l'industrie aéronautique

Alors que les inquiétudes concernant le piratage et d’autres cybercrimes augmentent, l’Europe a mis en place de nouvelles réglementations en matière de cybersécurité pour l’industrie aéronautique. L’Agence de la sécurité aérienne de l’Union européenne est chargée de faire respecter ces réglementations au sein de l’UE.

Pour la première fois, ces réglementations demanderont à un large éventail de fournisseurs d’aviation de reconnaître et de contrer les risques de piratage informatique pour la sécurité des vols. Une variété d’entreprises l’industrie aéronautique y compris les producteurs, les compagnies aériennes, les aéroports, les écoles de pilotage, les traiteurs et les fournisseurs d’informations météorologiques, seront soumises à la nouvelle réglementation à compter de 2025.

Législation européenne en matière de cybersécurité dans le cadre du programme AVSEC (gestion de la sécurité et de la sûreté de l’aviation) 

  • Le règlement 2019/1583 a transposé les normes de cybersécurité de l’annexe 17 de l’OACI en modifiant le règlement 2015/1998 établissant des mesures détaillées pour la mise en Å“uvre des normes de base communes en matière de sûreté de l’aviation.

  • Entrée en vigueur : 31 décembre 2021.

  • Soutien aux États membres et à l’industrie dans la mise en Å“uvre :

    • Échanges réguliers (AVSEC, SAGAS, GT Cybersécurité Aéronautique).

    • Orientation par la DG MOVE.

    • Boîte à Outils de Cybersécurité des Transports.

Objet et obligation générale

  • Portée : Les gestionnaires d’aéroports, les compagnies aériennes et les autres organisations soumises aux exigences AVSEC de l’UE.

  • Obligation : Identifier les systèmes et données vitaux des technologies de l’information et des communications (TIC) qui pourraient être la cible de cyberattaques et compromettre la sûreté de l’aviation civile.

  • Les gestionnaires d’aéroports, les compagnies aériennes et les autres organisations doivent mettre en place certaines mesures de protection pour prévenir les cyberattaques, les détecter, y répondre et s’en remettre, conformément à une évaluation des risques.

  • Des vérifications des antécédents doivent être effectuées sur toute personne disposant de droits d’administrateur, d’un accès illimité aux systèmes et données TIC importants, ou qui a été reconnue comme un risque dans l’évaluation des risques.

  • Les personnes chargées de la mise en Å“uvre des mesures [de cybersécurité] doivent posséder les capacités et les compétences nécessaires pour mener à bien les tâches qui leur sont confiées.

  • Les personnes qui ont besoin de savoir seront informées des cyberdangers pertinents.

 Formation spécifique

  • Les personnes qui ont accès aux données ou aux systèmes doivent suivre une formation professionnelle particulière, adaptée à leur poste et à leurs responsabilités.

  • Les autorités compétentes doivent spécifier ou approuver le contenu de la formation conformément à ce qui a été discuté lors de l’AVSEC, du groupe de travail sur la cybersécurité de l’aviation, etc.

Nouvelle législation européenne sur la cybersécurité dans l’industrie aéronautique

  • Avis 03/2021 de l’AESA du 11 juin 2021 sur la gestion des risques liés à la sécurité de l’information.

  • Couvrir l’ensemble de la chaîne de valeur de l’aviation sous l’angle de la sécurité.