Seuls trois des 100 plus gros aéroports au monde ont passé sans problème les tests de cybersécurité, dont Amsterdam-Schiphol. (Photo: Shutterstock)

Seuls trois des 100 plus gros aéroports au monde ont passé sans problème les tests de cybersécurité, dont Amsterdam-Schiphol. (Photo: Shutterstock)

97 des 100 plus grands aéroports du monde, dont celui de Luxembourg, présentent des risques liés à la cybersécurité, selon un nouveau rapport d’un expert suisse. Cela fait deux ans que le Forum économique mondial tire la sonnette d’alarme concernant ces nouvelles menaces qui pèsent sur le secteur aérien.

La cybersécurité est à l’aéroport ce que les toilettes sont au restaurant: un bon moyen de savoir si on peut s’asseoir sans risque.

Et la situation n’est pas reluisante, affirme un rapport publié par la société spécialisée ImmuniWeb, qui s’est penchée sur la question , à la 92e position: 97 des 100 aéroports ont échoué aux tests sur leur cybersécurité.

Seuls Amsterdam-Schiphol, aux Pays-Bas, Helsinki-Vantaa, en Finlande, et Dublin, en Irlande, «peuvent servir d’exemple, non seulement à l’industrie aéronautique, mais aussi à toutes les autres industries», notent les auteurs du rapport.

«Étant donné le nombre de personnes et d’organisations qui confient leurs données et leur vie aux aéroports internationaux chaque jour, ces résultats sont assez alarmants», . «Étant un grand voyageur, je préfère franchement voyager via les aéroports qui se soucient de leur cybersécurité. Les cybercriminels pourraient bien envisager d’attaquer les hubs aériens involontaires pour mener des attaques en chaîne des voyageurs ou du trafic de fret, ainsi que de viser directement les aéroports pour perturber les infrastructures nationales critiques. Aujourd’hui, lorsque notre infrastructure numérique est extrêmement complexe et entrelacée avec de nombreux tiers, la visibilité globale de vos actifs numériques et de la surface d’attaque est essentielle pour assurer le succès de votre programme de cybersécurité. Sans cela, tous vos efforts et dépenses sont malheureusement vains.»

Vulnérabilités, pertes de données, dark web

Que leur est-il reproché concrètement?

- Sécurité du site web principal: 97% des sites web contiennent des logiciels obsolètes; 24% des sites contiennent des vulnérabilités connues et exploitables; 76% et 73% des sites web ne sont pas conformes respectivement au GDPR et au PCI DSS;

Sécurité des applications mobiles: 100% des applications mobiles contiennent au moins 5 cadres logiciels externes; 100% des applications mobiles contiennent au moins 2 vulnérabilités; 15 problèmes de sécurité ou de confidentialité sont détectés par application en moyenne; 33,7% du trafic sortant des applications mobiles n’a pas de cryptage;

Exposition sur le dark web, référentiels de code et cloud: 66% des aéroports sont exposés sur le dark web; 72 expositions sur 325 présentent un risque critique ou élevé indiquant une violation grave; 87% des aéroports ont des fuites de données sur les référentiels de codes publics; 503 des 3.184 fuites présentent un risque critique ou élevé permettant potentiellement une violation; 3% des aéroports disposent d’un cloud public non protégé avec des données sensibles.

Or, ces aéroports qui transportaient 4,1 milliards de passagers en 2017 en transporteront autour de 10 milliards en 2040, plus un gros tiers du transport de marchandises, soit 6.400 milliards de dollars, selon l’Organisation internationale du transport aérien. Transport des passagers, des marchandises, maintenance et inspections, contrôles d’identité et de douane, services d’alimentation et de taxi... la totalité de la chaîne de fonctionnement de ces infrastructures critiques est aujourd’hui en partie ou complètement digitalisée.

Un environnement complexe

Perdre des données, note le Forum économique mondial, peut faire courir toutes sortes de risques. C’est la deuxième fois cette année que le WEF consacre . En 2019, il s’agissait de tirer la sonnette d’alarme concernant ce cyber-risque. Cette année, de pousser plus loin l’analyse pour définir une stratégie et des standards mondiaux de gestion de la menace, à laquelle ne sont consacrés que deux des 12.000 standards de la Convention de Chicago.

«La complexité de l’écosystème de l’aviation, avec ses nombreuses parties prenantes, rend la compréhension de la nouvelle nature du risque particulièrement difficile et met en évidence le lien étroit entre la gestion de l’identité numérique, la confiance et la sécurité des opérations», dit le rapport réalisé avec Willis Towers Watson. Derrière les termes très académiques, certaines phrases sont glaçantes. Comme la suivante: «Les conséquences de toute défaillance majeure pourraient entraîner des implications et des coûts directs pour la sécurité publique et la sécurité nationale.»

De nombreux États et compagnies sont conscients des risques. Cathay Pacific Airways, la plus grosse compagnie au monde, a perdu le contrôle sur les données de 9,4 millions de passagers. Au point que 94% des aéroports ont prévu d’investir dans leur cybersécurité, les États-Unis ont dépensé 15 milliards de dollars du budget fédéral pour cette question, et les Canadiens, 144,9 millions de dollars en cinq ans pour protéger leurs infrastructures.