Airbus Protect explique la Part-IS : une réglementation EASA sur la sécurité de l’information pour la sécurité de l’aviation civile

La nécessité de renforcer la résilience des entreprises et du secteur aéronautique est impérative pour gérer les risques externes sur des systèmes fortement interconnectés. La Part-IS est la dernière réglementation obligatoire de L’Agence Européenne de la Sécurité Aérienne (AESA).

L’objectif de la Part-IS est d’améliorer les systèmes de gestion de la sécurité de l’information (ISMS) en permettant à l’écosystème aéronautique d’atténuer les cybermenaces et d’y répondre, renforçant ainsi de manière collaborative la cyber-résilience afin de garantir la sécurité aérienne.

Airbus possède une longue expérience dans le domaine de la réglementation aéronautique et contribue activement à plusieurs groupes de travail sur la sécurité depuis leur création. Airbus reste un acteur clé du groupe de normalisation qui discute des directives en matière de cybersécurité. Spécialisé dans la sécurité, la cybersécurité et la durabilité, Airbus Protect aide les entreprises à atteindre et à maintenir la conformité à la Partie-IS.

Quels sont les enjeux pour l’industrie aéronautique ?

Les secteurs de l’aérospatiale et de l’aviation ont été confrontés à des situations de crise sans précédent, telles que la COVID-19, les conflits armés et le changement climatique. La protection des actifs, des personnes, des données et des réseaux nécessite un niveau élevé de cybersécurité et de sécurité de l’information. Le besoin de cyber-résilience découle de la vulnérabilité des systèmes hautement interconnectés qui dépendent de réseaux intacts de bases de données, de systèmes et de canaux de communication.

Les cybermenaces et les actes malveillants ont augmenté ces dernières années dans tous les domaines. Avec de nombreuses normes, réglementations et directives déjà en place (ISO ICAO, IATA et ECSCG pour n’en citer que quelques-unes), l’AESA s’est assurée que la partie IS ne contredisait pas les normes ISO27001, NIST, NIS2 ou d’autres normes clés applicables à l’écosystème aérospatial et aéronautique.

La Part-IS est un cadre collaboratif permettant à l’ensemble de l’écosystème de gérer les risques liés à la sécurité de l’information ayant un impact potentiel sur la sécurité aérienne, dans le but d’assurer la résilience de l’aviation. Cette réglementation intègre les meilleures pratiques pour l’écosystème de l’aviation civile, garantissant une couverture de bout en bout, de la conception à l’exploitation et à la maintenance, jusqu’à la mise hors service.

La Part-IS est la première réglementation (au niveau européen) à exiger la mise en œuvre d’un SMSI et elle aborde l’écosystème aéronautique de manière holistique, en mettant l’accent sur la sécurisation de tous les systèmes et processus critiques pour la sécurité.

C’est le moment décisif

Les organisations relevant du champ d’application du règlement délégué (UE) 2022/1645 de la Commission pour l’agrément des organismes de conception (DOA) et l’agrément des organismes de production (POA) doivent se conformer à la Part-IS d’ici octobre 2025. Les autres organisations agréées doivent se conformer au règlement d’exécution (UE) 2023/203 de la Commission d’ici février 2026.

Le fait de ne pas mettre en œuvre un système de gestion de la sécurité de l’information (SGSI) en temps voulu ou de ne pas démontrer une amélioration continue et une gouvernance solide peut avoir de graves conséquences pour les entreprises du secteur aéronautique. Il peut s’agir d’amendes réglementaires substantielles, de restrictions d’exploitation et même, potentiellement, de la suspension de certifications essentielles. C’est pourquoi les exploitants doivent comprendre qu’il ne s’agit pas simplement de délais à respecter. Ces dates représentent plutôt le moment où le SGSI doit être pleinement opérationnel et intégré dans leurs activités quotidiennes.

