Product Security Office de la SITA : définir de nouvelles normes de cybersécurité pour l’industrie du transport aérien
- Cybersécurité
- Transport, voyage et logistique
SITA est un acteur majeur de l’industrie du transport aérien. La société offre une large gamme de solutions et de services informatiques à ses clients – aéroports, compagnies aériennes et gouvernements. Ces solutions comprennent des systèmes pour la gestion des opérations aéroportuaires, le traitement des bagages, le traitement des passagers et la gestion des flux de passagers, le contrôle des frontières, les opérations au sol des compagnies aériennes, les services d’infrastructure de réseau et les systèmes embarqués à bord des avions.
Alexandre Izri, Directeur du Product Security Office (PSO) chez SITA, a accepté de partager l’histoire de la création d’une équipe dédiée à la sécurité des produits.
SITA a fait appel à Wavestone pour son expertise en cybersécurité, afin de l’aider à définir et à mettre en œuvre les initiatives qui ont contribué au lancement et au développement de l’équipe. Cette interview explore les stratégies mises en place pour répondre aux exigences croissantes de sécurité des produits numériques. Plus qu’une discussion technique, elle explore la dynamique interne d’une entreprise leader dans son domaine, confrontée à la nécessité d’adapter continuellement ses stratégies de cybersécurité pour faire face à l’évolution du paysage des menaces.
La cybersécurité dans l’industrie du transport aérien : les défis de SITA
Quand la nécessité d’une équipe dédiée à la sécurité des produits s’est-elle imposée ?
Nos activités nous obligent à protéger non seulement nos propres infrastructures, mais aussi celles fournies à nos clients, face à des risques et des menaces en constante évolution : ransomware, attaques de la chaîne d’approvisionnement, tensions géopolitiques, etc. Nos clients attendent le plus haut niveau de sécurité pour leurs opérations. À cela s’ajoute un paysage réglementaire qui évolue rapidement depuis une dizaine d’années, notamment en matière de protection des données personnelles et des infrastructures critiques (GDPR et directive NIS dans l’Union européenne, réglementations équivalentes dans de nombreux pays et régions du monde).
Le PDG de SITA, David Lavorel, et le RSSI, Mark Orosz, ont clairement indiqué dès le départ que nos produits numériques nécessitaient un niveau de sécurité élevé, adapté à des clients de plus en plus exigeants et au poids croissant des normes et réglementations internationales.
Nous voulions établir une vision claire et détaillée de nos capacités, tout en intégrant des mesures de sécurité dès la phase de conception. Pour y parvenir, nous avons dû mettre en place un processus à la fois global et adapté aux spécifications de chaque solution. J’aime utiliser l’analogie d’un « catalogue de révision », constamment mis à jour pour répondre aux exigences de nos clients et des régulateurs.
Un chiffre frappant : dans certains appels d’offres, la sécurité informatique représente 30% de l’évaluation totale !
Pourquoi s’être tourné vers Wavestone pour obtenir de l’aide ?
J’avais besoin de bénéficier à la fois d’une expertise de pointe en matière de cybersécurité et d’une force opérationnelle pour soutenir la planification stratégique, le cadrage et l’exécution de projets, ainsi que les évaluations techniques. J’ai pensé à Wavestone parce que nous avions déjà établi une bonne relation. Leur équipe avait démontré le bon niveau d’expertise, et je les voyais comme de véritables partenaires de confiance capables de me fournir un soutien transversal à long terme.
Redéfinir la sécurité des
produits : la transformation de SITA
Pouvez-vous résumer les principales étapes de la création d’un bureau de sécurité des produits (PSO)?
Il y a environ cinq ans, nous avons commencé par dresser la carte de nos produits, processus et besoins en matière de sécurité. Avec l’aide de Wavestone, nous avons identifié les forces et les faiblesses de nos solutions. Cette étape a donné lieu à un examen de la sécurité : entretiens avec les employés de SITA, tests techniques, évaluation par rapport aux normes internationales et rédaction d’un rapport d’audit et de recommandations. Pour vous donner une idée de l’ampleur de la tâche, notre première campagne a porté sur plus de 30 produits.
Cela nous a permis de créer une feuille de route claire pour renforcer notre sécurité, en tenant compte de nos caractéristiques spécifiques.
En 2020, j’ai mis en place une équipe dédiée à la sécurité au sein des équipes produits de SITA, avec une personne de contact pour chaque portefeuille de produits, afin de couvrir la majorité des solutions du groupe.
Notre attente était d’améliorer la mise en œuvre des processus existants et de répondre aux demandes des clients de manière plus rapide et plus précise.
