Eric Vautier (Groupe ADP) : « la cybersécurité doit devenir un sujet de société »

Pour commencer, pouvez-vous nous présenter le Groupe ADP (Aéroports de Paris) ?

Le groupe est un leader mondial de l’aéroportuaire, bien sûr centré sur les trois aéroports parisiens (Paris-Charles de Gaulles, Paris-Orly et Paris-le Bourget) et qui dispose aussi d’un réseau de 25 autres aéroports dans le monde (Amman, Ankara, Dehli, Hyderabad ou encore Santiago du Chili),, de filiales proposant des services connexes sans oublier HubOne, filiale spécialisée dans  les télécommunications et la cybersécurité. Nous avons accueilli 160 millions de passagers en 2021, dont 41,9 à Paris. Toutes filiales et activités confondues, le groupe comporte près de 22 300 collaborateurs.

Sans rentrer trop dans les détails, pouvez-vous nous décrire le SI d’Aéroports de Paris ?

Je vais me centrer sur les trois aéroports parisiens, les SI de nos filiales à l’international étant séparés, mais nous dialoguons et nous échangeons sur les bonnes pratiques.

Nous avons l’habitude de décrire le SI sous la forme de trois blocs. Le premier est le classique « SI transverse » que nous appelons bureautique qui inclut des outils tels que le SIRH ou le SI Finance. Le deuxième bloc est le « SI aéroportuaire » : affichage des vols, gestion des passagers, échanges de données avec les compagnies aériennes, etc.

Enfin, le dernier bloc, appelé « SI industriel », correspond au pilotage des trieurs de bagages, à la gestion de la sûreté et à la gestion des parkings… Nos exigences de disponibilités font que tout est largement géré en local. Mais, désormais, pour chaque évolution, nous nous forçons à réfléchir à une bascule vers le cloud, lorsque cela est possible. Typiquement, ce qui relève du SI « bureautique » peut être cloudifié, mais c’est exclu pour la gestion des bagages par exemple où l’exigence en latence interdit une externalisation de l’hébergement.  

En tant qu’aéroports, avez-vous des défis particuliers en cybersécurité ?

Bien sûr. Outre les problématiques classiques de toute entreprise, nous avons à respecter des exigences réglementaires françaises, européennes ou internationales liées à l’aéronautique, en matière de sûreté notamment. De plus, au titre de la directive NIS, nous sommes opérateur de service essentiel.

Nous sommes ainsi contrôlés, sur le périmètre SSI strict par l’ANSSI, et sur la sécurité physique et aéronautique par la DGAC [ndlr : Direction Générale de l’Aviation Civile]. Ils auditent l’un et l’autre nos systèmes, souvent en concertation. Il existe un Conseil Cybersécurité du Transport Aérien, piloté conjointement par la DGAC et l’ANSSI, qui réunit les acteurs de l’aérien dont Air France et nous-mêmes . Ce conseil mène les réflexions sur l'évolution de la cybersécurité dans le contexte particulier de notre secteur et il porte la voix de la France dans les débats internationaux.

Comment sensibilisez-vous les collaborateurs du groupe à la cybersécurité ?

Au début, comme tout le monde, nous nous focalisions sur les aspects techniques de la cybersécurité. Puis, nous nous sommes intéressés aux bons usages des outils de travail. Aujourd’hui, la cybersécurité doit être un sujet de société car, tout, au quotidien, repose sur des outils informatiques. Il faut donc voir la cybersécurité comme un élément de culture générale.

Nous avons identifié quatre populations différentes à sensibiliser : le top management, les personnels techniques tant informaticiens « normaux » (depuis toujours) que de l’informatique industrielle (depuis trois-quatre ans), l’encadrement intermédiaire et enfin les utilisateurs. Pour l’encadrement intermédiaire, la cybersécurité est un facteur d’efficacité professionnelle des équipes métiers, quels que soient les métiers considérés, car, dès que l’informatique ne marche plus, la performance s’effondre. Concernant les utilisateurs, il faudrait plutôt parler de citoyens devant avoir conscience des cyber-risques.

Vous avez, à titre, mené une opération intéressante s’adressant à collaborateurs en tant que parents. Qu’avez-vous fait exactement et pourquoi ?

Il s’agit des « As du Web ». L’association Issa France avait lancé une opération de financement participatif pour son projet et le Groupe ADP y a participé. Il s’agissait d’un livret de jeu pour les enfants et leurs parents similaire à un « cahier de vacances ».

