print preview

Dans quelle mesure les avions de combat sont-ils à l’abri des cyber-attaques?

La population suisse a dit «oui» à l’acquisition de nouveaux avions de combat. Ceux-ci doivent contribuer à la sécurité de la Suisse. Mais les avions de combat modernes sont équipés de nombreux composants électroniques et de logiciels. Est-il possible de «pirater» ces avions? Et que faut-il prendre en compte dans l’évaluation pour que ce scénario ne se produise pas? Matthias Bertram, cyber-spécialiste du projet Nouvel avion de combat, explique les cyber-risques associés aux avions de combat.

Systèmes aéronautiques, Section Nouvel avions de combat

Portrait de Matthias Bertram

Matthias Bertram (43 ans) est ingénieur diplômé HES en électrotechnique. Après avoir occupé des postes de recherche à l’hôpital de l’Île de Berne puis de développement de produits dans diverses fonctions au sein d’une entreprise internationale de technologie médicale, il a rejoint armasuisse en 2018. Depuis lors, il a travaillé en tant que chef de sous-projet Systèmes de planification de mission et en tant que chef de sous-projet adjoint Engineering dans le cadre du projet «Nouvel avion de combat».

Quelle est la quantité de logiciels que l’on peut trouver dans un avion de combat?
Le logiciel des avions de combat modernes est basé sur des millions de lignes de code. Si ce code de programmation devait être imprimé, il en résulterait une pile de papier d’une hauteur de plus de 10 mètres. Mais il y a aussi des logiciels dans les systèmes au sol associés, comme le système de planification des missions, par exemple. Ces éléments doivent également être inclus dans les considérations sur les cyber-risques des avions de combat.

Comment gérez-vous les cyber-risques associés?
Un système d’arme moderne tel qu’un avion de combat avec ses systèmes au sol est soumis à une gestion stricte des cyber-risques tout au long de son cycle de vie, y compris lors de sa mise hors service. Il est important que cette gestion soit conçue de manière globale et qu’elle couvre tous les aspects de la technologie et du fonctionnement d’un avion de combat. Le système d’information doit par exemple être structuré et certifié afin qu’il ne soit pas accessible de manière non autorisée ou que le personnel certifié en matière de sécurité n’ait accès qu’aux informations et aux systèmes nécessaires à son travail.
Les mesures prises pour renforcer la cybersécurité sont testées et révisées périodiquement.
La formation initiale et continue du personnel dans ce domaine est également très importante. Les connaissances spécifiques et l’implication des collaborateurs sont des facteurs essentiels pour assurer la cybersécurité.

Comment la cybersécurité est-elle évaluée et garantie lors de l’évaluation et, plus tard, lors de la procédure d’acquisition?
Lors de l’évaluation, nous analysons les candidats aptes à fournir le nouvel avion de combat sur la base des réponses à un catalogue détaillé de questions, également sur le thème de la cybersécurité, auxquelles il convient de répondre dans le cadre de l’offre. Nous voulons notamment savoir comment les chaînes d’approvisionnement des fabricants sont établies ainsi que comment le personnel et les sous-traitants sont contrôlés. Sur la base des données reçues, la cybersécurité des candidats est ensuite évaluée.
Lors de l’acquisition du nouvel avion de combat, la principale préoccupation est alors de mettre en œuvre son intégration dans l’environnement système suisse. Les cyber-risques identifiés sont contrôlés avec les mesures nécessaires pour que la cybersécurité soit garantie à tout moment.

Quels nouveaux défis découlent de la cybersécurité lors de l’acquisition de matériel?
En raison de la grande importance de ce sujet, nous le traitons dans le cadre du projet du nouvel avion de combat avec un processus complet de cybersécurité fournissant à la direction du projet et aux prestataires des directives claires, qui feront également partie du contrat d’acquisition.
Dans le domaine des cyber-menaces et des technologies de l’information, nous opérons dans un environnement très dynamique et devons être en mesure de réagir en conséquence également dans nos processus d’acquisition.
Pour ce qui est du domaine opérationnel, nous avons déjà une expérience des processus de cybersécurité établis avec le F/A-18C/D, sur laquelle nous pouvons nous appuyer et que nous continuerons de développer.

Quelles mesures en matière de cyberprotection doivent être prises pour le déploiement effectif (c’est-à-dire lorsqu’un avion de combat a finalement été acheté et est utilisé)?
Les avions de combat sont protégés contre les éventuelles cyberattaques de manière globale. Dans le domaine opérationnel, un large éventail de mesures et de processus de cybersécurité est mis en œuvre.
De nombreuses mesures de protection sont en principe similaires aux mesures de sécurité de l’information et de protection des données (SIPD) connues, mais elles sont mises en œuvre à un degré très élevé : la protection des avions est notamment assurée par des bâtiments appropriés, des dispositifs d’alarme, une surveillance, un contrôle d’accès, etc. Dans le domaine des logiciels et des données, par exemple, les signatures, le cryptage, l’accès en fonction des rôles, les scanners de virus ou l’analyse en temps réel des systèmes en fonctionnement sont utilisés comme mesures de protection. Les nombreuses mesures sont basées sur la mise en œuvre coordonnée d’un système de gestion global et systématique des cyber-risques.

En supposant qu’un système d’avion de combat soit effectivement attaqué dans le cyberespace, quelle serait la prochaine étape ? Qui agirait comment, quand, pourquoi?
Il est important que les cyberattaques soient détectées à temps, c’est pourquoi les systèmes sont constamment surveillés pendant leur fonctionnement. En principe, cependant, comme décrit ci-dessus, la prévention des cyberattaques est très bien développée pour les avions de combat et les systèmes au sol.
Si une attaque était détectée, un concept de cyber-urgence préparé à l’avance serait appliqué. Celui-ci détermine comment réagir à une cyberattaque et comment le système affecté peut être nettoyé et remis en service normal le plus rapidement possible.