Sécurité dans le ciel : comment les compagnies aériennes abordent la sécurité en période de turbulences

Des avions cloués au sol, des itinéraires annulés et des bénéfices en berne. Telle est la réalité à laquelle sont confrontées aujourd'hui de nombreuses compagnies aériennes, si ce n'est toutes, à l'échelle mondiale. Cependant, à une époque où les budgets sont serrés, les compagnies aériennes sont toujours obligées de protéger leurs systèmes et leurs données, y compris ceux qui ne sont pas directement liés à leurs systèmes avioniques.

Les compagnies aériennes sont considérées comme des cibles symboliques pour les acteurs des États-nations en raison du large éventail de pays d'accueil dont elles sont originaires et de l'identité nationale qu'elles représentent. Mais le paysage des menaces s'est récemment élargi pour inclure à la fois des cybercriminels motivés par des raisons financières qui s'en prennent aux données des clients et des syndicats qui tentent de faire du cyberespionnage pour s'en prendre aux secrets commerciaux des compagnies aériennes. Il n'en reste pas moins que même si les avions ne volent pas en ce moment, les compagnies aériennes continuent de collecter et de conserver des données sensibles, notamment des informations sur les cartes de crédit, les passeports, les programmes de fidélisation et même des informations sur les réservations d'hébergement.

Les compagnies aériennes sont conscientes des informations personnelles qu'elles possèdent, tout comme les pirates informatiques, qui espèrent tirer profit de ces données sensibles. Rien qu'en Europe, des violations récentes très médiatisées (dont certaines ont fait l'objet d'un article dans ZDNet et Forbes) ont touché plus de 400 000 personnes et les amendes imposées se sont élevées à des centaines de millions de dollars. En Australie et dans d'autres pays, des attaques quotidiennes sont signalées dans les aéroports et des évaluations de la sécurité des applications dans les 100 principaux aéroports du monde ont permis d'identifier des domaines à améliorer. Au premier semestre 2019, par exemple, 30 attaques contre des aéroports ont été signalées publiquement, et nous constatons que cette tendance se poursuit aujourd'hui.

Les voyageurs, et ceux qui continuent de faire leurs achats au moyen de cartes de crédit liées aux programmes de fidélisation des compagnies aériennes, confient leurs informations aux compagnies aériennes. Si des informations sensibles sont divulguées, il est pratiquement impossible de regagner la confiance des clients.

Le défi à relever est aggravé par ce que l'Organisation de l'aviation civile internationale (OACI) a appelé le "système des systèmes", qui indique que les systèmes fortement interconnectés augmentent considérablement le risque de menaces pour la sécurité. L'industrie aéronautique dépend d'architectures distribuées pour la fourniture de services efficaces, notamment de réseaux distribués et de fonctions physiques et cybernétiques interdépendantes. Un ensemble de systèmes qui non seulement est fortement interconnecté, mais dont plusieurs équipementiers et partenaires aériens accèdent au réseau à tout moment, ce qui renforce encore le profil de risque.

Ainsi, à l'heure où des piliers de l'industrie comme Qantas ont cloué au sol 90% d'avions et où Virgin Australia a été placée sous administration judiciaire, comment ceux qui cherchent à surmonter les temps difficiles investissent-ils dans la protection des systèmes et des données critiques pour éviter les mesures punitives des régulateurs GDPR etPCI/PII et minimiser le risque de ransomware et d'autres attaques de logiciels malveillants ?

Dans l'immédiat, il serait logique d'envisager trois étapes fondamentales pour maximiser l'économie et l'impact.

1. Hiérarchisez les problèmes et assurez une défense en profondeur en isolant les actifs critiques.

Les rançongiciels et les logiciels malveillants sont de plus en plus nombreux et leur succès est dû en grande partie à leur capacité à se répliquer dans les environnements plus rapidement que les outils et protocoles de détection et de réponse ne peuvent réagir. Le confinement et la micro-segmentation du moindre privilège sont particulièrement pertinents pour les industries dont les systèmes interconnectés ne cessent de s'étendre, comme l'aviation et les programmes de fidélisation et d'achat qui en découlent. Pour certains, il s'agira de la principale priorité, tandis que d'autres chercheront à améliorer les méthodes de correction, à sécuriser les appareils des travailleurs à distance ou à obtenir une visibilité sur les applications et sur l'endroit où les données sont utilisées et stockées. Une partie de cette hiérarchisation ne concerne pas seulement le quoi, mais aussi le où. Ce n'est pas parce qu'une application critique nécessite une attention particulière que le contrôle de sécurité requis doit être conçu de manière appropriée ou avoir la capacité de s'appliquer à l'ensemble du parc informatique. La meilleure approche consiste plutôt à commencer à petite échelle et de manière ciblée, là où vous aurez le plus d'impact - qu'il s'agisse de charges de travail PCI sélectionnées soumises à une réglementation, d'applications ERP critiques ou de charges de travail exécutant des programmes de fidélisation avec des informations confidentielles.

2. Maximiser le multiplicateur

Les professionnels de la sécurité doivent étudier les écosystèmes des fournisseurs pour combler les lacunes, mais aussi les associer à ce qui est déjà déployé dans leur propre parc informatique pour en tirer le meilleur parti. Ces alliances peuvent étendre considérablement la portée et la capacité et faire en sorte que les futurs changements d'infrastructure ne soient pas limités par la capacité de suivi de la sécurité. Cela permettra d'étendre efficacement les capacités actuelles et la durée de vie d'une solution dans son ensemble. La recherche d'éléments tels que des applications sur des places de marché de solutions en partenariat et une API REST utilisée par des fournisseurs potentiels est un bon indicateur de la capacité à créer et à continuer à développer des alliances pour aider l'informatique à maximiser le multiplicateur.

3. Envisager l'opérationnalisation

Les équipes de sécurité sont généralement sollicitées en période de prospérité, et il est aujourd'hui plus important que jamais de prendre en compte les frais généraux liés à la mise en œuvre de toute nouvelle technologie. La perturbation des opérations peut avoir moins d'impact si les personnes et les avions n'empruntent pas tous les itinéraires habituels à la fréquence habituelle. Cependant, l'absorption de la technologie peut être un élément négligé ou sous-estimé de toute nouvelle solution. Avec des équipes distribuées et travaillant à distance, et certaines entreprises ayant un personnel réduit, le parcours de déploiement du contrat à la BAU est essentiel pour le succès et le délai de rentabilisation de tout investissement réalisé.

En fin de compte, les compagnies aériennes peuvent dépenser moins d'argent tout en s'attaquant aux aspects les plus critiques de la sécurité de leur entreprise, en assignant des priorités de sécurité à la fois au quoi et au où, et en tenant compte de tous les coûts cachés impliqués (c'est-à-dire les dépenses de services professionnels liées au déploiement, qui peuvent représenter des sommes considérables, et les coûts opérationnels quotidiens).

D'autres violations se produiront-elles à l'avenir ? Oui, mais grâce à cette approche, les dommages peuvent être limités et les compagnies aériennes pourront continuer à voler un jour de plus.

Pour en savoir plus sur la façon dont Illumio aide une compagnie aérienne, Cathay Pacific, à protéger ses joyaux de la couronne pendant cette période, consultez cette étude de cas.