En Bref

• Le 16 octobre 2023, le règlement « PART-IS » de l’UE est entré en vigueur, imposant une gestion intégrée des risques liés à la sécurité de l’information dans l’aviation.
• La sûreté (accidents, erreurs) et la sécurité (attaques délibérées) sont désormais considérées comme des risques interdépendants, mettant fin à des décennies de réflexion cloisonnée.
• Les exploitants, aéroports et autorités doivent tous adopter de nouveaux systèmes de gestion de la sécurité de l’information, souvent inspirés de la norme ISO 27001.
• La superposition de règles issues des lois européennes et nationales a créé un patchwork complexe de conformité et de surveillance.
• D’ici 2026, même les petites organisations aéronautiques devront faire face à de multiples exigences en matière de cybersécurité et de sûreté, parfois contradictoires.

Le nouveau champ de bataille du ciel : là où la sûreté rencontre la cybersécurité

Imaginez le cockpit d’un pilote : chaque cadran, chaque voyant, chaque système fonctionne en harmonie - jusqu’à ce qu’un simple bug numérique ou une cyberattaque vienne semer le chaos. Pendant des décennies, l’aviation a été la référence absolue en matière de sûreté, protégeant méticuleusement contre les défaillances techniques et les erreurs humaines. Mais aujourd’hui, alors que cockpits et tours de contrôle deviennent toujours plus numériques, la menace s’est déplacée : des boulons défectueux et pilotes fatigués aux hackers et codes malveillants.

La dernière initiative réglementaire de l’Europe - incarnée par le règlement « PART-IS » - marque un tournant décisif. Pour la première fois, la sécurité de l’information n’est plus une note de bas de page, mais un pilier central de la sûreté aérienne. La vieille distinction disparaît : la sûreté concernait les accidents, la sécurité les actes délibérés. Dans un ciel hyper-connecté, un incident cyber - qu’il soit intentionnel ou accidentel - peut être aussi mortel qu’une panne mécanique.

Comment en est-on arrivé là ? Bref survol historique

L’obsession du secteur aéronautique pour la sûreté remonte aux débuts de l’aviation, avec des améliorations constantes ayant fait du transport aérien le mode de déplacement le plus sûr statistiquement. La sécurité, quant à elle, relevait longtemps de la lutte antiterroriste et de la protection physique. Mais à mesure que tout, des moteurs à réaction aux systèmes de bagages, s’est connecté, une nouvelle menace est apparue : des vulnérabilités numériques aux conséquences bien réelles. Des incidents très médiatisés - comme le piratage en 2015 du système de divertissement d’un avion de ligne - ont servi d’avertissements glaçants.

Des organismes internationaux comme l’OACI (Organisation de l’aviation civile internationale) ont commencé à reconnaître que la frontière entre sûreté et sécurité s’estompait. L’UE, jamais avare en matière de réglementation, a réagi par une série de directives : NIS (Network and Information Security), NIS2, et désormais le règlement PART-IS, chacun ajoutant de nouvelles obligations en cybersécurité aux régimes de sûreté existants.

Turbulences réglementaires : un patchwork sans atterrissage facile

Le paysage réglementaire actuel est un véritable labyrinthe. Les règles PART-IS exigent que presque tous les acteurs de l’aviation - des compagnies aériennes aux contrôleurs aériens - mettent en place des systèmes robustes de gestion de la sécurité de l’information. Beaucoup s’appuient sur la norme ISO 27001, mais avec des adaptations propres à l’aviation. Pourtant, ce n’est qu’une couche. Les périmètres nationaux de cybersécurité, comme celui de l’Italie, et des lois européennes plus larges telles que NIS2, se chevauchent parfois de manière déroutante. Qui est responsable lorsqu’un incident cyber peut affecter à la fois la défense nationale et la sécurité aérienne à l’échelle de l’UE ? La réponse n’est pas toujours évidente.

Les critiques avertissent que cette « hypertrophie » réglementaire risque de noyer les opérateurs sous la paperasse et des obligations contradictoires, sapant potentiellement la sûreté même qu’elle vise à garantir. Les partisans rétorquent qu’avec des menaces cyber en évolution constante, le coût de l’inaction serait bien plus élevé.

Conclusion : Au-delà de la conformité - vers une nouvelle culture de confiance

Le secteur aéronautique européen est à la croisée des chemins. L’intégration de la sûreté et de la cybersécurité n’est pas qu’une exigence légale, mais une révolution culturelle, exigeant une collaboration à travers les frontières techniques, juridiques et opérationnelles. Le défi n’est pas simplement de cocher des cases réglementaires, mais de bâtir un système résilient et adaptatif qui mérite la confiance de chaque passager. Alors que les règles entrent en vigueur, le véritable test sera de savoir si elles offriront un ciel plus sûr - ou simplement plus de turbulences au sol.

WIKICROOK

• Sûreté : La sûreté implique des règles et des actions pour prévenir les accidents ou les dommages, en se concentrant sur la fiabilité et la réduction des erreurs dans des environnements critiques comme l’aviation ou la cybersécurité.
• Sécurité : La sécurité implique des mesures de protection pour défendre les systèmes, les données et les infrastructures contre les accès non autorisés, les cyberattaques et autres menaces intentionnelles.
• ISO 27001 : ISO 27001 est une norme internationale qui guide les organisations dans la gestion et la protection des informations sensibles via un cadre structuré de sécurité.
• Directive NIS2 : La directive NIS2 est une loi européenne exigeant des secteurs critiques et de leurs fournisseurs de renforcer la cybersécurité et de signaler les incidents cyber graves.
• Système de gestion de la sécurité de l’information (ISMS) : Un système de gestion de la sécurité de l’information (ISMS) est un ensemble structuré de politiques et de procédures aidant les organisations à gérer et réduire les risques liés à la sécurité de l’information.