéder, et d’en altérer le fonctionnement. On a donc voulu avoir des certitudes sur la robustesse intrinsèque des équipements.
Il y a eu deux axes. Un premier purement physique, et un second logiciel. Ce ne sont pas de simples machines, et les logiciels embarqués se doivent d’être robustes eux aussi. Autrement dit, on a attaqué sous l’angle hardware et firmware.”
E-Book: Bug Bounty, le guide ultime pour un programme réussi
Apprenez comment mettre en place votre Bug Bounty, le rendre attractif et mobiliser les hackers pour identifier des vulnérabilités à haut risque.
Des hackers éthiques Yogosha pour tester la sécurité des équipements
Pour conduire ces tests, le Groupe ADP a fait appel à la Yogosha Strike Force, une communauté de hackers éthiques triés sur le volet. Un choix audacieux, qui contraste avec la réticence que peuvent encore avoir certains grands groupes vis-à-vis du hacking éthique. Mais Eric Vautier, lui, n’en est pas à son coup d’essai : “Ça fait très longtemps que le mot hacker n’est pas un mot qui fait peur au sein du Groupe ADP. On a déjà eu recours à eux sur plusieurs périmètres. “
Concrètement, pourquoi ce choix ? “J’aurais pu faire appel à un cabinet de pentesters, mais l’intérêt qu’on a eu à passer par Yogosha était double” confie M. Vautier.
La Yogosha Strike Force, un accès à un pool de compétences diversifiées
La communauté des hackers éthiques amène une diversité de compétences qui permet de tester toutes sortes d’environnements. La logique est imparable : plus il y a de chercheurs, plus il y a de chances d’en trouver un qui possède les aptitudes requises pour l’exercice. Le RSSI du Groupe ADP confirme :
“Le premier intérêt qu’on a eu à passer par Yogosha, c’était sur le sourcing. Le panel de hackers possible était beaucoup plus large que chez d’autres. On avait vraiment la volonté de tester du matériel, et par l’intermédiaire de Yogosha, on a réussi à trouver des gens talentueux. Les hackers ont trouvé des choses sur la totalité des équipements. L’équipe était capable d’attaquer le hardware, mais aussi le firmware. On a donc eu des vulnérabilités et des axes de progrès sur les deux dimensions.”
Travailler main dans la main avec les équipementiers
Ce n’est pas tout de tester les équipements, encore faut-il travailler en bonne intelligence avec leurs constructeurs. Ces derniers étant moins rôdés à l’exercice du hacking éthique, “il a fallu prendre le temps d’expliquer et de rassurer” explique M. Vautier.
“Là où c’était un peu plus inhabituel, c’était pour les fabricants. Ils n’ont pas l’habitude de procéder ainsi, et il y a eu une inquiétude naturelle quand on leur a dit ce qu’on voulait faire avec leurs machines. Forcément, ça crée une certaine émotion…
Il y a eu beaucoup d’échanges, c’est très important. Le Groupe ADP a une volonté de travailler en écosystème, pas en affrontement. On n’a pas fait un test d’intrusion pour coincer ou contraindre qui que ce soit. On a fait ça dans un sens de partage de connaissances, pour que tout le monde puisse en tirer quelque chose.
On a manifestement réussi à rassurer tout le monde, puisque tous les fabricants qui ont prêté des matériels ont envoyé leurs experts pour assister aux tests et échanger avec les hackers. Ça s’est fait dans un très bon climat.”
On pourrait terminer cet article ici. Vous dire que nos hackers sont exceptionnels, et que les tests ont été concluants. Mais ça serait passer à côté de l’essentiel. L’important, comme le dit M. Vautier, “c’est ce qu’on fait après ; ce que l’on fait avec les résultats. Et c’était le deuxième intérêt de la collaboration avec Yogosha. “
Le Groupe ADP, acteur et moteur d’un écosystème global
Il faut bien comprendre que par la nature même de leurs activités, les aéroports ne sont pas des entités isolées mais les chaînons d’un écosystème global. Il y a une volonté de collaboration au cœur des activités du Groupe ADP, et de la vision de son RSSI : “C’est le monde de l’aviation. On est tous interconnectés, donc il faut qu’on établisse des dialogues pour être solides ensemble. Ça ne sert à rien d’être solide seul.“
“On voulait commencer à faire bouger les choses”
Une bonne cybersécurité est une cybersécurité totale et transverse. Il est dans l’intérêt des organisations de travailler de concert avec leurs partenaires et leurs équipes. Néanmoins, les spécificités de chaque entité et les différentes réglementations applicables ne facilitent pas toujours les choses. C’est ce constat qui a poussé le Groupe ADP à faire un pas vers les fabricants d’équipements.