Bien que l’AESA ne soit pas la principale autorité de régulation au Royaume-Uni (cette fonction étant assurée par la CAA britannique), la Part-IS sera indirectement applicable lorsqu’une entreprise britannique possède des filiales dans l’UE détenant des agréments de l’AESA (ou vice versa). En outre, la CAA élabore actuellement la « réglementation britannique sur les SMSI », qui s’appuie fermement sur la Part-IS et devrait être très similaire en termes d’attentes et de mise en œuvre.

Les réglementations et les normes jettent les bases des activités commerciales et de la sécurité

Dans un secteur de plus en plus numérisé, où les systèmes critiques de vol, de contrôle du trafic aérien et de maintenance dépendent fortement des technologies de l’information (TI) et des technologies opérationnelles (TO) interconnectées, l’intégrité et la disponibilité des informations sont primordiales. En imposant un système de gestion de la sécurité de l’information (ISMS) normalisé, la Part-IS garantit que tous les acteurs du secteur aéronautique mettent en place des contrôles et des processus robustes pour identifier, évaluer et atténuer les cybermenaces avant qu’elles ne compromettent les données essentielles à la sécurité des opérations aériennes.

Ce cadre établit un lien explicite entre la cybersécurité et la sécurité aérienne, reconnaissant qu’une cyberattaque peut entraîner des risques directs pour la sécurité, des perturbations opérationnelles et des dommages financiers et réputationnels importants. En exigeant des organisations qu’elles adoptent une approche proactive et fondée sur les risques en matière de sécurité de l’information, y compris la gestion des incidents et l’amélioration continue, la Part-IS contribue non seulement à prévenir les failles de sécurité, mais aussi à renforcer la résilience, permettant ainsi une reprise rapide en cas d’incident. En fin de compte, elle brise les cloisonnements entre les équipes chargées de la sécurité et celles chargées de la cybersécurité au sein des organisations aéronautiques. Le respect de ces réglementations favorise une culture de sécurité forte dans l’ensemble du secteur, protégeant ainsi l’ensemble de l’écosystème aéronautique et garantissant la confiance du public dans la sécurité des transports aériens.

L’accent est mis sur les données critiques relatives à la sécurité des aéronefs et les systèmes connectés

Le cœur de la réglementation est le système de gestion de la sécurité de l’information dans l’aviation civile (ca-ISMS). Un ISMS traditionnel se concentre sur la protection des actifs informationnels en général, englobant les données dans le cadre de la gouvernance, de la gestion des risques et des événements (identifier et gérer les risques, détecter les événements, identifier, réagir et se remettre des incidents), de l’amélioration continue et du reporting.

La norme Part-IS va au-delà de la simple description des meilleures pratiques générales et prescrit des exigences spécifiques dans plusieurs domaines clés du secteur aéronautique. Cela comprend les systèmes de planification et d’exploitation des vols, la conception et la production, les registres de maintenance et les infrastructures de communication du contrôle aérien. Par exemple, la norme Part-IS propose des méthodologies d’orientation pour l’évaluation des risques (EUROCAE ED-201A), garantissant une évaluation approfondie et normalisée des menaces et vulnérabilités potentielles pour les systèmes et données aéronautiques critiques.
De même, la Part-IS exige des procédures de réponse aux incidents, garantissant une action rapide et efficace en cas de violation de la sécurité. En raison de l’interdépendance de l’écosystème aéronautique, la cybersécurité doit aller au-delà de la protection des informations numériques et inclure les réseaux, sites web, services, ordinateurs et portails interconnectés.

Bien que l’effort nécessaire pour mettre en place un SMSI à partir de zéro ne soit pas négligeable, cela permet de l’intégrer au système de gestion de la sécurité (SMS). Lorsqu’il existe déjà une conformité en matière de cybersécurité ou même un SMSI dans le cadre de la certification ISO 27001, l’accent sera mis sur la détermination des risques liés à la sécurité. L’objectif global devrait être de disposer d’un SMSI unique qui intègre les exigences de la partie IS, au service à la fois des activités commerciales et des opérations.

