Marion Buchet (CERT Aviation) : « l’IT de tout notre secteur est très interconnectée »
Pour faire face à de graves et fréquentes menaces systémiques, le CERT Aviation France a été créé au bénéfice de tout le secteur aérien.
Pouvez-vous nous expliquer ce qu’est exactement le CERT Aviation France ?
Pour l’instant, nous sommes une association Loi 1901 mais nous devrions devenir, en principe le 1er janvier 2027, un GIP (groupement d’intérêt public). Nous avons à ce jour 56 membres dont neuf fondateurs. Il s’agit, pour commencer, bien évidemment de la DGAC (Direction Générale de l’Aviation Civile, l’autorité administrative du secteur), mais aussi d’Air France KLM, d’Airbus, de Dassault Aviation, du groupe Thales, du Groupe ADP (Aéroports de Paris), de l’Union des Aéroports Français, de la FNAM (Fédération Nationale de l’Aviation et de ses Métiers) et du GIFAS (groupement des industries françaises aéronautiques et spatiales). Nous avons donc des membres institutionnels comme industriels, des gestionnaires d’infrastructures comme des compagnies aériennes, et toutes sortes d’acteurs de l’écosystème, y compris des organisations professionnelles.
Il s’agit d’acteurs qui souhaitent partager de l’information sur les cybermenaces et mettre des moyens en commun. Nous avons, en tout, environ 700 bénéficiaires car certains de nos membres fédèrent de multiples entités.
Selon la taille de l’entité, l’adhésion coûte de 300 à 10 000 euros par an. Nous sommes par ailleurs soutenus par l’ANSSI. Nous adhérons également à InterCERT France.
Retrouvez Marion Buchet à l’Hacktiv’Summit
Marion Buchet est membre du Comité de Pilotage de l’Hacktiv’Summit qui se déroulera les 12 & 13 Mars 2026 au Grand Pavillon à Chantilly. Marion Buchet participera donc à l’événement et aux ateliers.
Comment fonctionnez-vous ?
Nous proposons un catalogue de services avec des offres adaptées aux différentes entités qui adhèrent, notamment selon leurs tailles et leurs capacités à réaliser leur cyberdéfense par elles-mêmes. Les services peuvent reposer sur nos propres forces comme sur des partenaires extérieurs sélectionnés.
Pour les entités les plus importantes, nous proposons d’abord de l’échange d’information mais aussi des interventions pédagogiques aussi bien pour l’acculturation des dirigeants à la cybersécurité que pour le développement de l’expertise des spécialistes. Pour les plus petites, nous proposons une surveillance de l’empreinte cyber avec Board of Cyber, une surveillance de sites web (notamment pour détecter un defacing), une veille sur les vulnérabilités (avec XMCO)…
Tous les matins, nous tenons un briefing sur l’état de la menace en distanciel avec, le cas échéant, des déclarations d’incidents. En général, ces briefings réunissent une quinzaine de nos adhérents.
Quelles sont les spécificités du secteur qui ont justifié la création de votre CERT ?
Dans le secteur aérien et aéronautique, tout est très connecté. Les avions sont en contact avec les aéroports, le contrôle aérien, les mainteneurs… Et, de même, l’IT des acteurs de tout notre secteur est très interconnectée. L’incident Crowstrike a ainsi démontré qu’un simple incident de mise-à-jour chez l’un des acteurs a un impact considérable chez beaucoup d’autres.
Selon la directive NIS2, notre secteur est classé hautement critique. Dès 2018, un Conseil pour la Cybersécurité du Transport Aérien a réuni quatorze acteurs du secteur pour échanger sur la cybersécurité et la cyberdéfense. Et, en 2021, l’ANSSI a décidé de susciter la création d’un CERT pour le secteur. Après une étude sur la viabilité économique de la structure, compte tenu des soutiens de l’ANSSI et de la DGAC, nous avons été créés en 2022.
Outre NIS2, qui ne nous est pas spécifique, nous sommes par ailleurs également soumis à des réglementations particulières au secteur aéronautique comme la PART-IS.
Quels défis avez-vous à relever ?
Dans notre secteur, il y a quasiment tous les jours des attaques par DDoS. Nos membres connaissent de ce fait très bien le sujet et disposent de mesures de protection adaptées. La plupart des attaques échouent tout à fait. Au final, de toutes façons, ces attaques ne peuvent pas concerner les systèmes critiques qui ne sont pas accessibles par Internet.
Par contre, nous avons une menace à bas bruit qui est le vol de propriété intellectuelle. La détection des extractions de données sensibles n’est pas toujours optimale chez tous nos adhérents.
Enfin, nous avons les cybermenaces concernant l’informatique embarquée. Ce type d’attaques concerne chaque acteur avec, pour chacun, des particularités spécifiques à son activité propre. Ce sujet est donc traité par des experts spécialisés.