En términos de ciberseguridad, la propensión de los desafíos a multiplicarse está cerca del infinito. Por lo tanto, para atacar a grandes organizaciones cada vez más protegidas por herramientas, enfoques de gobernanza y ejercicios de preparación, los ataques cibernéticos atacan los vínculos débiles de su cadena de suministro. Con motivo del Cyber ​​Show París, el 29 de enero, el sector aeronáutico representado por ADP, Daher, BoostaRespace (compañía creada por los gigantes de la aviación para asegurar intercambios dentro del sector) y la aviación CERT alertó a este tipo de peligro de peligro de aguas arriba, y dio pistas para evitarlos.

En un sector sensible a la seguridad y la seguridad, como la aeronáutica, los jugadores más importantes ahora se hacen conscientes y preparados. Pero no es lo mismo de su larga cadena de fabricantes de equipos, en particular los de los clasificados 2 y 3, los talones reales de Aquiles del sector. "La subcontratación ahora es considerada por los piratas como un caballo troyano hacia los directores", insiste a Eric Vautier, Ciso del grupo ADP. ¡Un simple phishing de la mensajería de un subcontratista puede constituir, para un hacker, un medio para mapear la cadena de suministro de los principales! ». "Los atacantes apuntan a la cadena de suministro porque piensan que es menos protegido, más vulnerable, a menudo con razón, agrega a Marion Buchet, directora de Cert Aviation France, antes de arrestar: ¡No olvide que la cadena de suministro está sosteniendo sus secretos!».

Poner conciencia entre los fabricantes sobre la fragilidad de su cadena de suministro

Romain Bottan, Ciso de Boostaerospace, insiste en la necesidad absoluta de crear conciencia entre los fabricantes aeronáuticos, como director, en "los problemas probados de ciberseguridad planteados por nuestros subcontratistas". Boostaerospace, una compañía común en Airbus, Dassault Aviation, Safran, Thales, creador de una plataforma de intercambio segura en las industrias aeroespaciales y de defensa, lanzó un programa de intercambio de conocimientos y buenas prácticas sobre este tema.

Por lo tanto, el programa Aircyber enumera los requisitos de ciberseguridad de los fabricantes de BoostaRespace a la cadena de suministro, así como los medios para cumplir con ella. Con tres niveles de madurez (bronce, plata y oro), el objetivo es elevar la madurez cibernética de este último. Eric Vautier D'Adp incluso cree que, por lo que ningún vínculo en la cadena de ciberseguridad aeronáutica, los aeropuertos y las aerolíneas deben unirse al proceso.

El fabricante de aeronaves, pero también un equipo aeronáutico civil y militar, con una fila 1 y la logística de repuestos, Daher mostró el ejemplo de lo que podría emprender un enlace en la cadena, en colaboración con el sector. Henri de Bordas, asistente de CISO del industrial, detalló así el curso cibernético de este ETI de la familia francesa en el sector (con un 2023 ca de € 1.65 mil millones y un objetivo de 2027 de € 2 mil millones, Daher emplea a 13,000 empleados). "Somos un subcontratista para grandes directores", dijo Ciso. Y nuestros clientes [Airbus, Boeing, Airbus Helicopters, Dassault Aviation, Caterpillar, etc.] Necesito saber dónde estamos en términos de ciberseguridad ", dijo el asistente de Daher, CISO, quien ha estado participando desde su llegada hace 3 años, en la implementación de una estrategia cibernética reforzada.

El proveedor de equipos Daher estructura su ciber para sus clientes

El equipo de ciberseguridad del industrial primero abandonó el llenado de tiempo de los muchos cuestionarios sobre el tema enviado por sus directores, para sumergirse en el Guía de higiene de la computadora ANSSI. Una forma más rápida y menos costosa de anticipar las solicitudes de los clientes de manera coherente y completa. Daher también confió en el programa y el repositorio de Boostaerospace. Una verdadera columna vertebral en todo el curso de transformación cibernética en Daher, según el asistente de CISO.

El proveedor de equipos realizó un análisis de riesgos y evaluó el costo del ransomware en el grupo, según dos enfoques principales. Primer enfoque, la facturación anual reportada al día se multiplica por el número estimado de días de falta de disponibilidad. Segundo enfoque, la compañía logra una estimación fina de los costos reales de un ataque durante los primeros 15 días, y calcula el impacto total al considerar que no representan más del 10% del impacto total. El asistente de CISO recordó que este cálculo, así como el análisis de riesgos, también fueron herramientas efectivas para crear conciencia sobre su gestión.

Henri de Bordas estaba encantada con varios títulos de la evolución de la estrategia cibernética de Daher. Comenzando con el triple de la fuerza laboral del equipo cibernético del proveedor. "Es un trabajo importante", agregó, "pero eso da fruto. Acabamos de recibir una opinión favorable para obtener el cumplimiento ISO 27001 el 27 de enero".

También cuente con la comunidad sectorial

BoostaRespace y CERT Aviation tienen roles adicionales con el sector, como recuerdan sus respectivos pilotos, Romain Bottan y Marion Buchet. El primero proporciona una herramienta de evaluación de riesgos vinculada a la cadena de suministro y una guía de soluciones y proveedores, cuando el segundo observa, alerta a las empresas en caso de riesgo significativo y les ayuda a protegerse, a lidiar con los ataques y volverse autónomos.

Marion Buchet aconseja el lanzamiento de acciones tanto en términos de gobernanza como en funcionamiento, sobre un tema que, según ella, tiene aspectos regulatorios (NIS2, Dora) y presupuestarios, así como la conciencia de los líderes de las amenazas y la gestión de recursos limitados. Pero también explica la importancia de confiar en su comunidad. La directora de CERT Aviation explica por qué extendió un dispositivo muy especial establecido durante el París JOP en julio y agosto. "Decidimos organizarnos todas las mañanas a las 8:45 a.m., una sesión informativa en videoconferencia con nuestros miembros", dice ella. Y es un evento de TI, no un ataque cibernético, que rápidamente mostró el interés de tal cita. 19 de julio, Falla del editor de crowdstrike causa el arresto de muchos si en el mundo. La celda se pone en funcionamiento. Todos comparten los impactos que sufren, la información obtenida de las causas de la falla, las consecuencias y las posibles acciones que se llevarán a cabo. Qué llevar al CERT para perpetuar esta sesión informativa semanal incluso después del cierre del JOP en París.

Ya sea que se trate de Boostaerospace o Cert Aviation, el asistente de Daher, CISO, confirma ", por un lado, el aspecto tranquilizador de este modelo comunitario, en un entorno cibernético que mejora la ansiedad y, por otro lado, la importancia de estas dos estructuras para la comunicación en ciberseguridad, e incluso la defensa del sujeto, "como fuente de valor agregado".