Le cadre de la partie IS concerne le cycle de vie des produits, pièces et équipements aéronautiques. Cela englobe la conception, la production, la maintenance, l’exploitation et la mise hors service. La réglementation met l’accent sur la mise en œuvre d’un SMSI robuste afin d’atténuer les risques liés à :

• Accès non autorisé
• Violations de données
• Manipulation d’informations critiques pour la sécurité

Cette approche fondée sur les risques exige des organisations qu’elles identifient et évaluent l’impact potentiel sur la sécurité des menaces et des vulnérabilités en matière de sécurité de l’information. Il est essentiel de noter que la Part-IS n’impose pas un cadre SMSI unique. Elle définit plutôt les principes fondamentaux que les organisations doivent respecter.

Ces principes constituent les piliers d’un SMSI efficace et peuvent être résumés comme suit :

Gestion des risques :

• Identification proactive des menaces et des vulnérabilités spécifiques à l’infrastructure informatique, aux actifs de données et aux opérations globales de l’organisation
• Évaluation de la probabilité et de la gravité d’un impact sur la sécurité causé par des incidents de sécurité potentiels
• Mise en œuvre d’une hiérarchie de contrôles (préventifs, détectifs, correctifs) pour atténuer les risques identifiés, impliquant des mesures techniques telles que des pare-feu et des contrôles d’accès, et des contrôles administratifs tels que des politiques et des procédures.

Sécurité organisationnelle :

• Établir une politique claire en matière de sécurité de l’information qui décrit l’engagement de l’organisation en faveur de la sécurité de l’information et définit les rôles et responsabilités des employés
• Nommer un responsable chargé de désigner des personnes ou une équipe pour superviser le processus de contrôle de la conformité
• Afin de garantir l’objectivité et l’efficacité, les fonctions de contrôle de la conformité doivent rester indépendantes des départements opérationnels qu’elles supervisent.
• Le personnel impliqué dans la surveillance de la conformité doit posséder des qualifications spécifiques dans le domaine de l’aviation, de l’expérience, des connaissances réglementaires et/ou une expertise en matière de sécurité de l’information.
• Élaborer et mettre en œuvre des procédures complètes qui traitent divers aspects de la sécurité de l’information, notamment la classification des données, le contrôle d’accès, le signalement des incidents et la conservation des enregistrements.
• Organiser régulièrement des programmes de formation à la sensibilisation à la sécurité afin d’éduquer tout le personnel sur les meilleures pratiques en matière de sécurité de l’information et sur la manière d’identifier et de signaler les activités suspectes.
• Identifier et gérer les interfaces avec les parties prenantes critiques pour la sécurité qui pourraient entraîner une exposition mutuelle aux risques liés à la sécurité de l’information.

Gestion des actifs :

• Mettre en place un processus bien défini pour la détection, la réponse et la reprise après des incidents de sécurité, en tenant particulièrement compte des incidents de sécurité de l’information ayant un impact potentiel sur la sécurité aérienne. Cela comprend des procédures pour préserver les preuves, contenir l’incident et mettre en œuvre des mesures correctives afin d’éviter que cela ne se reproduise à l’avenir.
• Maintenir un plan de communication afin d’assurer une communication rapide et transparente avec les parties prenantes pendant et après un incident.
• Les organisations doivent mettre en place des mécanismes pour signaler les incidents de sécurité de l’information à l’autorité compétente dans des délais précis. Il s’agit d’un élément essentiel de la conformité.
• Il est essentiel de tenir à jour les registres et la documentation afin de démontrer la conformité lors des audits et des inspections effectués par les autorités compétentes.