En 2022, la fonction de cybersécurité de SITA a été réorganisée pour créer une équipe centrale responsable de la cybersécurité de l’ensemble de l’entreprise, couvrant la sécurité des produits en plus de la sécurité de l’environnement interne. Le nouveau Bureau de la sécurité des produits (PSO) s’articule autour de quatre départements :
- Processus et gouvernance
- Sécurité des infrastructures
- Sécurité des applications
- Tests de sécurité et assurance
Wavestone nous a aidés à concevoir un processus d’intégration de la sécurité dans les produits tout au long de leur cycle de vie : développement, déploiement, exploitation et déclassement. Ce processus couvre la définition des exigences techniques et organisationnelles en matière de sécurité à chaque étape, la gouvernance associée, les activités d’assurance et le « crash test » final.
Face aux besoins de nos clients, nous avons pu passer de la réaction à l’anticipation, grâce notamment à une bibliothèque de business cases permettant d’industrialiser la réponse à leurs demandes.
Quels ont été vos plus grands défis – et vos solutions
les plus efficaces ?
SITA travaille avec des clients du monde entier qui ont des exigences et des niveaux de maturité différents en matière de sécurité, et qui opèrent tous dans un secteur très réglementé. Nous avons dû identifier des spécifications de sécurité que j’appelle « universelles », parce qu’elles couvrent 80 % des demandes que nous recevons. Par exemple, selon le client, les mêmes exigences en matière de contrôle d’accès feront référence à une norme ISO, à une autre du NIST ou à une loi spécifique en Inde. Cela nous permet ensuite de nous concentrer sur les 20 % restants avec une approche qualité/coût. En d’autres termes, nous évaluons le niveau d’exigence qui nous permettra de gagner suffisamment d’opportunités tout en restant rentables.
L’équipe a passé près d’un an à examiner les engagements précédents et à créer une base de données fiable. Aujourd’hui, nous sommes entrés dans une phase d’amélioration continue. Bien sûr, il y a toujours des cas particuliers, mais à ce stade, nous maîtrisons suffisamment les produits pour savoir ce qui est possible et ce qui ne l’est pas.
Certaines demandes concernent des produits arrivés à maturité et fortement adoptés par l’industrie du transport aérien pour se conformer aux nouvelles réglementations.
Dans ce cas, il est parfois nécessaire d’ajouter des contrôles compensatoires, sans pour autant générer des coûts prohibitifs. Il s’agit là d’un équilibre délicat pour garantir le maintien de la norme de sécurité requise sans sacrifier la compétitivité.
Pour le quotidien de notre équipe, cela signifie, d’une part, prouver la rentabilité des mesures de sécurité demandées. D’autre part, anticiper les coûts futurs.
Nous avons le même objectif que tous les autres membres de l’entreprise : faire en sorte que les solutions de SITA soient les plus efficaces et les plus compétitives du marché. Il est donc essentiel que les OSP soient perçues comme un catalyseur de croissance et d’innovation.
À cette fin, nous avons progressivement introduit la philosophie du « shift left », en intégrant la sécurité dès le début de la conception du produit. En d’autres termes, nous soutenons les équipes de développement à chaque étape de leur projet, avec des points de contrôle réguliers.
Innover en matière de cybersécurité : ce que cela a changé pour SITA
Quels sont les résultats les plus significatifs de votre transformation ?
Nous avons mis en place un processus de sécurité clair et agile qui est entièrement intégré dans le cycle de vie de tous nos produits. Il est désormais évolutif et permet à SITA d’anticiper les nouvelles tendances et réglementations techniques. Grâce à une solide base de référence en matière de sécurité, SITA répond à la plupart des demandes du marché.
Loin d’être perçue comme une limitation, la sécurité est devenue un élément essentiel de notre proposition de valeur. C’est un argument de vente, une garantie de qualité et de fiabilité pour nos clients.
Je suis particulièrement fier de l’intégration réussie de l’OSP au sein de l’entreprise. L’équipe est connue et reconnue pour sa fiabilité et son expertise. La sécurité fait désormais partie intégrante de l’identité de SITA.
Qu’aimeriez-vous partager avec une entreprise confrontée à un défi similaire ?
Lorsque j’ai commencé ce voyage, il y avait peu d’informations disponibles sur la gestion de la sécurité des produits numériques dans des environnements similaires. Aujourd’hui, j’aimerais donner mon point de vue sur les questions que je me suis posées à l’époque.
Il est essentiel d’établir une stratégie spécifique pour la sécurité des produits, indépendamment de la sécurité de l’entreprise. Cette stratégie doit être adaptée aux caractéristiques particulières du produit numérique et prendre en compte les défis uniques posés par une empreinte internationale, d’autant plus dans un secteur critique et réglementé tel que le transport aérien.
L’histoire de SITA est celle d’une transformation vers une politique de cybersécurité des produits dynamique et innovante, au service de la sécurité informatique et de la compétitivité de l’entreprise.
