Les nouvelles règles de cybersécurité de l'Agence européenne de la sécurité aérienne (AESA), définies par la partie IS, sont entrées en vigueur, renforçant les obligations en matière de cybersécurité dans l'ensemble du secteur de l'aviation civile. Quelles sont les implications concrètes de ces nouvelles exigences ?
Par Kate O'Flaherty
Les cyberattaques contre l'aviation sont en forte hausse. Entre 2024 et 2025, on a constaté une augmentation de… 600% spike dans les attaques contre le secteur, avec 27 incidents majeurs survenus au cours de la période, selon les données de Thales.
L'année dernière a été marquée par de nombreux incidents très médiatisés, notamment l'attaque par rançongiciel sur Collins Aerospace ce qui a paralysé les systèmes d'enregistrement dans les aéroports européens. Air France et KLM étaient également concernées. ébréché En 2025, via une plateforme tierce utilisée par leur groupe mère. Parallèlement, une attaque a été perpétrée contre un fournisseur d'une compagnie aérienne australienne. Qantas Les données de six millions de clients ont été exposées.
Face à la multiplication de ces attaques, les menaces qui pèsent sur le secteur aérien deviennent plus complexes et sophistiquées. Outre la perturbation des opérations aériennes, les cyberattaques poursuivent désormais des objectifs stratégiques.
Selon Thales, ces menaces comprennent le cyberespionnage industriel, l'accès à des technologies sensibles telles que l'avionique et les systèmes de communication, la perturbation des chaînes d'approvisionnement et la « capture de données de grande valeur telles que les itinéraires de voyages diplomatiques et les expéditions de fret confidentielles ».
C’est en gardant à l’esprit cette menace croissante que le nouveau Partie IS de l'Agence européenne de la sécurité aérienne Des règles sont entrées en vigueur, étendant les obligations en matière de cybersécurité à l'ensemble du secteur de l'aviation civile.
Alors, concrètement, que signifient ces nouvelles exigences ?
Cible attrayante
L’interconnexion des systèmes indispensable aux voyages internationaux fait de l’aviation une cible de choix pour les cybercriminels et les acteurs étatiques, explique Danny Jenkins, PDG de ThreatLocker. « Les failles dans les systèmes de réservation, d’enregistrement ou d’embarquement peuvent provoquer des perturbations généralisées, et les pannes dans le secteur aérien peuvent rapidement engendrer des dommages économiques considérables », prévient-il.
Part-IS officialise donc ce que le paysage des menaces met en évidence depuis un certain temps. « La cybersécurité n'est plus une simple fonction technique administrative », explique Matt Conlon, PDG et cofondateur de Cytidel. « C'est une discipline de sécurité qui requiert la même gouvernance structurée, la même évaluation des risques et la même surveillance continue que celles appliquées depuis toujours dans l'aviation pour les autres risques opérationnels. »
La partie IS exige des entreprises qu'elles démontrent l'existence de contrôles et leur efficacité. Elle impose une évaluation structurée des risques, une gouvernance et une responsabilité définies, la mise en œuvre et le suivi de contrôles proportionnés, le signalement des incidents et l'amélioration continue.
« Cela doit s’inscrire dans le cadre réglementaire aéronautique global et être soumis à un contrôle réglementaire, ce qui signifie que les organisations doivent prouver non seulement l’existence des contrôles, mais aussi leur efficacité concrète », explique Lawrence Baker, consultant technique en sécurité aérospatiale chez NCC Group. IO.
Système de gestion de l'information formel
Les experts affirment que cette évolution réglementaire met en évidence la manière dont les réglementations sectorielles en matière de cybersécurité privilégient de plus en plus les approches fondées sur des systèmes de gestion alignées sur des normes reconnues.
La partie IS impose une procédure formelle Système de gestion de la sécurité de l'information (ISMS). « Et comme toutes les normes modernes de systèmes de management, cela repose sur des processus documentés, une responsabilité clairement définie et une amélioration continue », explique Baker.
Ces principes sont déjà intégrés dans l'ensemble du cadre réglementaire de l'aviation, notamment dans des réglementations telles que : Partiel 21, Camouflage partiel et Partiel 145Ces pratiques sont bien connues des autorités de navigabilité aérienne chargées des audits et du contrôle, explique Baker.
Selon Baker, la conformité à la partie IS exige des organisations qu'elles démontrent :
- Traçabilité des décisions
- Responsabilités définies
- Suivi des performances
- Amélioration continue des contrôles
Selon Conlon de Cytidel, la partie IS est également « délibérément conçue » pour que la conformité ne soit pas un objectif ponctuel à atteindre. « La responsabilité est clairement définie », explique-t-il. « Cela signifie que les structures de gouvernance doivent définir précisément qui est responsable des décisions relatives aux risques, qui est chargé de la supervision et comment se déroule la procédure d'escalade. »
« La documentation constitue la base de preuves », affirme Conlon. « Les évaluations des risques, les plans de traitement, les procédures de gestion des incidents et le manuel du SMSI doivent démontrer collectivement que le système est cohérent et fonctionnel en pratique, et pas seulement sur le papier. »
L’amélioration continue est le domaine où le modèle de surveillance de l’AESA « démontre toute sa force », ajoute Conlon. Les autorités de réglementation évaluent ainsi la maturité de votre système. « Le suivi permanent de la conformité, les audits internes, les revues de direction et la formation sont ce qui distingue les organisations qui se contentent d’avoir des politiques de celles qui peuvent prouver leur efficacité. »
Tendances réglementaires générales dans le domaine des infrastructures critiques
La partie IS reflète l'extension plus large de la réglementation en matière de cybersécurité aux infrastructures critiques nationales (ICN) face à l'intensification des cybermenaces. À l'instar de cadres tels que… Systèmes d'information en réseau 2 (NIS2) réglementations relatives à la résilience et Règlement Général de Protection des Données (RGPD) pour la protection des données, les exigences en matière de cybersécurité dans l'aviation sont intégrées à une structure réglementaire sectorielle existante, explique Baker du groupe NCC.