Gestion et signalement des incidents :

• Establishing a well-defined process for detection, response, and recovery from security events, specifically considering information security incidents with potential impact on aviation safety. This includes procedures for preserving evidence, containing the incident and implementing corrective actions to prevent future occurrences
• Maintaining a communication plan to ensure timely and transparent communication with stakeholders during and after an incident
• Organisations must establish mechanisms to report information security incidents to the competent authority within specified timelines. This is a crucial component of compliance.
• Maintaining updated records and documentation is essential to demonstrate compliance during audits and inspections by competent authorities.

Continuité des activités et reprise après sinistre (BCDR) :

• Élaborer un plan BCDR qui décrit comment l’organisation maintiendra ses opérations critiques et la disponibilité des informations en cas de perturbations causées par des catastrophes naturelles, des cyberattaques ou d’autres circonstances imprévues.
• Le plan doit traiter des procédures de sauvegarde et de récupération des données, des sites de travail alternatifs et des stratégies de communication.
• Tester régulièrement le plan BCDR afin de garantir son efficacité et d’identifier les domaines à améliorer.

Suivi et amélioration de la conformité

• À mesure que les menaces évoluent, les stratégies de protection et de prévention doivent également changer. La réglementation Part-IS de l’AESA impose aux entreprises du secteur aéronautique de revoir en permanence leurs systèmes d’information et leur posture de sécurité. Cela peut se faire par le biais d’audits et de tests de sécurité réguliers. En cas d’incident, la partie IS demande aux entreprises d’analyser ces événements, de mettre à jour leurs évaluations des risques et d’améliorer leurs défenses en conséquence.
  • Mesures correctives : mise en œuvre de mesures visant à remédier aux non-conformités et aux lacunes identifiées.
  • Mesures préventives : mise en œuvre de mesures basées sur des indicateurs avancées et l’analyse des tendances afin de prévenir de futurs manquements à la conformité.
  • Adaptation à l’évolution des menaces : mise à jour régulière des politiques, des procédures et des contrôles afin de s’adapter à l’évolution dynamique du paysage des cybermenaces.
  • Leçons apprises : Intégrer les leçons apprises à partir des incidents, des audits et des examens afin d’affiner le SMSI.

Défis rencontrés par la communauté Part-IS

Bien que Part-IS fournisse un cadre clair, la mise en conformité peut s’avérer difficile en raison de plusieurs facteurs :

Complexité de la réglementation : La réglementation peut être complexe, avec un langage technique et des exigences qui se recoupent entre les différentes sous-parties.

Mécanismes et configurations existants à harmoniser pour parvenir à un SMSI pleinement intégré : le SMSI doit être intégré au modèle de gouvernance et à l’organisation existants, avec des lignes hiérarchiques et décisionnelles claires. L’AESA encourage l’intégration du SMSI aux systèmes de gestion de la sécurité (SMS) et aux systèmes de gestion de la qualité (SGQ) existants afin de parvenir à une approche holistique et efficace de la gestion des risques.

Contraintes en matière de ressources : les organisations, en particulier les plus petites, peuvent ne pas disposer du personnel ou de l’expertise nécessaires pour développer et mettre en œuvre un SMSI complet.

Garantir la conformité des fournisseurs : l’organisation agréée par l’AESA doit démontrer la conformité de sa chaîne d’approvisionnement. Cela nécessite non seulement des modifications contractuelles, mais aussi de s’assurer que les fournisseurs mettent effectivement en œuvre des mesures de sécurité de l’information.

Mettre en place la bonne équipe avec les outils appropriés pour assurer une gestion des risques 24 heures sur 24, 7 jours sur 7 : Il existe de nombreuses options pour gérer la conformité et les risques. Compte tenu de la disponibilité limitée des spécialistes ou de leur coût élevé, une évaluation « faire ou acheter » sera utile (outils, centres d’opérations de sécurité, tests de pénétration, audits internes, etc.).

