Réorganisation en vue dans les activités cyber chez Airbus. A la veille du Forum International de la Cybersécurité (FIC), qui se tient à Lille du 7 au 9 juin prochains, le groupe d’aéronautique et de défense a dévoilé, jeudi 2 juin, une remise à plat de l’organisation de ses activités en matière de cybersécurité. Airbus va regrouper dès le 1er juillet toutes ses activités de services au sein d’une organisation unique, dénommée pour l’heure Airbus Protect. Une initiative qui n’est pas sans provoquer quelques interrogations en interne.
« L’objectif de cette réorganisation est de renforcer les activités cybersécurité d’Airbus », appuie Marc Bouvier, vice-président stratégie en charge des activités cybersécurité du groupe Airbus. Au total, Airbus Protect rassemblera environ 1200 personnes, essentiellement en France, comme à Toulouse (Haute-Garonne) et Elancourt (Yvelines), mais aussi en Allemagne, au Royaume-Uni et en Espagne. L’équipe aura pour tâche d’offrir des services pour protéger le groupe, mais aussi pour répondre aux besoins des autorités nationales, des clients commerciaux et des opérateurs d’importance vitale (OIV) via des audits, du consulting et des plateformes type SOC (Security Operation Center).
Airbus Protect, une nouvelle entité dédiée aux services
En interne, certains regrettent que la réorganisation n’ait pas cherché à intégrer l’ensemble des activités cyber du groupe, alors que le secteur est marqué par une course à la taille entre les acteurs. Explications : la nouvelle organisation sera le fruit du rapprochement entre, d’une part, Apsys, une entité de la division aviation commerciale dédiée au départ à la sécurité industrielle dans l’aéronautique puis à la cyber (aux trois quarts pour les besoins d'Airbus), et, d’autre part, une partie des activités d’Airbus Cybersecurity, l’entité dédiée à la cyber de la division d’Airbus Defence and Space (aux trois quarts tournée vers l'externe). Au total, 900 personnes seront issues d’Apsys et 300 (sur 700) d’Airbus Cybersecurity.
En clair, coexisteront après cette opération – sans parler des activités 100% dédiées à la cybersécurité du groupe – l’équipe d’Airbus Protect, mais aussi celle de ce qui restera d’Airbus Cybersecurity (soit 400 personnes), tournée vers les grands programmes de défense, ainsi que celle de StormShield (400 personnes), chargée de l’édition de solutions et de logiciels de type pare-feu (au sein également d’Airbus Defence and Space). Chez Airbus, on souligne au passage que cette réorganisation ne modifie pas les effectifs globaux, soit environ 2000 personnes, et qu’elle ne nécessite aucun transfert physique de collaborateurs entre sites.
Des doutes sur la concertation des équipes
« Pourquoi ne pas avoir intégré l’ensemble des activités cyber en un seul centre de compétences indépendant ? Cela dénote un manque d’intégration entre les activités civiles et militaires », insiste une source interne. Réponse de Marc Bouvier : « la cybersécurité a beaucoup évolué ces dernières années avec la digitalisation de l’industrie et de l’économie, faisant naître une grande variété de métiers. Notre réorganisation consiste donc à regrouper les équipes par métier, en réunissant toutes les compétences en matière de services. »
Pas de quoi, selon le dirigeant, redouter l’absence de concertation et le manque de synergies, bien au contraire. « Nous allons favoriser les échanges entre équipes et les faire travailler en étroite collaboration, assure encore Marc Bouvier. Et les équipes services pourront parfois travailler en soutien des équipes programmes et vice et versa. » Et d’ajouter que cela va également permettre aux équipes, qui pouvaient opérer dans des domaines identiques, de travailler ensemble, notamment dans le secteur industriel.
Airbus dans le top 10
C’est, en creux, la crainte d’un déclassement d’Airbus en matière de cyber qui se fait jour avec les critiques liées à cette réorganisation, face à des groupes tels que Thales, Idemia ou bien encore Atos. Alors que la cybersécurité n’est pas son cœur de métier, comment le groupe compte-t-il en découdre avec ses concurrents plus généralistes et se rendre visible à l’extérieur ? A part la société allemande DSI spécialisée dans les systèmes de cryptographie et de communication, le tableau de chasse des acquisitions cyber d’Airbus reste notoirement faible. Thales s’est emparé de Gemalto et a multiplié les acquisitions comme tout dernièrement S21sec et Excellium, Orange Cyberdéfense a cumulé une croissance externe de près de 400 millions d’euros entre 2016 et 2020 et Atos a racheté pas moins de sept entreprises depuis fin 2019…
La nouvelle organisation chez Airbus va-t-elle permettre au groupe de garder son rang ou va-t-elle au contraire le faire chuter, comme le redoutent certains en interne ? « L’objectif avec cette réorganisation est justement de dépasser une certaine masse critique dans cette activité stratégique de services », argumente pour sa part Marc Bouvier. Dans son rapport publié en 2021, l’Observatoire de la filière de la confiance numérique place Airbus au deuxième rang du top 10 des acteurs français au niveau de l’Hexagone, derrière Thales, mais seulement au sixième rang à l’échelle mondiale, avec respectivement 520 et 727 millions d’euros de chiffre d’affaires.
Des investissements à venir
« L’activité cyber d’Airbus est rentable et connaît une croissance à deux chiffres », renchérit Marc Bouvier, qui se refuse toutefois de fournir des chiffres quant aux ambitions du groupe. Plusieurs centaines de personnes ont par ailleurs été embauchées depuis le début de l’année sur l’ensemble du périmètre cyber du groupe, insiste le dirigeant. « Nous continuons à investir comme par exemple dans les solutions de Stormshield [via un plan de plusieurs dizaines de millions d'euros, ndlr] ou sous forme d’acquisition telle que DSI », rassure Marc Bouvier.
Autre point : il manque à Airbus l’une des qualifications fournies par l’Agence nationale de la sécurité des systèmes d'information (ANSSI). Si le groupe est qualifié Prestataire de détection d'incidents de sécurité (PDIS) et prestataire d’audit de la sécurité des systèmes d’information (PASSI), il lui manque encore un précieux sésame : celui de prestataires de réponse aux incidents de sécurité qualifiés (PRIS), décroché par Orange, Thales et Wavestone. Il n'est ceci dit pas le seul dans la salle d'attente. Airbus va devoir démontrer dans les faits que cette réorganisation est bien de nature à lui donner des ailes pour faire mentir ses détracteurs.
