Quelles sont les nouvelles règles de sécurité des informations EAR de l’UE pour l’aviation ? ISMS.en ligne

Quelles sont les nouvelles règles de sécurité des informations EAR de l’UE pour l’aviation ?

Par John Leyden • 7er Février 2024.

Les récentes révisions des réglementations européennes en matière de cybersécurité pour le secteur aéronautique pourraient favoriser l'adoption de normes du secteur informatique telles que la norme ISO 27001.

La première Règles d'accès facile (EAR) pour la sécurité des informations (partie IS) de l’Agence de la sécurité aérienne de l’Union européenne (AESA) a défini « des exigences pour la gestion des risques liés à la sécurité de l’information ayant un impact potentiel sur la sécurité aérienne ». Les précédentes règles de cybersécurité étaient limitées aux équipementiers – contrairement à l’EAR (Part IS), qui s’applique à l’ensemble du secteur de l’aviation. Les délais de conformité d’octobre 2025 et février 2026 s’appliqueront à différents types d’organisations, tels que définis dans les lois complémentaires de l’UE.

Il s'agit notamment des organismes de maintenance, des prestataires de gestion de la navigabilité, des exploitants aériens, des centres aéromédicaux, des organismes de formation des contrôleurs aériens et des opérateurs d'appareils de simulation de vol. Sont également présents sur la liste les aéroports, les fournisseurs d’infrastructures de communication, les organisations d’infrastructures de navigation, les tours aériennes et les organismes de surveillance.

Les règles sont conçues pour garantir que les risques liés à la sécurité de l'information sont gérés efficacement au sein de l'industrie aéronautique, un facteur important pour la sécurité globale. L'alignement sur les normes aéronautiques américaines a déjà été convenu et des mises à jour régulières des règles d'accès facile (Part IS) sont prévues, ce qui en fait un ensemble de réglementations qui évolueront au fil du temps.

Détecter, protéger, répondre et récupérer

La gestion d'un système de gestion de la sécurité de l'information (ISMS) est essentielle pour les organisations aéronautiques qui doivent se conformer aux règles. D’autres éléments importants couvrent la surveillance de la sécurité, les audits et les mesures orientant les organisations vers une plus grande maturité en matière de cybersécurité. Ils sont:

⦁ Mettre en place et exploiter un SMSI
⦁ Mettre en œuvre et maintenir une politique de sécurité de l'information
⦁ Identifier, examiner et remédier aux risques liés à la sécurité des informations
⦁ Détection des menaces pour les événements liés à la sûreté aérienne
⦁ Prendre des mesures correctives pour répondre aux constatations notifiées par une autorité compétente
⦁ Rapports de sécurité
⦁ Surveillance de la conformité
⦁ Introduire une démarche d'amélioration continue

Ken Munro est PDG de Pen Test Partners, une société de testeurs d'intrusion basée au Royaume-Uni avec des clients dans le secteur de l'aviation. Il déclare à ISMS.online que l'adoption de la norme ISO 27001 aidera les organisations du secteur de l'aviation à se conformer aux nouvelles réglementations à l'échelle de l'UE.

« L'EAR (Part IS) suit en effet d'assez près les normes existantes telles que la norme ISO 27001, de sorte que les organisations disposant de cadres de conformité existants devraient trouver la cartographie assez simple », explique-t-il.

Cependant, les différents niveaux d’adoption des meilleures pratiques en matière de cybersécurité dans le secteur pourraient s’avérer un défi pour certains.

« Notre expérience dans le secteur aérien dans son ensemble indique des niveaux de maturité en matière de sécurité très variables. Cela est en partie compréhensible : peut-on s’attendre à ce qu’un petit aéroport régional ait le même niveau de maturité qu’un grand aéroport pivot ? Le défi ici est que le voyageur et ses bagages sont contrôlés au point d'enregistrement, et non au transfert, ce qui peut révéler les vols de correspondance », explique Munro.

« De la même manière, s’attendrait-on à ce qu’une grande compagnie aérienne ait le même niveau de maturité qu’un petit opérateur régional ? Ils auront des régimes de sécurité des vols similaires, mais le même degré de régime de cybersécurité est moins probable.

Trouver un moyen de renforcer ces maillons faibles de la chaîne du secteur de l’aviation constitue donc un défi.

Des turbulences à venir ?

Les nouvelles règles donnent quelques exemples d'applicabilité en termes de champ d'application, tout en étant « un peu à court de détails » par rapport à d'autres régimes tels que CAA ASSURE, selon Munro.
Le programme CAA ASSURE (Cyber Audit) est un modèle d'audit tiers développé par l'Autorité de l'aviation civile du Royaume-Uni (CAA) en partenariat avec le CREST.

« Ce manque de détails dans l'EAR semble un peu en contradiction avec le programme CAA ASSURE, qui déploie des efforts considérables pour identifier les systèmes critiques dans les compagnies aériennes et les aéroports », explique Munro. «Cela a aidé les opérateurs à concentrer leurs efforts sur les systèmes susceptibles d'affecter la sécurité des vols ou d'empêcher le dispatching des vols. L’un ou l’autre pourrait avoir des impacts importants sur la sécurité.

