Dossier : Cybersécurité et transport aérien

Une montée en puissance de l’OACI est en cours sur le sujet de la cybersécurité, à la suite de la résolution A39-19 adoptée par la 39ème Assemblée en octobre 2016.

JPEG - 4.8 Mo
Monde interconnecté par ordinateurs
Crédit Photo : New America

1. L’émergence de la problématique de la cybersécurité dans l’aviation civile internationale

Comme tous les secteurs d’activités économiques, le transport aérien a pris conscience de sa vulnérabilité en matière de cyberattaques. Afin d’accompagner en toute sécurité une croissance continue du trafic aérien (5% par an en moyenne à l’échelle de la planète avec de fortes disparités entre les régions du monde), le secteur aéronautique doit inévitablement s’appuyer sur les nouveaux systèmes de technologies de l’information et de la communication pour faciliter les mouvements des aéronefs et des passagers chaque jour plus nombreux. Les aéronefs eux-même sont de plus en plus digitalisés pour améliorer les performances de vol. Cela augmente mécaniquement le taux d’exposition aux cyber-menaces.

Le secteur du transport aérien fait face à des menaces nombreuses et variées. Il peut s’agir de vols de données de passagers, de blocage de systèmes opérationnels, de modifications des informations, de brouillages des communications ou encore de prises de commande de logiciels ou d’aéronefs à distance par des acteurs malveillants. Les attaques peuvent affecter les infrastructures aéroportuaires, les aéronefs ou les systèmes de navigation aérienne, à travers des failles des systèmes de sécurité informatique ou par l’intermédiaire d’une action humaine interne. Certaines sont intentionnelles, d’autres ne sont que des dommages collatéraux : une attaque sur un système d’exploitation pourrait toucher les ordinateurs de compagnies aériennes.

Toutes les grandes organisations professionnelles de l’aviation civile internationale ont désormais identifié ce risque et communiquent activement sur ce sujet à l’intention de leurs membres. L’Association du transport aérien international (IATA) diffuse ainsi un « Aviation cyber security toolkit » auprès de ses membres. En 2018, 92% des opérateurs aériens avaient ou prévoyaient de mettre en œuvre dans les 3 prochaines années une stratégie de cybersécurité. De plus, entre 2017 et 2018, la part du budget pour les technologies de l’information dédiée à la cybersécurité a augmenté de 2 points, passant de 10 à 12% pour les aéroports, et de 7 à 9% pour les compagnies aériennes selon une étude de la Société internationale de télécommunications aéronautiques (SITA). L’obstacle majeur au développement d’outils et de stratégies cyber reste le manque de ressources, budgétaires ou de main d’œuvre. L’accroissement des investissements devrait cependant continuer car l’industrie du transport aérien prend de plus en plus conscience des risques cyber.

JPEG - 113.6 ko
Briefing au Conseil et à la Commission de navigation aérienne le 23 février 2017
Crédit photo : Union Européenne

2. L’OACI accélère ses travaux dans le domaine de la cybersécurité

Si dès le triennat 2011-2013, les États avaient commencé à aborder le sujet cyber dans leurs travaux à l’OACI (une disposition concernant les mesures relatives aux cyber-menaces a, par exemple, été introduite dans l’amendement 12 à l’annexe 17 de la Convention de Chicago dès 2011), c’est bien en 2013 que le sujet émerge vraiment. Cette année-là, l’OACI, l’IATA, le Conseil international des aéroports (ACI), la Civil Air Navigation Services Organisation (CANSO), et le Conseil international de coordination des associations d’industries aérospatiales (ICCAIA) créent un "Groupe de haut niveau de l’industrie" (IHLG) pour servir de mécanisme de coopération de haut niveau pour les questions d’intérêt et d’importance communs. Cet IHLG identifie alors immédiatement que la cybersécurité dans l’aviation civile est « une question horizontale hautement prioritaire qui nécessite des mesures harmonisées et coordonnées de la part de toutes les parties prenantes concernées ». Il adopte pour ce faire le 5 décembre 2014 une feuille de route spécifique sur le sujet.

Cette orientation donne alors lieu à de multiples initiatives pour des réflexions informelles en lien avec l’industrie. La réunion d’un groupe dit des « cyberfriends », composés de plusieurs acteurs majeurs du secteur (FAA, EASA, Eurocontrol, TSA, Airbus, Boeing, CANSO, IATA, etc), en octobre 2015 et en octobre 2016, est une composante importante de cette réflexion.

