L’aviation européenne s’organise contre les cyberattaques
L’Agence européenne de la sécurité européenne (EASA) met en place une plateforme d’échanges d’informations. Elle compte inciter tous les acteurs du transport aérien à adopter un système contre les cybermenaces.
A la création de l’agence en 2004, le sujet n’était pas d’actualité. Aujourd’hui, il devient crucial. La preuve : la cybersécurité fait désormais partie des compétences de l’Agence européenne de la sécurité aérienne (AESA), comme le définit son nouveau règlement entré en vigueur en septembre 2018. Et l’organisme compte s’atteler à renforcer un secteur très exposé. "Nous n’avons pas vocation à devenir un centre cyber d’alerte H24, mais nous nous sommes rendus compte de plusieurs faiblesses dans ce domaine", a reconnu Patrick Ky, président de l’AESA, lors d’une rencontre organisée mardi 4 décembre par l’Association des Journalistes Professionnels de l’Aéronautique et de l’Espace (AJPAE).
En octobre 2015, le responsable de l’EASA avait déjà fait part de ses craintes, expliquant avoir fait appel aux services d’un hacker qui était parvenu à entrer dans le réseau d’une compagnie aérienne puis au sein du système de contrôle d’un avion. Une menace nouvelle qui a réellement pris corps avec la cyberattaque de la compagnie aérienne polonaise Lot, conduisant à l’annulation des vols pendant plusieurs heures en juin 2015. Si la compagnie aérienne n’a jamais reconnu la nature de l’incident, l’implication de pirates informatiques ne fait guère de doute.
VOS INDICES
source
Un besoin de transparence
"La première faiblesse du secteur, c’est l’échange d’information", a précisé Patrick Ky. Et le dirigeant, sans nommer la compagnie Lot, de mettre en garde : "leur système de gestion des opérations est un système de Luthansa, qui est le même que 70% des compagnies aériennes dans le monde. Ce qui m’a dérangé, c’est que cette compagnie a été attaquée et n’a pas distribué l’information aux autres compagnies pour qu’elles puissent se protéger contre une attaque similaire". Une demande de plus grande transparence qui n’est d’ailleurs pas sans rappeler celle de Guillaume Poupard, directeur général de l'Agence nationale pour la sécurité des systèmes d'information (ANSSI).
Un besoin de circulation de l’information qui a conduit l’agence à mettre sur pied une plateforme d’échanges. Un partenariat a également été noué avec le centre cyber des institutions européennes, basé à Bruxelles. "Nous avons détaché une personne dans ce centre qui diffuse ensuite les informations à un réseau de compagnies aériennes, d’autorités nationales ou bien encore de constructeurs", a détaillé Patrick Ky.
Autre chantier pour améliorer la cybersécurité du transport aérien : intégrer l’ensemble de la supply chain, et pas seulement les constructeurs. "Un avion peut être cyber sûr, et certifié en tant que tel, mais dans la vie de cet appareil, à chaque nouvelle opération de modification ou de maintenance, on introduit un nouveau cyber risque, a souligné Patrick Ky. Si Airbus et Boeing font de la cybersécurité une priorité, ce n’est pas forcément le cas d’un atelier de maintenance." L’EASA prépare un règlement qui pourrait forcer l’ensemble des acteurs du transport aérien à définir une politique cyber et développer un système de gestion du cyber risque.
"On espère que ce règlement sera adopté dans le courant de l’année 2019", a affirmé Patrick Ky. Concrètement, la cybersécurité pourra alors faire l’objet d’une certification pour de nouveaux acteurs, en particulier les opérateurs de maintenance. Ce qui nécessite que l’ensemble des autorités nationales se dotent de compétences cyber, ce qui n’est pas toujours le cas aujourd’hui. "Quant aux inspecteurs, ils devront être capables d’aller regarder dans le système de gestion du risque d’un opérateur." Si l’EASA monte au créneau face au cyber risque, la mise en musique sur le terrain dans l’ensemble des pays concernés est loin d’être opérationnelle.
SUR LE MÊME SUJET
L’aviation européenne s’organise contre les cyberattaques
Tous les champs sont obligatoires
0Commentaire
Réagir
