Par Théophile GAULIN et Zi-Long LI
Depuis plusieurs années, la cybercriminalité touche le secteur de l’aviation partout dans le monde : France en 2023, Seattle en 2024, Malaisie en 2025... L’attaque par rançongiciel (ransomware) du 24 mai 2022, qui a entrainé le blocage de centaines de passagers dans plusieurs aéroports, illustre d’ailleurs les conséquences des cyberattaques dans ce domaine. Si les accidents d’aviation les plus courants sont majoritairement liés au facteur humain ou à des défaillances matérielles, les dysfonctionnements logiciels peuvent également provoquer des incidents graves mettant en péril des vies humaines, bien au-delà des enjeux financiers ou réputationnels. Face à la recrudescence des cyberattaques visant le secteur de l’aviation, l’Union Européenne a récemment instauré un cadre réglementaire visant à assurer la sécurité et la résilience de l’industrie aérienne ainsi que le bon fonctionnement de toutes ses parties prenantes : c’est le règlement « Part-IS », qui sera rendu obligatoire à partir d’octobre 2025.
En établissant des exigences en matière de cybersécurité pour l’ensemble des acteurs de l’aviation civile, le règlement Part-IS comble l’absence de réglementations et de référentiels liés à la cybersécurité dans ce secteur. Son champ d’application s’étend des constructeurs aux opérateurs en passant par les équipementiers, ce qui lui vaut l’appellation d’« Horizontal Rule ». De quoi garantir un niveau de cybersécurité suffisant durant tout le cycle de vie d’un aéronef.
Aujourd’hui, le règlement Part-IS exige que les organismes mettent en œuvre un ensemble de règles et de procédures afin de mieux gérer ce type de risques et de mieux protéger leurs systèmes d’information : c’est ce qu’on appelle communément SMSI (Système de Management de la Sécurité de l’Information), ou SGSI (Système de Gestion de la Sécurité de l’Information). Ils se doivent alors de répondre à plusieurs types d’exigences. Le SGSI doit d’abord être capable de gérer les risques et les événements liés à la sécurité de l’information : les identifier, les évaluer et les traiter selon des procédures claires, afin de favoriser un retour rapide à une situation sécurisée. Pour cela, toutes les entités du secteur se doivent de respecter de façon durable les exigences de conformité liées au règlement Part-IS, notamment en fournissant les ressources nécessaires à leurs équipes. Enfin, les organisations doivent veiller à organiser régulièrement des évaluations de maturité, afin d’identifier les axes d’amélioration existants et de mettre en place les mesures adéquates pour y répondre.
La mise en place du règlement Part-IS s’appliquera en deux temps. Les organismes de production et de conception (hors aéronefs légers européens) d’avions, ainsi que les exploitants d’aérodrome et prestataires de services de gestion des aires de traficdevront ainsi s’y conformer dès le 16 octobre 2025. De leur côté, toutes les autres entreprises du secteur auront jusqu’au 22 février 2026 pour prendre les mesures d’adaptation nécessaires. Si l’entreprise est déjà mature en matière de cybersécurité, les démarches de conformité à réaliser seront moins importantes. Elles pourront notamment inclure la mise en place d’un processus d’amélioration constante selon le principe PDCA (Plan Do Check Act). A l’inverse, si l’entreprise n’est pas encore mature sur le sujet, il sera nécessaire de réaliser une étude comparant les mesures de sécurité actuellement en place et les exigences du règlement Part-IS, afin de mettre en évidence les efforts à effectuer pour y répondre.
Face à l’accélération et à la généralisation de l’utilisation des technologies numériques, mais aussi à un environnement économique de plus en plus complexe, les cybermenaces pesant sur le secteur aéronautique tendent à s’intensifier. En vue de l’entrée en vigueur du règlement Part-IS fin 2025, les organisations doivent dès à présent amorcer l’amélioration de leur niveau de maturité en termes de cybersécurité. Pour se lancer dans cette transition, elles peuvent d’ores et déjà faire appel à des structures expertes pour dresser l’état des lieux de leur SGSI, identifier les éventuels écarts avec les dispositions du règlement et établir une feuille de route adéquate.
Le 14 juin 2022 | La 20ème édition du SSTIC (Symposium sur la Sécurité des Technologies de l'Information et des Communications) s’est tenue à Rennes du 1er au 3 juin 2022. Au cours de cet événement, les présentations techniques ont succédé aux échanges informels entre membres de la communauté cyber française. Retour sur les 3 interventions qui ont marqué ce rendez-vous très attendu, après deux éditions...
Le 22 juin 2022 | La 14ème édition du FIC (Forum International de la Cybersécurité) s’est déroulée à Lille les 7, 8 et 9 juin 2022. Cet événement permet de rassembler les différents acteurs de l’écosystème de la cybersécurité et du « numérique de confiance » : clients finaux, consultants, écoles, université, éditeurs de solutions, force de l’ordre, agences étatiques... Durant le FIC 2022, deux sujets...
Le 20 octobre 2023 | Aujourd'hui, plus que jamais, les entreprises sont vulnérables aux cyberattaques et cela, quelle que soit leur taille. Les organisations ont désormais conscience de l'importance de leurs données numériques et devront, pour certaines d’entre elles, communiquer sur la fiabilité de leurs plateformes en ligne. C'est dans ce contexte que la loi n°2022-309 modifie le code de la consommation...
Le 1er avril 2025 | Ces dernières années, les entreprises ont été nombreuses à subir des tentatives de fraude, souvent dues au manque de sécurité de leurs systèmes d’information. De telles affaires illustrent l'importance cruciale de la gestion des risques et de la conformité, au risque de subir des conséquences graves sur le plan financier et réputationnel.
Nos experts en risques sont à votre disposition pour vous aider à identifier, évaluer et gérer les risques potentiels afin de protéger votre entreprise et identifier les opportunités nouvelles.
Découvrez notre pôle Digital et Technologies pour améliorer la performance de votre entreprise. Nous sommes spécialisés dans l'analyse de données, la transformation des solutions d'entreprise, l'assistance à la maîtrise d'ouvrage SI, l'automatisation des processus, ainsi que le conseil en stratégie et gouvernance des SI. Nous mettons à votre disposition notre expertise et notre expérience pour vous...
Dans un environnement toujours plus digitalisé, la circulation et l’exploitation de données représentent un potentiel de création de valeur gigantesque pour les entreprises tout comme une menace de plus en plus redoutable pour leur sécurité.
Ce site web utilise des cookies.
Certains de ces cookies sont nécessaires, tandis que d'autres nous aident à analyser notre trafic, à diffuser de la publicité et à offrir des expériences personnalisées pour vous.
Pour plus d'informations sur les cookies que nous utilisons, veuillez vous référer à notre politique de confidentialité.
Ce site web ne peut pas fonctionner correctement sans ces cookies.
Les cookies analytiques nous aident à améliorer notre site web en collectant des informations sur son utilisation.
Nous utilisons des cookies marketing pour améliorer la pertinence de nos campagnes publicitaires.