Comment l’EASA garantit-elle la résilience de l’aviation face aux cybermenaces?

THIS PAGE IS ALSO AVAILABLE IN:

À mesure que le monde se numérise et devient de plus en plus interconnecté, l’exposition aux cybermenaces se fait plus imminente. Les experts en sécurité de l’information disent souvent qu’il ne s’agit pas de savoir «si» une entité donnée sera prise pour cible par des cybercriminels, mais plutôt «quand». Le domaine de l’aviation n’est pas à l’abri de telles menaces. Celles-ci peuvent entraîner des perturbations dans les opérations ou avoir une incidence sur la sécurité aérienne.une ombre d’aéronef superposée sur une sphère de couleur bleue constituée de 1 et 0 pour représenter le «cyber»

La mission de l’EASA, à savoir garantir la sécurité du transport aérien en Europe (et dans le monde), inclut la réduction des risques liés à la sécurité de l’information. Le cadre réglementaire de l’Union européenne (UE) exige que les risques liés à la sécurité de l’information soient identifiés, évalués et traités de manière proportionnée par les organismes actifs dans l’ensemble de l’écosystème de l’aviation civile, avant d’être contrôlés en vue d’éviter des effets néfastes sur la sécurité des citoyens. Cet écosystème comprend les organismes participant aux activités de conception, de production, de maintenance, d’exploitation et de formation relatives aux aéronefs, ainsi qu’à toutes les activités nécessaires afin de garantir la sécurité des opérations aériennes.

Quelles sont les menaces pour l’aviation et d’où viennent-elles?

L’aviation est un «système composé de systèmes» qui englobe, outre les produits aéronautiques et les technologies connexes, des personnes, des processus et d’autres actifs incorporels qui sont également vulnérables aux menaces pesant sur la sécurité de l’information. 

Tous les différents systèmes sont complexes et fortement interconnectés. Il existe d’innombrables chemins d’attaque susceptibles d’entraîner un problème de sécurité et l’aéronef constitue la dernière ligne de défense. L’exposition à des menaces potentielles concerne tout lien entre l’aéronef et le sol (par fil ou sans fil), tout composant de maintenance, tout système industriel et, bien sûr, la chaîne d’approvisionnement. une image dans des tons noirs et bleus avec des lignes blanches interconnectées et des verrous. L’arrière-plan représente le buste d’un homme dont la main tient un cadenas.Ces menaces prennent la forme de violations potentielles découlant de l’accès, de l’utilisation, de la divulgation, de la perturbation, de la modification et/ou de la destruction non autorisés des informations et des systèmes d’information utilisés dans le cadre du système aéronautique. De nombreuses attaques trouvent leur origine dans la négligence ou le manque de sensibilisation des employés.  

Les menaces peuvent provenir de diverses parties, y compris de cybercriminels, d’hacktivistes ou même d’acteurs parrainés par des États. Ces attaques peuvent être motivées par des raisons financières, politiques ou personnelles, telles que la reconnaissance ou un sentiment d’accomplissement. 

 

Quels sont les secteurs de l’aviation qui paraissent attirer le plus les acteurs malveillants?

D’après les données recueillies par l’équipe de renseignement sur les cybermenaces de l’EASA, les aéroports semblaient être la cible la plus fréquente des cyberattaques à la fin de l’année 2024, avec plus de 50 % des attaques ciblées enregistrées contre l’aviation. La plupart d’entre elles sont des attaques par interruption de service, c’est-à-dire que les cybercriminels saturent un système au moyen d’un volume de trafic élevé afin de le faire tomber en panne. Cela peut être lié aux activités d’hacktivistes, souvent alimentées par les tensions géopolitiques. Les recherches tendent à montrer que les aéroports offrent une visibilité élevée lorsqu’ils sont visés, en raison des conséquences visibles importantes dans le sillage de l’attaque. Les tableaux d’aéroport indiquant les vols annulés et le mécontentement des passagers ayant subi des retards offrent des images pouvant être facilement intégrées dans des reportages. 

Les opérateurs aériens apparaissent comme la deuxième cible attirant le plus les acteurs malveillants, avec environ 25 % des attaques visant les compagnies aériennes. Outre les attaques par interruption de service, les opérateurs aériens font également l’objet d’attaques par rançongiciel (les cybercriminels cryptent les données d’une entité et proposent leur décryptage contre le paiement d’une rançon) ainsi que de violations de données. Par conséquent, ces attaques ont non seulement des répercussions sur la sécurité, mais aussi sur la continuité des activités et des opérations.
D’après les données enregistrées, les autres secteurs touchés sont les constructeurs d’aéronefs, les organismes de maintenance, de réparation et de révision, ainsi que les institutions gouvernementales, qui subissent quotidiennement différents types de cyberattaques.


Que fait l’EASA pour rendre l’aviation plus résiliente face aux cyberattaques?

L’approche de l’EASA en matière de cybersécurité dans l’aviation repose sur quatre piliers: la certification des produits aéronautiques, les risques organisationnels liés à la sécurité de l’information, le partage de l’information et le renforcement des capacités.

icône représentant un aéronef accompagnée d’une coche

Certification des produits aéronautiques

Initialement, la cybersécurité dans ce domaine était abordée au cas par cas. Les demandeurs (organismes sollicitant la certification d’un aéronef) devaient évaluer les effets potentiels que les menaces pesant sur la sécurité de l’information pouvaient avoir sur la sécurité des systèmes et des réseaux de l’aéronef.