Munro conclut : « On tente de donner quelques exemples d'attaques potentielles dans l'Annexe 1, mais cela semble être une sélection assez aléatoire et passe à côté de nombreux domaines importants. Le risque ici est que les organisations se concentrent sur les exemples donnés au détriment d’autres domaines.

Hugo Teso, pilote professionnel et expert en cybersécurité aérienne, a servi d'expert externe dans le processus qui a conduit à l'élaboration du règlement. Dans un post sur LinkedIn, il affirme que la réglementation va au-delà de « la simple exigence d'un SMSI » pour les organisations concernées.

Le document de support de 278 pages décrivant l'EAR Part-IS et son champ d'application positionne un SMSI comme un élément clé, mais en aucun cas la seule étape pour devenir conforme.

Préparation au décollage

Cependant, selon d’autres experts, la norme ISO 27001 constitue un bon point de départ.

"Alors que les entreprises aérospatiales se préparent à la prochaine réglementation européenne sur la cybersécurité de l'aviation EASA EAR Part-IS, l'une des premières mesures qu'elles peuvent prendre est d'établir un SMSI conforme à la norme ISO 27001", affirme Sam Peters, directeur des produits d'ISMS.online.

« En travaillant dès maintenant de manière proactive vers la conformité à la norme ISO 27001, les organisations aérospatiales peuvent prendre une longueur d'avance pour répondre aux exigences de l'AESA et démontrer aux régulateurs qu'elles prennent la cybersécurité au sérieux.

Peters poursuit en élaborant un plan d'action pour les responsables de la conformité et les responsables de la cybersécurité dans le secteur de l'aviation.

« La première phase consisterait à définir la portée du SMSI en fonction des services et des actifs aéronautiques de l'entreprise qui relèveront de la surveillance de l'AESA », explique-t-il.

« Une évaluation complète des risques peut ensuite identifier les cyber-vulnérabilités et cartographier les contrôles appropriés de la norme ISO 27001 pour renforcer les défenses dans les domaines critiques. Des éléments tels que les politiques de contrôle d’accès, la gestion des fournisseurs, les plans de réponse aux incidents et la formation à la sécurité du personnel doivent être prioritaires.

Quelles que soient les exigences EAR Part-IS, devenir ISO 27001 apportera des avantages commerciaux aux prestataires du secteur aéronautique.

« L’adoption de la norme ISO 27001 présente un avantage supplémentaire : elle adopte une approche holistique et basée sur les processus en matière de sécurité de l’information. Cela fait du SMSI un moteur commercial solide, permettant aux entreprises aérospatiales d'identifier les inefficacités, de réduire les risques et de prendre des décisions d'investissement basées sur les données dans l'ensemble de l'organisation », conclut-il.

« Alors que la date limite pour la conformité EASA EAR Part-IS approche, le respect des cadres ISO 27001 établis aidera les organisations aérospatiales à démontrer aux auditeurs de l'EASA qu'elles ont mis en œuvre un SMSI mature adapté aux cyber-risques uniques de l'industrie aéronautique. Prendre ces mesures proactives aujourd’hui rendra le parcours de conformité plus fluide demain.

John Leyden

John Leyden écrit sur les réseaux informatiques et la cybersécurité depuis plus de 20 ans. Avant l'avènement d'Internet, il travaillait comme journaliste policier dans un journal local de Manchester. John est titulaire d'un diplôme en ingénierie électronique de la City, Université de Londres.

Lire la suite de John Leyden

Confidentialité des données 22 Août 2024

les entreprises sont invitées à suivre la réglementation sur l'IA « à évolution rapide »

Les entreprises sont invitées à suivre les réglementations « en évolution rapide » sur l’IA

L'intelligence artificielle (IA) transforme le secteur des technologies de l'information à une vitesse vertigineuse. Elle a transformé des applications, notamment la gestion des données…

John Leyden

La cyber-sécurité 20 Juin 2024

pourquoi les fournisseurs peuvent avoir du mal à maintenir la bannière « sécurisé dès la conception »

Pourquoi les fournisseurs peuvent avoir du mal à maintenir la dynamique de la « sécurité dès la conception »

De nombreux fournisseurs de technologies ont adhéré à l'engagement « Secure by Design » soutenu par le gouvernement américain. Mais cet engagement marquera-t-il une rupture avec le passé ?

John Leyden

La cyber-sécurité 28 mai 2024

décoder les nouvelles directives du ncsc pour la bannière scada hébergée dans le cloud

Décoder les nouvelles directives du NCSC pour les SCADA hébergés dans le cloud

Les systèmes de technologie opérationnelle (OT) surveillent et contrôlent automatiquement les processus et les équipements qui exécutent tout, des centrales électriques aux hôpitaux intelligents...

John Leyden

Quelles sont les nouvelles règles de sécurité des informations EAR de l’UE pour l’aviation ?

Détecter, protéger, répondre et récupérer

Des turbulences à venir ?

Préparation au décollage

John Leyden

Articles connexes

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

De la sécurité périmétrique à la sécurité de l'identité

La vie après l'échéance : transformer la conformité DORA en stabilité opérationnelle

Lire la suite de John Leyden

Les entreprises sont invitées à suivre les réglementations « en évolution rapide » sur l’IA

Pourquoi les fournisseurs peuvent avoir du mal à maintenir la dynamique de la « sécurité dès la conception »

Décoder les nouvelles directives du NCSC pour les SCADA hébergés dans le cloud