“Ces tests ont été l’occasion de démarrer une collaboration plus franche et transparente avec les équipementiers. La difficulté que l’on a sur ce domaine, c’est que tout changement fait sur un équipement appelle un nouveau cycle de certifications. C’est un processus très long, et c’est l’un des éléments sur lesquels on voulait commencer à faire bouger les choses.
Comment peut-on séparer le firmware de la certification ? Si on arrive à prouver que la modification n’impacte pas la cible de sécurité, il n’y a pas besoin d’être recertifié. Mais certains fabricants ne sont pas dans cet état d’esprit, et ils apportent du matériel en se contentant de dire qu’il est certifié en l’état. Il y a donc un axe de progrès fort sur le socle embarqué, afin de pouvoir modifier plus facilement les équipements si des vulnérabilités y sont découvertes. Mon ambition, c’est d’établir un dialogue autour de ces questions.”
De même, les évolutions pensées par les équipementiers n’évoluent pas toujours au rythme des besoins des aéroports.
“Historiquement, ces équipements n’étaient pas connectés. Si vous prenez un Rayons X ancienne génération, la caméra était directement branchée dessus et c’était tout. Il n’y avait pas besoin d’interconnexion. Mais les aéroports ont besoin aujourd’hui de mettre les équipements sur le réseau pour optimiser leurs fonctionnements.
Pourtant, les équipementiers rechignent à ce qu’on branche leur matériel sur le réseau. Ces questions sont discutées depuis des années, mais les réponses tardent à venir. Il est essentiel d’établir un dialogue pour faire évoluer les mentalités autour de ce qui est devenu un sujet de société.”
“Le travail du Groupe ADP est universel, donc on le met à disposition”
Fidèle à cette démarche collaborative, le RSSI du Groupe ADP souhaite faire partager à l’ensemble de la communauté aéroportuaire les résultats des tests menés avec Yogosha.
“Ces tests nous ont permis de dresser une liste d’exigences de tests d’intrusion qu’on va considérer comme devant être passés avec succès par les futurs équipements. Cette liste va être rendue publique – sous forme de résultats génériques évidemment. Elle va être ma base d’appel d’offres sur certains équipements, et on la partagera avec la communauté aéroportuaire. Chacun sera libre de s’en servir. Ça fait partie de ma philosophie : les choses doivent être mises sur la table le plus en amont possible pour que chacun s’y prépare. Le travail du Groupe ADP – s’il est bien fait – est universel, donc on le met à disposition.”
Vers une mutualisation des tests de sécurité aéroportuaires ?
Vous l’aurez compris, Eric Vautier voit au-delà du périmètre du Groupe ADP. Au sein de la communauté aéroportuaire, il aspire à une véritable mise en commun des efforts de sécurité.
“Toute la communauté aéroportuaire a les mêmes problématiques que moi : comment qualifier ces matériels en matière de cybersécurité ? La réalité aujourd’hui, c’est que chaque aéroport paie des tests sur les mêmes équipements, et chacun dans son coin. Il y a là quelque chose d’absurde, et on se le dit tous. On a ce problème en France, et il est démultiplié à l’échelle européenne.
Je vais rêver 5 minutes, mais on pourrait très bien imaginer une mutualisation des tests aéroportuaires et des résultats, et définir un standard de fait en matière de cybersécurité. On peut imaginer cela bien au-delà du Groupe ADP, à travers des associations comme l’Union des Aéroports Français (UAF) ou celle des aéroports européens, ACI Europe.”
Au-delà des hackers éthiques, c’est d’ailleurs pour son potentiel collaboratif que le RSSI a sélectionné la plateforme Yogosha.
“Un autre critère qui a motivé notre choix, c’est notre souhait de faire en sorte que la plateforme devienne notre plateforme de référencement, c’est-à-dire de test pour nos futurs appels d’offres.
On pourrait même imaginer la plateforme Yogosha comme un référentiel utilisé dans deux, cinq, vingt aéroports. On y publierait une liste d’exigences, et chaque constructeur pourrait se “challenger” par rapport aux critères des appels d’offres. Ça pourrait donner lieu à une forme de préqualification par la plateforme, avec des résultats de tests positifs ou négatifs en prouvant la couverture par rapport aux exigences.”
La vision d’Eric Vautier a la beauté des grandes idées : elle est simple et ambitieuse. Sous l’impulsion d’entreprises comme le Groupe ADP, c’est tout l’écosystème aéroportuaire qui pourrait gagner en sécurité grâce aux solutions collaboratives comme la plateforme Yogosha. L’aviation a déjà ses joueurs, il s’agit maintenant d’en faire une équipe et de leur trouver un terrain. Alors, on joue ?