Pascal Andrei occupe le poste de directeur de la sûreté mondiale au sein du groupe Airbus. Au cours d’une conférence captivante, il a abordé la question des enjeux cruciaux de la sécurité et de la sûreté dans le secteur aéronautique.
Depuis plus de 33 ans, Pascal Andrei pilote ces missions de sûreté au sein des trois grandes divisions du groupe européen (Airbus Commercial Aircraft, Airbus Defence and Space et Airbus Helicopters), en tenant compte de l’immense chaîne de sous-traitance.
Propos recueillis par Yannick Campo
Docteur pionnier en intelligence économique en France et officier réserviste opérationnel du GIGN, Pascal Andrei a su rapidement gravir les échelons au sein d’Airbus, devenant l’une des pièces maîtresses de l’entreprise. Depuis plus de trois décennies, il analyse les mutations internationales qui représentent autant de nouveaux dangers pour le leader mondial de l’aéronautique, ses 180 sites, ses 160 000 employés et ses 600 000 sous-traitants : « Nous évoluons dans un monde VUCA BANI (volatile, incertain, complexe, ambigu, fragile, anxiogène, non linéaire, imprédictible). Les conflits se multiplient, et lorsqu’il s’agit de la sûreté dans un groupe comme Airbus, il est essentiel de comprendre la complexité, l’ambiguïté et le caractère disruptif et imprévisible des situations. La prévention et l’anticipation sont primordiales. »
Sécurité et sûreté
Dans le secteur aéronautique, il faut, en premier lieu, distinguer la sécurité de la sûreté : « La sécurité concerne la conception d’un avion pour éviter les accidents, ainsi que les mesures prises pour anticiper les problèmes de maintenance et de pilotage. La sûreté, quant à elle, vise à protéger tous les actifs du groupe contre des actes malveillants intentionnels. Cela inclut des hackers cherchant éperdument à détourner un avion avec un smartphone, mais aussi des attaques physiques, telles que les détournements ou autres actes terroristes en malheureuse croissance. Nous devons également nous prémunir contre des employés mécontents, des sous-traitants ayant perdu un appel d’offres, ainsi que contre des complotistes et le crime organisé. Ce dernier constitue une menace majeure, notamment à travers des ransomwares, qui consistent à encrypter des données et à exiger une rançon pour leur restitution. Au sein d’Airbus, nous avons une politique stricte : jamais de paiement de rançon. Nous accordons également une attention particulière à nos sous-traitants critiques, ceux ayant des accès privilégiés à nos systèmes ou des fournisseurs exclusifs. »
Pascal Andrei (c) Yannick Campo
Sous la direction de Pascal Andrei, un millier de personnes s’emploient chaque jour à ces missions de surveillance et de protection : « Chez Airbus, la sûreté est un continuum. Nous nous protégeons contre les attaques digitales. Par exemple, en 2024, nous avons bloqué 10 000 virus majeurs, soit environ une trentaine par jour. Nous disposons également d’un Security Operation Center, un centre de supervision de la sûreté internationale, qui gère les attaques les plus critiques, environ trois par jour. Une attaque critique peut mobiliser mes équipes pendant plusieurs semaines. »
Pendant la pandémie de COVID-19, les hackers ont modifié leur stratégie, se concentrant sur les filiales d’Airbus plutôt que sur le système d’information du siège. Depuis la fin de la pandémie, leur nouvelle cible est la chaîne d’approvisionnement, englobant les 18 000 sous-traitants du géant mondial. Pour Pascal Andrei, la préoccupation majeure dans ce métier est la cyberattaque non détectée : « Ce qui m’empêche de dormir, c’est-ce que je ne vois pas ! « L’insider», par exemple, une personne interne qui espionne ou qui nuit de diverses manières, est très difficile à appréhender. Nous avons une équipe de “threat hunters”, des chasseurs, qui surveillent en interne la présence de pirates informatiques ou d’individus se radicalisant. »
La menace des activistes écologistes et complotistes sur le transport aérien constitue également un défi croissant. À l’origine, un vieux débat oppose les impératifs environnementaux à la liberté de circulation : « Certains individus tentent d’accéder à des aéroports ou à des hangars, arguant que l’avion pollue et qu’il faudrait cesser de voyager, alors que la décarbonation du secteur progresse rapidement. Nous faisons face aussi à des activistes qui dénoncent notre vente d’armement. »
Ces intrusions et tentatives de sabotage des infrastructures se produisent « tous les jours ». Ces militants sont prêts à tout pour semer la panique, retarder des centaines de vols et, pire encore, mettre en péril la vie des passagers et du personnel aérien : « Nous avons enregistré des actes de sabotage en interne et en externe. Nous avons mis en place des procédures spécifiques et rigoureuses pour vérifier que nos avions ne sont pas corrompus et qu’il n’existe pas de systèmes malveillants à bord. » Tous les produits et services du groupe (avions, hélicoptères, satellites, drones) sont sécurisés : « Nous avons également des services de maintenance prédictive basés sur l’intelligence artificielle. Tous nos avions en bénéficient, et tous les paramètres de vol sont analysés par l’IA pour faire de la maintenance prédictive, de plus en plus performante. Cela fonctionne très bien. » Dans ce vaste panel de missions, la sécurisation de l’approvisionnement et la protection physique du personnel sont également essentielles : « Lorsqu’il s’agit d’expatriés, de commerciaux ou d’ingénieurs se rendant dans des pays à risque pour assurer la maintenance, il est crucial de garantir leur sécurité. »