Lors du Mois de la Cybersécurité en 2019, nous avons tenu une conférence de sensibilisation des collaborateurs pour les inciter à télécharger ce livret. Beaucoup de parents, parmi nos collaborateurs, se sentaient démunis et ont bien réagi. Certains ont même répercuté l’initiative dans les écoles de leurs enfants.

A la sensibilisation interne, nous avons, un samedi de départs en vacances, décidé de distribuer des fascicules aux passagers francophones dans nos aéroports. Nous avons eu d’excellents retours sur cette initiative.

Parler aux collaborateurs sous l’angle des parents d’enfants est un axe que nous allons poursuivre. Issa France a conçu un deuxième fascicule, ciblé sur les adolescents et les jeunes adultes dont la connaissance des cyber-risques est loin d'être au niveau que les générations précédentes pensent. Actuellement, nous travaillons sur l’ingénierie sociale qui est un vrai sujet de préoccupation pour nous.

Est-ce que, après cette sensibilisation, les résultats aux tests réalisés sur les collaborateurs (faux phishing… ) sont meilleurs ?

Concernant le faux phishing, nous n’en faisons pas pour l’heure.

Par contre, nous avons déployé un outil de signalement des mails douteux. Après la sensibilisation, le nombre de signalements a ainsi nettement augmenté. Or trois ou quatre signalements précoces peuvent suffire à permettre de repérer une vague de phishing ciblé. Lorsque du personnel arrivant tôt le matin lance ce type d’alerte, nous pouvons nettoyer les boîtes mails, avant même qu’elles ne soient ouvertes par la majorité des collaborateurs. Ce qui est intéressant, c’est que quand les gens ont un doute, désormais, ils demandent. Dans la plupart des cas, c’est du spam classique et pas du phishing !

Rencontrez-vous des difficultés particulières avec votre IAM à cause des fluctuations de personnels ?

Les aéroports sont des structures d’accueil de très nombreux intervenants externes ou sous-traitants. De ce fait, nous n’avons pas forcément de variations de personnels en fonction de la variation de l’activité de l’aéroport. Pour moi, l’IAM est avant tout un sujet pour la DRH. Le processus RH bien maîtrisé amène, lors de la signature d’un contrat de travail, à la création d’un profil avec une fonction. Cette fonction est associée à un profil de droits dans le SI. L’identité des collaborateurs étant portée par la DRH, je me contente de fournir les outils et d’aider la DRH à solidifier son processus. C’est exactement la même chose pour la comptabilité et la vérification des RIB afin d'éviter la fraude au président. Chaque métier est responsable de ses processus et de leur solidité. Le RSSI se doit juste d’alimenter chacun en outils et méthodes nécessaires.

Les Jeux Olympiques de Paris 2024 constituent-ils un sujet pour vous ?

L’entreprise étant concernée, le RSSI aussi ! L’augmentation du trafic avec l’accueil de milliers de visiteurs pourrait avoir un impact sur le fonctionnement opérationnel de mon service. Parfois, il sera nécessaire de renforcer les équipes. Parfois, il y aura des besoins IT nouveaux qu’il faudra couvrir et sécuriser.

L’enjeu principal est d'éviter qu’une cyber-attaque n’advienne. Nous pourrons nous entraîner dès la Coupe du Monde de Rugby en 2023, en collaboration avec le ministère de l’Intérieur, l’ANSSI…

Pour terminer, quels sont vos défis à venir ?

L’acculturation à la cybersécurité demeure un défi majeur !

La smartisation est aussi un sujet prioritaire pour nous : le smart-airport, comme la smart-city, repose sur un très grand nombre de capteurs pour avoir un très grand nombre de données en temps réel qui, une fois analysées, permettent de prendre les bonnes décisions. Par exemple, si un ascenseur ou une passerelle avion est en panne, il va y avoir des problèmes de flux et de circulations de passagers qui peuvent provoquer des retards de vols.

Le centre d’opération de l’aéroport doit pouvoir tout visualiser et disposer de l’ensemble des données critiques. Mais le RSSI que je suis ne peut n'être que réticent à tout connecter sur un seul réseau informatique. La data est un moyen d’optimiser le fonctionnement de l’aéroport, mais il faut aussi trouver les bonnes méthodes pour connecter toutes ces données. En tant que RSSI, je dois absolument éviter d'être vu comme le « Monsieur Non » : je dois apporter des solutions !