« Comme dans d’autres secteurs des infrastructures critiques, l’approche a été adaptée au modèle de surveillance de la sécurité et à l’environnement opérationnel établis dans le secteur de l’aviation, intégrant la cyber-résilience dans un écosystème réglementaire mature, plutôt que de créer un régime autonome », explique-t-il. IO.
« Ce schéma se vérifie actuellement dans tous les secteurs d'infrastructures critiques en Europe », affirme Conlon de Cytidel. Loi sur la résilience opérationnelle numérique La réglementation DORA est en vigueur pour les services financiers depuis janvier 2025. La réglementation NIS2 étend les obligations en matière de cybersécurité aux infrastructures critiques, la conformité étant attendue d'ici octobre 2026. La partie IS intègre l'aviation dans le même cadre d'exigences.
Le point commun, explique Conlon, est que les organismes de réglementation sont passés de la question « Avez-vous une politique de sécurité ? » à « Pouvez-vous prouver qu'elle fonctionne en permanence ? ».
La gestion structurée des risques, la responsabilisation au niveau du conseil d'administration, la visibilité de la chaîne d'approvisionnement et le signalement des incidents sont désormais essentiels. « Le langage diffère entre DORA, NIS2 et Part-IS, mais les attentes convergent », selon Conlon.
Mais cela représente un avantage pratique pour les organisations opérant dans plusieurs cadres de référence. La partie IS s'aligne étroitement sur ISO / IEC 27001 et présente des similitudes structurelles avec DORA et NIS2, explique Conlon.
Par conséquent, les organisations qui mettent en place un cadre de gestion de la sécurité cohérent et l'appliquent à l'ensemble des obligations seront dans une « position bien plus forte » que celles qui traitent chaque réglementation comme un projet de conformité distinct, conseille-t-il.
Priorités des RSSI et des responsables de la conformité dans le secteur de l'aviation
Il est clair que l'intégration de la sécurité de l'information, de la résilience et de la gestion des risques dans un cadre structuré favorise la défense réglementaire et la confiance opérationnelle à long terme, quelles que soient les nombreuses réglementations en constante évolution selon les secteurs et les zones géographiques.
Avec la partie IS, les RSSI et les responsables de la conformité du secteur aéronautique devraient s'assurer en priorité que leurs processus documentés fonctionnent efficacement en pratique et « résistent à l'examen des autorités de réglementation », conseille Baker du groupe NCC.
Ils doivent surveiller l'évolution des menaces, les attentes réglementaires et les compétences de la main-d'œuvre, et adapter leur approche en conséquence, explique-t-il.
Dans ce cadre, les RSSI devraient intégrer le renseignement sur les menaces à leur processus d'évaluation des risques, explique Conlon de Cytidel. « La réglementation Part-IS exige une évaluation des risques proportionnée à l'impact sur la sécurité, mais trop d'organisations continuent d'évaluer les risques sur la base de scores de gravité théoriques. Il est essentiel de comprendre quelles vulnérabilités sont réellement exploitées contre l'aviation, quels acteurs malveillants sont actifs et quels schémas suivent leurs campagnes pour définir les priorités. »
« La visibilité de la chaîne d'approvisionnement est essentielle », ajoute Conlon. « Ces dernières années, certains des incidents de cybersécurité les plus marquants dans le secteur de l'aviation sont survenus via des fournisseurs. L'attaque par ransomware contre Collins Aerospace a perturbé l'enregistrement dans les aéroports européens en 2025. Air France et KLM ont été victimes de piratages via une plateforme de service client tierce. Si vous ignorez comment l'exposition de vos fournisseurs critiques affecte votre propre profil de risque, c'est la première lacune à combler. »
Dans le même temps, Conlon conseille de privilégier une conformité continue. « Les organismes de réglementation reviendront sur leur décision et exigeront des preuves du bon fonctionnement et de l'efficacité de votre système, et pas seulement sa mise en place lors de son installation. Cela implique une surveillance constante, une connaissance en temps réel des menaces émergentes pertinentes pour votre secteur et la capacité de démontrer que votre programme de sécurité s'adapte à l'évolution du contexte. »
Élargissez vos connaissances
Blog: Incident informatique à Heathrow : Leçons de résilience et de réponse aux incidents
Blog: Les cyberincidents mettent à l'épreuve la résilience des compagnies aériennes mondiales
Étude de cas: Comment Calrom renforce la confiance de ses clients grâce à la certification ISO 27001