Mais, rapidement, il apparait nécessaire de rationaliser et globaliser ce sujet en prenant pleinement en considération sa dimension gouvernementale. Ces travaux aboutissent alors à l’adoption par la 39ème Assemblée de l’OACI en octobre 2016 de la résolution A39-19 sur la « Cybersécurité dans l’aviation civile », première résolution de l’organisation entièrement dédiée à ce sujet. La résolution A39-19 met l’organisation en ordre de marche et encadre des travaux sur le nouveau triennat 2017-2019 qui s’ouvre. On peut mentionner à cet égard les étapes suivantes :

  • 4-6 avril 2017 : l’OACI a organisé un Symposium en partenariat avec les Émirats Arabes Unis à Dubaï. Il s’est conclu par une Déclaration, indiquant que la responsabilité de l’atténuation des risques cyber incombe aux Etats, mais prônant la coopération et les échanges entre eux, ainsi que l’utilisation pacifique des capacités cyber ;
  • Eté 2017 : le Secrétariat a établi un "Secretariat Study Group on Cybersecurity (SSGC)" afin d’explorer le domaine et établir un programme de travail. Ce SSGC, qui s’est déjà réuni 5 fois depuis sa première réunion en août 2017, est présidé par le Directeur adjoint en charge de la sûreté et a vocation à servir de "point focal" pour tous les travaux de l’OACI relatifs à la Cybersécurité. Il réunit une vingtaine d’experts d’États-membres et de l’industrie, et est composé de plusieurs groupes qui travaillent sur des sujet spécifiques, comme les aspects juridiques, les aérodromes ou la navigabilité ;
  • 7-9 mai 2018 : Le sommet de l’OACI à Bucarest pour l’Europe, l’Afrique et le Moyen-Orient intitulé « Cybersécurité dans l’aviation civile » a permis de poursuivre les travaux dans ce domaine. Le communiqué publié propose le développement d’un cadre harmonisé pour la cybersécurité dans l’aviation civile, et un renforcement des coopérations régionales et de l’échange d’informations. Il note également la nécessité pour l’aviation civile internationale de se procurer une stratégie mondiale, sous l’égide de l’OACI.

A l’automne 2018, la 13e Conférence de la Navigation Aérienne (AN-Conf/13) et la 2e Conférence de haut-niveau sur la sûreté de l’aviation (HLCAS/2) ont fourni des recommandations au Conseil afin de mettre en place un cadre de confiance (« Trust Framework ») pour assurer des échanges sûrs d’informations dans l’ensemble de l’aviation civile (au sol comme en vol), de développer une stratégie de cybersécurité, et d’établir si possible un groupe d’expert (Panel).

La cybersécurité est également incluse dans le Plan mondial pour la sûreté de l’aviation (GASeP – Global Aviation Security Plan), adopté en 2017 par l’Organisation, au sein du résultat prioritaire « renforcer la sensibilisation et la réponse au risque ». La première mesure du GASeP est ainsi l’identification au niveau mondial des cyber-menaces conte l’aviation civile et la collaboration entre Etats afin de rendre le secteur résilient.

Et en France ?

Au niveau national, la Ministre des Transports Elisabeth Borne a installé en 2018 un Conseil pour la Cyber-sécurité du Transport Aérien (CCTA), regroupant des professionnels des services d’Etats, des constructeurs aéronautiques et des exploitants. Les objectifs sont de coordonner les travaux sur la cybersécurité du secteur aérien français et de les porter auprès des institutions internationales.

3. Travaux futurs pour la cybersécurité du transport aérien

Il ressort d’ores et déjà que l’approche devra être transversale et multidisciplinaire, la cybersécurité représentant potentiellement un enjeu en matière de navigation aérienne, de sécurité et de sûreté. Plusieurs objectifs stratégiques de l’organisation seront ainsi concernés : « sécurité », « capacité et efficacité de la navigation aérienne » et « sûreté et facilitation ». La France entend participer pleinement à ces travaux en apportant son expertise nationale à l’appui de l’organisation

La cybersécurité devrait être un thème important de la prochaine Assemblée à l’automne 2019. Le Conseil étudie actuellement un projet de stratégie en matière de cybersécurité pour l’aviation civile, qui sera présenté à la 40e Assemblée. Le SSGC n’étant qu’un groupe d’étude provisoire, l’OACI cherche à structurer les travaux dans un groupe d’experts (Panel). Une étude de faisabilité est en cours.

En savoir plus

Dernière modification : 12/07/2019

Haut de page