François Lavaste, Airbus Cybersecurity : « Investir dans les certifications OIV, c’est rentable »

Le Pdg d’Airbus Cybersecurity estime que la législation française sur les OIV sert de poisson pilote à l’Europe. Et milite pour la certification des prestataires de cybersécurité au niveau du continent.

Enfouie dans l’entité ‘Defence and Space’ du groupe Airbus (soit 12 milliards d’euros de chiffre d’affaires et 37 000 personnes), l’activité cybersécurité de l’avionneur regroupe quelque 700 personnes, essentiellement en France, Allemagne, Grande-Bretagne et au Moyen-Orient. Un prestataire, qui a grossi par rachats (notamment ceux d’Arkoon et Netasq), et qui sert les besoins du groupe (25 % du chiffre d’affaires), ceux des secteurs de la défense et du gouvernement (40 %) ainsi que ceux des industries critiques (35 %).

Son Pdg, François Lavaste, a décidé, en la matière, de se focaliser sur quelques secteurs d’activité (aéronautique et espace, transports, industries et utilities), en couvrant les besoins de sécurisation de ces organisations sur le volet IT bien sûr, mais également sur les systèmes embarqués et les Scada…

Silicon.fr : Venu de la sécurisation IT des environnements traditionnels, vous cherchez à vous étendre vers les environnements industriels, les Scada. Quel niveau de préparation voyez-vous sur le terrain ?

François Lavaste : On observe les mêmes problèmes sur les réseaux Scada que sur les environnements IT traditionnels, mais avec d’autres protocoles et d’autres rythmes d’évolution. Le niveau de maturité est également tout autre. Sur ces réseaux industriels, on aborde seulement les phases amont du processus de sécurisation. Nos clients nous sollicitent pour de la prévention, avec des audits par exemple. Voire des inventaires des équipements déployés sur le terrain. Pour ce segment de marché, en collaboration avec Schneider et Siemens, nous avons conçu des pare-feu Stormshield durcis et adaptés au monde industriel, les SNi40. Par ailleurs, nous sommes en train de tester la surveillance de réseaux industriels depuis nos SOC (Security Operation Center), en intégrant les protocoles spécifiques à ce secteur. De premiers tests avec deux clients sont en cours.

Certes, nous n’avons pas vécu de crise majeure suite à une attaque Scada. Mais cela ne veut pas dire que le risque est inexistant. On l’a vu dans l’IT traditionnelle, où des attaques bien visibles, comme celle contre TV5 Monde, cohabitent avec des attaques plus sournoises. Le fait qu’on ne détecte aucun incident majeur ne veut pas dire que des assaillants ne sont pas en repérage ou en train de préparer leurs futurs méfaits.

En France, la Loi de programmation militaire (LPM) oblige certaines grandes entreprises (les OIV, Opérateurs d’importance vitale) à investir dans la cybersécurité. Cette loi a-t-elle eu un réel effet sur le marché ou les OIV pratiquent-ils l’évitement ?

F.L. : Cette piqûre de rappel a été un vrai accélérateur. Elle donne aux RSSI un argument massue pour justifier les investissements nécessaires dans la cybersécurité, car la réglementation en fait un sujet de Comex. Pour un industriel de sécurité comme nous, la démarche de certification systématique des produits et services mise en place par la France dans le cadre de cette législation représente certes un investissement, mais un investissement rentable. Nous sommes déjà certifiés PASSI (audits de sécurité, NDLR) et avons entamé la démarche pour être également certifiés PDIS (détection d’incidents, NDLR) et PRIS (réponse à incidents, NDLR). La France est assez en avance sur cette démarche par rapport aux autres pays européens. Et son initiative influence aujourd’hui les autres États membres, mais aussi l’Union européenne en tant qu’entité politique.

Justement, votre intérêt consiste à voir émerger une labellisation européenne, plutôt que des certifications pays par pays. Où en est-on sur ce terrain ?

F.L. : Le sujet est clairement sur la table. Il faut que nous imaginions des équivalences entre les certifications obtenues dans tel pays et celle d’autres États membres. Ce qui a changé depuis 18 mois, c’est que les Allemands sont désormais davantage moteurs sur cette question. Notons qu’il existe déjà des statuts portant sur la restriction de l’accès à l’information dans l’UE, pour lesquels il faut disposer de certifications émises par deux pays membres différents. J’aimerais bien voir un modèle dual proche de celui-là se mettre en place pour les produits et services de cybersécurité. En imposant, peut-être, une certification par un pays majeur de l’Union. Mais ce sera long car des réflexes de souveraineté vont se manifester, en particulier sur des sujets comme la cryptographie.

La croissance du marché de la cybersécurité est attendue à 9 ou 10 % cette année. Et chez Airbus Cybersecurity ?

F.L. : Nous connaissons une croissance à deux chiffres depuis des années. En 2016, nous avons ainsi connu une progression environ deux fois supérieure à la moyenne du marché, avec plus de 18 % de croissance en organique. En 2017, nous avons prévu 175 recrutements pour assurer notre développement. Or recruter dans la cybersécurité est devenu très difficile. Depuis deux ou trois ans, une prise de conscience de la criticité de ce sujet a eu lieu au sein du groupe : nous avons obtenu de pouvoir sortir du cadre RH global d’Airbus.

L’actuelle campagne présidentielle a certes abordé la cybersécurité par le biais des risques qui pèsent sur les équipes de campagne, mais les programmes des candidats restent bien légers sur ce terrain. Quelle mesure auriez-vous aimée lire ?

F.L. : Je suis partisan d’une information systématique des consommateurs lorsque leurs données sont compromises par un acteur tiers.

A lire aussi :

OIV : la France pousse à la normalisation des incidents de sécurité

OIV : la détection des attaques passe sous le contrôle de l’Etat

FIC 2017 : les démocraties face à leurs fragilités numériques