Systèmes hérités : l’intégration de nouveaux contrôles de sécurité dans l’infrastructure informatique existante, en particulier les systèmes hérités, peut être complexe et prendre beaucoup de temps. Certains systèmes sont intégrés sans code source ni documentation.

Maintenir la sensibilisation : Informer le personnel des menaces en constante évolution et des meilleures pratiques en matière de sécurité nécessite des efforts continus de formation et de communication.

Airbus Protect peut aider l’industrie aéronautique en lui apportant son expertise en matière de gestion des risques afin de faciliter la mise en conformité avec la partie IS.

Mise en œuvre allégée – Une feuille de route vers la conformité

Airbus Protect a développé une série de modules de travail complémentaires qui garantissent une mise en conformité sans heurts avec la norme Part-IS :

1. Évaluation des lacunes – réaliser une évaluation de la maturité basée sur les meilleures pratiques et les exigences de la partie IS.
2. Formation et sensibilisation – établir une compréhension commune de la partie IS et des exigences de fusion des systèmes de gestion de la sécurité (SMS) avec le système de gestion de la sécurité de l’information (ISMS) afin de permettre au personnel de s’approprier le processus.
3. Conseil stratégique – donner les moyens de définir le plan d’action le mieux adapté pour la mise en œuvre de la gouvernance et de l’organisation (RACI, cadre de la partie IS).
4. Évaluation et traitement des risques – cartographier la sécurité des processus, des technologies de l’information et des actifs liés à la sécurité ayant un impact potentiel sur la sécurité afin d’être prêt pour la gestion des risques.
5. Amélioration de la documentation – s’assurer que toute la documentation répond aux exigences de la partie IS.
6. Pré-audit de la partie IS – réaliser un audit de conformité fondé sur des preuves. Évaluer la mise en œuvre opérationnelle et la maturité technique en matière de sécurité.
7. Amélioration continue – assurer un suivi continu

Que nous réserve l’avenir ?

L’AESA pose les bases pour assurer l’avenir de l’aviation grâce à des initiatives de R&D. L’importance de la cybersécurité ne cesse de croître. L’AESA et ses partenaires de l’écosystème doivent travailler en étroite collaboration pour prévenir, anticiper et protéger les futurs systèmes avioniques et de vol connectés afin de garantir la sécurité et la sûreté des opérations.

Tous les acteurs interconnectés de l’écosystème de l’aviation civile impliqués dans la sécurité aérienne abordent désormais conjointement la sécurité de l’information par le biais de la partie IS. Avec la partie IS, toutes les parties prenantes se conforment à une seule réglementation, mettent en œuvre le même cadre, visent le même objectif et avancent dans la même direction. C’est ce qui garantit la résilience de l’aviation.

Airbus Protect et comment peut-il vous aider ?

Airbus Protect est spécialisé dans la sécurité, la cybersécurité et la durabilité et possède une expertise approfondie en matière de conformité réglementaire dans le domaine de l’aviation civile. En tant que société de gestion des risques, Airbus Protect fournit des services de conseil de bout en bout, des programmes de formation et des solutions logicielles, aidant les entreprises à atteindre et à maintenir la conformité à la partie IS de plusieurs manières :

Analyse des lacunes : Identification des lacunes à combler et élaboration d’un plan d’action pour y parvenir et atteindre la conformité à la partie IS.

Gouvernance, risques et conformité  : Garantie d’une configuration ca-ISMS allégée, efficace et autonome, avec l’intégration nécessaire du système de gestion de la sécurité (SMS).

Mise en œuvre : Conseils et assistance pour la mise en œuvre des exigences de conformité à la partie IS nécessaires en fonction de votre maturité.

Formation et sensibilisation  : Comme mentionné précédemment, il est essentiel de former vos équipes afin qu’elles comprennent l’importance de la partie IS et la gravité de la non-conformité à la réglementation pour atteindre la conformité. Airbus Protect propose une variété de programmes de formation pour tous les niveaux de votre organisation :