- Place de l'IT - https://placedelit.com -

Cyberdéfense: Airbus et Thales convergent sur la détection des menaces

Interview Frédéric Julhes, Directeur France d’Airbus CyberSecurity
Frédéric Julhes, directeur France d’Airbus CyberSecurity, annonce un partenariat avec Thales

Bien que concurrents sur les systèmes d’information critiques et la cybersécurité, Airbus CyberSecurity et Thales ont clairemùent affiché une volonté de coopération lors des Assises de la Sécurité à Monaco qui se sont déroulées du 9 au 12 octobre à Monaco.
L’alliance de nature technologique et commerciale porte précisément sur deux produits dit “souverains” en matière de détection des cyber-menaces: la solution Orion Malware d’Airbus CyberSecurity qui «combine les meilleurs moteurs de détection statiques et dynamiques afin de détecter les malwares les plus furtifs» et la sonde de détection d’attaques Cybels Sensor de Thales, qui identifie les attaques sur la base de règles de détection dédiées à l’analyse de protocoles et de fichiers. Cette dernière bénéficie depuis avril 2019 du Visa de sécurité pour sa qualification élémentaire délivré par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Cette qualification garantit le niveau de sécurité nécessaire, afin de permettre notamment aux opérateurs d’importance vitale (OIV, qui rassemblent tous les acteurs disposant d’infrastructures essentielles pour la sécurité de la nation) d’être en conformité avec la loi de Programmation militaire 2014-2019 pour la détection des cybermenaces.
La sonde Cybels Sensor de Thales est déjà active chez de nombreux clients comme le Groupe La Poste ou pour des programmes européens comme les systèmes de sécurité de la constellation de satellites Galileo, pour des usages de géolocalisation. Pour sa part, la solution Orion Malware d’Airbus CyberSecurity est également déployée pour la protection de clients institutionnels et privés.
Lors des Assises de la Sécurité, Place de l’IT a rencontré Frédéric Julhes, Directeur France d’Airbus CyberSecurity. Il fournit des précisions du partenariat avec Thales qui constitue une première entre les deux groupes industriels français. Tout en prenant le soin de préciser initialement l’historique d’Airbus CyberSecurity, qui n’est pas si évident à suivre (voir encadré sous l’interview).

Place de l’IT: Comment Airbus a-t-elle élargi son périmètre d’activité dans le cyber?

Frédéric Julhes: Très longtemps, nous avons développé uniquement de la cybersécurité dédiée à des systèmes de défense militaire. Il y a environ 8 ans, le groupe Airbus a fait évoluer sa stratégie cyber. Au-delà de la sécurisation des moyens militaires, nous avons décidé de prendre en compte la cybersécurité de nos propres systèmes et d’autres groupes de même nature. Nous avons fait le choix stratégique de créer une branche cyber qui fournit des services vers l’extérieur. De fut la naissance d’Airbus CyberSecurity. Depuis, nous Enregistrons une croissance très forte, de 20% par an. Nous nous concentrons sur plusieurs volets cyber – service expert, protection, architecture, design – pour le compte du gouvernement français, des OIV et certaines parties de notre groupe.
En termes de Centres Opérationnel de Cybersécurité (SOC) dédiés ou mutualisés, nous recensons 20 contrats en France. D’autres sont livrés à certaines entités européennes. Cela comprend un contrat-cadre de six ans, signé en octobre 2018 avec Atos pour protéger les systèmes informatiques de 17 institutions, services et agences européennes du Conseil de l’Union européenne.

Comment expliquer cet accord avec Thales annoncé aux Assises de la Sécurité?

Airbus CyberSecurity et Thales sont souvent en concurrence. Pour la première fois, nous annonçons une coopération. Traditionnellement, il y avait surtout beaucoup de compétition en termes de leadership européen dans le domaine du cyber. Depuis des dizaines d’années, nous sommes l’un des principaux fournisseurs cyber de l’armée, tout comme Thales. Il faut prendre un peu de recul. Dans les processus de fabrication des avions d’Airbus, on retrouve souvent de l’électronique embarqué en provenance de Thales.

Airbus CyberSecurity - Thales: consensus sur la détection des cybermenaces
La coopération Airbus CyberSecurity-Thales s’adresse surtout aux responsables SOC des OIV

Pourquoi cette convergence de vue dans la détection des cybermenaces?

Nous exploitons deux solutions qui deviennent d’une puissance inégalée en les associant. C’est assez unique sur le marché.
D’un côté, la sonde souveraine Cybels Sensor de Thales respecte un certain nombre d’exigences de l’Anssi. Nous associons cette sonde à une capacité que l’on appelle Orion. Ce produit reçoit à la volée tout ce qui est un peu suspect en provenance de la sonde, mais qui n’est pas identifié comme une attaque et qui pourrait passer en faux négatif [c’est-à-dire des attaques non détectées comme des vulnérabilités Zero Day]. Orion fait plusieurs choses pour détecter les malware, et dispose de capacités complémentaires à la fois statiques et dynamiques. Il intègre aussi un peu d’intelligence artificielle (machine learning). Orion remue le code envoyé, qui passe dans des bacs à sable. Notamment un que nous avons développé au niveau du kernel pour détecter des nouvelles traces d’attaques à réutiliser en investigation.
La sonde de Thales l’alimente et la solution d’Airbus CyberSecurity envoie des résultats et des indicateurs de compromission (IOC pour Indicators of Compromise). Elle édite aussi des rapports à destination de l’utilisateur final [les responsables et exploitants de SOC].

Avec l’appui de Thales, A quel degré d’efficacité technologique parvenez-vous?

Orion se montre efficace dans les endroits à piloter avec des attaques difficiles à attraper (typiquement les OIV). Il faut qu’il soit alimenté en suspicions. La sonde souveraine [de Thales] prend en charge ce volet. Cette alliance Airbus CyberSecurity et Thales permet d’aboutir à davantage de résultats  pour le compte d’Orion et de disposer d’un complément de détection pour la sonde Thales, ce qui lui ouvre des perspectives d’investigation.

Comment se passe la commercialisation de la nouvelle version d’Orion, “augmentée par Thales”?

Il existe plusieurs modèles de commercialisation, sans exclusivité.
L’un ou l’autre industriel peut vendre l’ensemble. Il s’agit d’une réelle association en matière de détection des cyber-menaces, qui intègre aussi une partie de travail en commun pour le marketing.

Au-delà d’Orion, envisagez-vous d’autres pistes de collaboration avec Thales?

Nous collaborons déjà sur la Cyberdéfense Factory inaugurée début octobre à Rennes, en la présence de la ministre des Armées Florence Parly. Airbus CyberSecurity et Thales en sont les principaux fournisseurs industriels et technologiques.

Airbus: consolidation
des ressources Cyber

Entité d’Airbus Defence and Space (elle-même fruit de la fusion entre trois entités en 2014 du groupe Airbus: Cassidian, Astrium et Airbus Military), Airbus CyberSecurity fournit aux entreprises, aux infrastructures nationales critiques et aux organisations gouvernementales et de défense, des produits et des services de sécurité «leur permettant de détecter, d’analyser et de déjouer les cyberattaques sophistiquées». Un groupe de 850 experts Cyber en Europe, dont près de 300 en France. Il faut également compter les 200 collaborateurs de la filiale Stormshield qui développent des produits de type pare-feu et des solutions de protection des postes de travail. Elle a émergé en janvier 2016, en fédérant les ressources des sociétés Arkoon et Netasq acquises en 2013 sous la bannière Cassidian CyberSecurity (une branche intégrée également dans l’ensemble Airbus Defence and Space).