L’interconnexion des systèmes d’aéronefs et des pièces allant augmentant, un nombre plus important de chemins d’attaque potentiels sont apparus. Par conséquent, ce type de menace ne pouvait plus être traitée au cas par cas et une approche globale est devenue nécessaire.

À cette fin, l’EASA a intégré des exigences spécifiques pour la certification des aéronefs qui précisent que «l’équipement, les systèmes et les réseaux de l’avion, considérés séparément des autres systèmes et en relation avec ceux-ci, doivent être protégés contre les interactions électroniques intentionnelles non autorisées susceptibles d’avoir des effets néfastes sur la sécurité de l’avion». 

icône représentant un bouclier et une ampoule

Risques organisationnels liés à la sécurité de l’information

Étant donné que les menaces pour la sécurité de l’information ne se limitent pas à la conception de l’aéronef, mais concernent également les personnes et les processus, un nouvel ensemble de règles a été publié en 2022 et 2023: la «partie-IS» [«IS» signifiant «Information Security» (sécurité de l’information), composée du règlement délégué (UE) 2022/1645 et du règlement d’exécution (UE) 2023/203, pour ceux qui souhaitent en savoir plus]. La partie-IS définit des exigences visant à protéger le système aéronautique des risques liés à la sécurité de l’information ayant une incidence potentielle sur la sécurité. La partie-IS couvre les systèmes et les données de technologies de l’information et de la communication utilisés par les organismes et autorités agréés aux fins de l’aviation civile. Pour atteindre son objectif, la partie-IS exige l’établissement, la mise en œuvre et la maintenance d’un système de gestion de la sécurité de l’information.

icône représentant une interaction dans le cadre d’un dialogue

Partage de l’information 

Le troisième pilier est le partage de l’information, qui est actuellement mené dans le cadre de deux initiatives distinctes. Le Centre européen pour la cybersécurité dans l’aviation, qui se compose de parties prenantes issues à la fois de l’industrie et des autorités, et le réseau des analystes en cybersécurité, qui comprend des représentants des États membres. Il s’agit de communautés au sein desquelles s’est établie une confiance entre les organisations participantes, ce qui leur permet de partager des connaissances, telles que des renseignements sur les menaces sous la forme de rapports, d’alertes sur les risques potentiels et d’analyses d’incidents, et de promouvoir la collaboration entre les membres.

icône représentant une tête humaine avec des engrenages qui en sortent

Renforcement des capacités

Enfin, les activités de renforcement des capacités constituent une part importante de l’approche de l’EASA en matière de cybersécurité. Compte tenu de la rapidité des progrès technologiques, il est important que l’équipe de cybersécurité de l’EASA reste au fait des dernières évolutions. Dès lors, la formation représente un élément essentiel des activités de l’équipe, parallèlement à la recherche, qui joue un rôle primordial dans la compréhension du paysage futur des risques et l’adoption d’une position proactive contre les menaces liées à la cybersécurité.

Projet de recherche Horizon Europe: CYBER - Résilience de l’aviation et paysage des menaces qui pèsent sur la cybersécurité  

En 2024, l’EASA a lancé un projet de recherche sur la cyberrésilience de l’aviation et le paysage des menaces qui pèsent sur la cybersécurité. Ce projet vise à identifier les menaces pour la cybersécurité susceptibles d’avoir une incidence négative sur la sécurité des opérations aériennes. Grâce à ces connaissances, l’EASA entend contribuer à la mise en place d’un système aéronautique plus solide et plus résilient à l’avenir.

La communauté de la cybersécurité de l’EASA  

Si vous souhaitez suivre toutes les activités ci-dessus, l’EASA a créé une communauté de la cybersécurité où l’Agence partage des informations sur un large éventail de sujets liés à la cybersécurité dans l’aviation. Que vous soyez un passionné ou un expert en la matière, nous serions heureux de vous accueillir à bord pour échanger sur diverses questions passionnantes relatives à la cybersécurité dans l’aviation. 

Quelques remarques sur l’interférence du GNSS: brouillage et usurpation

Depuis février 2022, le brouillage et l’usurpation du système global de navigation par satellite (GNSS) ont considérablement augmenté, en particulier dans les régions entourant les zones de conflit et d’autres zones sensibles, telles que la Méditerranée, la mer Noire, le Moyen-Orient, la mer Baltique et l’Arctique. Vous avez peut-être même vu des informations à ce sujet. Ces incidents relèvent également de la cybersécurité de l’aviation.

On entend par brouillage l’interférence intentionnelle des fréquences radio afin d’empêcher les récepteurs GNSS de se verrouiller sur les signaux satellites, ce qui rend le système inefficace ou en dégrade le fonctionnement. L’usurpation consiste à émettre des signaux satellites contrefaits pour induire les récepteurs GNSS en erreur, ce qui génère des données de position, de navigation et de synchronisation incorrectes. Le système pourrait donc indiquer aux pilotes qu’ils survolent Paris à 7 heures du matin, alors qu’en réalité, ils survolent Rome la nuit. Ces interférences peuvent entraîner divers problèmes opérationnels pour les aéronefs et les systèmes au sol, mais elles n’ont pas eu d’incidence sur la sécurité des vols jusqu’ici. L’EASA surveille ce phénomène en permanence, afin d’être prête à fournir des conseils à tous les acteurs de l’aviation s’il existe des raisons de penser que la sécurité pourrait être affectée.