Parce que… c’est l’épisode 0x30F!
Shameless plug
24 et 25 juin 2026 - Troopers
26 et 27 juin 2026 - leHACK
30 juin au 2 juillet 2026 - Pass the SALT
19 septembre 2026 - Bsides Montréal
20 au 26 septembre 2026 - BruCON
13 novembre 2026 - DEATHCon
16 au 19 novembre - European Cyber Week
1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
24 et 25 février 2027 - SéQCure 2027
Description
Collaborateurs
Nicolas-Loïc Fortin
[Pascal Manni]
Crédits
Montage par Intrasecure inc
Locaux réels par [BANQ]
upe industriel aéronautique. Pascal possède plus de 15 ans d’expérience au sein d’Airbus, dont une dizaine d’années en France et huit ans en Chine en sécurité numérique, avant de rejoindre le Canada en 2018 et d’occuper le poste de RSSI depuis environ trois ans.
Contexte : l’acquisition et le choc culturel
Airbus, qui compte environ 150 000 employés dans le monde, a racheté le programme C Series (devenu l’A220) en 2016. Cette acquisition a créé un choc de paradigme entre la culture de gouvernance européenne, très structurée en matière de sécurité, et l’environnement canadien qui devait s’y adapter. Pascal a été la première personne à instaurer cette culture du rôle de RSSI au Canada, un poste alors mal compris dans l’organisation.
Les quatre piliers du programme A220
Pascal identifie quatre grands domaines sur lesquels repose la sûreté du programme A220 : la partie industrielle et la chaîne d’approvisionnement, le produit lui-même (soumis aux exigences réglementaires de l’aviation, comme celles de Transport Canada ou de l’OACI), la partie numérique (données et systèmes informatiques), et enfin les personnes et les espaces de travail (menaces liées aux acteurs malveillants). Le rôle du RSSI consiste à s’assurer que ces quatre piliers sont adéquatement maîtrisés, en s’appuyant notamment sur une cartographie des risques.
Un enjeu central évoqué est celui du vocabulaire : Airbus a développé un langage commun et une taxonomie propre, permettant d’uniformiser la communication à travers toutes ses divisions (avions, hélicoptères, espace, services), et de dialoguer efficacement avec les multiples régulateurs (français, canadiens, américains, européens) dans un environnement extrêmement encadré, renforcé par les nouvelles normes cyber européennes.
La méthodologie EBIOS RM
Le cœur de l’échange porte sur la méthode d’analyse de risque utilisée par Airbus : EBIOS RM, développée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) en France. Cette approche, organisée en cinq ateliers, permet d’adapter le niveau de détail selon la maturité et les besoins du secteur d’affaires concerné.
Atelier 1 définit le périmètre (scope), la mission concernée, ainsi que les « biens métier » et « biens support ». Une analyse de conformité (basée sur le NIST, adapté au vocabulaire d’Airbus) permet d’attribuer des notes de A à D, donnant au secteur d’affaires une première vision de sa posture de sécurité.
Atelier 2 identifie les « sources de risque », c’est-à-dire les acteurs malveillants potentiels (groupes criminels, États, employés mécontents) et leurs motivations, ce qui permet de prioriser les contrôles à mettre en place.
Atelier 3 croise stratégiquement les sources de risque avec les biens à protéger, en modélisant simplement comment une attaque pourrait perturber une mission. Ce niveau s’adresse à un public exécutif.
Atelier 4 descend au niveau opérationnel, en précisant les mesures concrètes (par exemple isoler physiquement un serveur plutôt que de se fier uniquement à des solutions numériques comme un antivirus).
Atelier 5 conclut par un plan de traitement des risques, positionné sur une matrice impact/probabilité, avec un suivi continu et une réévaluation périodique.
Pascal souligne que cette démarche implique fortement le secteur d’affaires (le « business ») dès le départ, le RSSI agissant comme traducteur entre les exigences d’ingénierie, réglementaires et de sécurité.
La spécificité aéronautique
La discussion aborde aussi la dimension unique de l’aéronautique : contrairement à d’autres industries, la sûreté d’un produit comme l’A220 continue d’exister bien après sa livraison, à travers la maintenance, les mises à jour et une relation contractuelle et réglementaire continue entre Airbus et les opérateurs aériens. Une analogie est faite avec le transport par autocar, où la sécurité ne se limite pas au véhicule mais concerne l’ensemble de l’écosystème (aéroports, restauration, maintenance, peinture, etc.), chaque maillon pouvant avoir des conséquences dramatiques.
La chaîne d’approvisionnement, angle mort fréquent
Un thème récurrent est la gestion des risques liés aux fournisseurs, de plus en plus ciblés par les attaquants puisque les grandes entreprises comme Airbus sont mieux protégées. Chaque contrat de service inclut désormais des annexes de sécurité, avec des questionnaires de conformité et des audits réguliers. Pascal raconte que de nombreux fournisseurs, surtout les petites entités locales sans expérience préalable de ce type d’exigences, réagissent d’abord en pensant ne pas être concernés puisqu’ils ne sont pas directement connectés aux systèmes d’Airbus. Il doit alors jouer un rôle pédagogique pour expliquer que leur capacité de production, même non numérique, peut mettre en péril toute la chaîne. Il observe aussi que les fournisseurs européens, plus habitués à ce type de rigueur réglementaire, aident souvent leurs homologues nord-américains à s’y retrouver.
Gestion des vulnérabilités, incidents et tableaux de bord
Les deux derniers piliers du rôle de RSSI — la gestion des vulnérabilités et la gestion des incidents — sont étroitement liés aux évaluations de risque. La détection d’une vulnérabilité déclenche un travail de priorisation et de remédiation, tandis qu’un incident est transmis aux équipes spécialisées (CERT, SOC) puis vient réalimenter le cycle d’analyse de risque. Enfin, Pascal évoque l’importance des tableaux de bord partagés avec les niveaux exécutifs, à condition que les indicateurs soient suffisamment matures et fiables — un chantier encore en construction pour un programme relativement jeune comme celui d’Airbus Canada.
Collaborateurs
Nicolas-Loïc Fortin
Pascal Manni
Crédits
Montage par Intrasecure inc
Locaux réels par [BANQ]