L’arsenalisation des interdépendances
La recomposition géopolitique impose de nouvelles contraintes dans le domaine aérien. Parallèlement, Airbus doit s’adapter à « la transition écologique, qui n’est pas négligeable en matière de sûreté, mais également à la polarisation sociale et aux enjeux humains de demain. Que deviendront nos jeunes dans cette « hyperclusterisation », alors que les individus sont de plus en plus immergés dans le Metavers ? Ce changement d’ère ne concerne pas uniquement les nations : « Il fait émerger de nouveaux acteurs puissants, tels que les narcotrafiquants, mais aussi des alliances comme les BRICS, qui nous impactent fortement. Les cercles de pouvoir se renouvellent dans un monde où deux grandes superpuissances, la Chine et les États-Unis s’affirment de plus en plus. La géopolitique influence tous nos clients et tous nos sous-traitants. »
À travers les progrès technologiques, la guerre économique se retourne contre l’Europe au profit de la Chine : Selon les communautés de recherche internationales « Parmi les 44 technologies clés mondiales dont nous aurons besoin à l’avenir, 37 sont chinoises et 7 américaines. L’Europe est absente du tableau. » De plus, l’inflation des normes et des réglementations internationales oppose les civilisations et leurs entités industrielles : « En 2021, le cadre réglementaire sur la cybersécurité, l’IA et le contrôle des exportations était peu développé. Aujourd’hui, le nombre de lois a explosé, et nous sommes confrontés à une « régulation par l’étranglement ». Il est crucial pour des groupes comme Airbus de se conformer à toutes ces réglementations. La directive européenne sur la cybersécurité, par exemple, doit être adaptée différemment dans les 26 pays de l’UE, au sein même des activités du groupe. Nous sommes en guerre économique et juridique, une situation fort complexe, marquée par l’arsenalisation des interdépendances. »
Airbus dans le grand jeu mondial
Les yeux se rivent désormais vers la conquête spatiale où les objectifs de sûreté se mêlent aux intérêts économiques, comme le démontre le récent accord de fusion entre Airbus, Thales et l’italien Leonardo pour créer un leader européen, destiné à rivaliser avec SpaceX d’Elon Musk. En parallèle, « nous assistons à une militarisation croissante de l’espace, avec des satellites devenus des cibles de plus en plus attaquées. La ligne rouge a été franchie. Les attaques se réalisent par cyber, par laser, et il existe également des cas d’espionnage. Nous accusons un retard significatif en matière de lancement de satellites. Ces 3 dernières années, l’Europe avait perdu l’accès à l’espace, tandis que, pendant ce même temps SpaceX effectuait plus de 400 lancements pour une mise en orbite de plus de 30 000 satellites saturant l’orbite basse. »
Des cryptogrammes en pagaille, des codes secrets dans des coffrets hermétiques : le groupe Airbus ne lésine pas sur les moyens en matière de sécurité. Pascal Andrei s’inspire également d’Antoine Rossignol, l’inventeur du « Chiffre » sous Richelieu et Mazarin : « Nous avons beaucoup travaillé, mais quiconque affirme que la sécurité à 100 % est possible se trompe. Lorsque j’ai conçu le système de sécurité des avions d’Airbus, j’ai mis en place la PKI (Public Key Infrastructure), le chiffrement électronique à clé pour une signature renforcée de tous les logiciels embarqués dans un avion. Dans les années 90, on nous disait qu’avec cette clé, nous serions en sécurité pendant 30 ans. Cinq ans plus tard, les Japonais ont réussi à la craquer. Nous avons dû changer les clés enregistrées dans les microprocesseurs. Nous avons tout révisé, et l’on nous assurait cette fois que la sécurité serait garantie pour 40 ans. C’était il y a 20 ans, mais avec l’arrivée imminente des ordinateurs quantiques, nous serons probablement confrontés à des menaces en quelques semaines… C’est pourquoi nous travaillons dès à présent sur nos futures solutions de chiffrement en fonction des technologies utilisées par les ordinateurs quantiques. » Un chantier colossal pour Pascal Andrei, tout comme celui de la « Security Intelligence Room » : « C’est une plateforme basée sur de l’intelligence artificielle dédiée à la collecte et à l’analyse des événements mondiaux se produisant au sein d’Airbus, ainsi qu’à l’analyse des informations sur les réseaux sociaux et autres informations critiques, afin de dégager les tendances d’évolution des attaques, de préparer les réponses appropriées, et de gérer la crise… »
