Performance économique cyber-sécurité

Elisabeth Borne installe le Conseil pour la Cyber sécurité du Transport Aérien (CCTA)

Performance économique | 13 Avril 2018

Les tentatives d’intrusions malveillantes dans les systèmes d’information sont une réalité, y compris dans le secteur de l’aviation civile. En France, la législation impose et encadre un déploiement de moyens techniques et humains conçus pour faire barrage à la menace grâce à la loi de programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.

Appréhender globalement le cyber-risque français

Elisabeth Borne, ministre chargée des Transports a installé, jeudi 12 avril 2018, le Conseil pour la Cyber sécurité du Transport Aérien (CCTA) pour appréhender globalement le cyber-risque français avec une coordination indispensable entre professionnels : les services de l’Etat, les constructeurs, les équipementiers, les exploitants et les fédérations professionnelles. Cette instance est pour les acteurs de l’aviation civile un lieu de référence pour encadrer, structurer et coordonner les initiatives concernant la cyber sécurité du secteur aérien français. Ce conseil portera la voix de la France dans les groupes de travail techniques européens et internationaux.

La présidence du Conseil pour la Cyber sécurité du Transport Aérien est confiée au directeur général de l’Aviation civile. Trois vice-présidents sont également nommés : le directeur général de Agence nationale de la sécurité des systèmes d'information (ANSSI) pour le secteur de l’Etat, la direction d’Airbus pour le secteur Industriels et la direction du groupe ADP pour le secteur Opérateurs.

Le Conseil est également composé de trois comités techniques :

  • CT1 : « risques cyber », chargé de tenir à jour une hiérarchie des risques pouvant affecter la filière du transport aérien ;
  • CT2 : « impact », chargé de proposer des mesures d’atténuation de ces risques, en tenant compte de l’impact de ces mesures (sûreté, économie,… ) ;
  • CT3 : « réglementation », chargé de formuler des projets de textes nationaux et déployer une stratégie d’influence auprès des instances internationales.

Le CCTA est ainsi composé de 14 membres : ANSSI, ministères de l’Intérieur, des Armées et des Transports, Airbus, Dassault Aviation, Safran, Thales, GIFAS, ADP, Air France, DSNA, FNAM, et l’UAF.

Cyber-menace: de quoi parle t-on ? 

Le transport aérien a déjà fait l’objet d’actes de malveillance, y compris de nature terroriste. Aujourd’hui, il doit faire face à un risque émergent : les cyber-attaques, autrement dit des tentatives d’intrusions illicites à travers ses moyens de communication.
La cybersécurité est la réponse à la cybermenace. Le terme recouvre l’organisation et l’ensemble des moyens mis en oeuvre pour maintenir les systèmes d’information à leur meilleur niveau de disponibilité, d’intégrité, de confidentialité et de traçabilité.
Le processus de mise en place de ce dispositif consiste à identifier les systèmes et leur sensibilité, puis à analyser les risques afin de décrire leur criticité en mesurant les probabilités d’occurrence de la menace et les impacts d’un événement redouté.
La gestion du risque “cyber” est un processus majeur de la cybersécurité.

Particulièrement tributaire des réseaux d’information dans sa gestion opérationnelle (navigation aérienne, traitement des données radar, plans de vol ou communication air-sol), la cyber-sécurité est un enjeu fondamental pour la performance et le développement du transport aérien. C’est pourquoi des organisations comme l’OACI ou IATA émettent régulièrement des recommandations à ce sujet auprès de leurs membres. 

En France, la lutte contre cette menace s’est traduite par la mise en place d’une politique de cyber-sécurité, pilotée par l’agence nationale de la sécurité des systèmes d’information (ANSSI - service rattaché au SGDSN) et encadrée par la loi de programmation militaire (LPM). Il s’agit de déployer et d’organiser les moyens nécessaires pour maintenir les systèmes d’information des opérateurs dits d’importance vitale à leur meilleur niveau de disponibilité, d’intégrité, de confidentialité et de traçabilité. 
Ce dispositif consiste à identifier les systèmes et leur sensibilité, puis à analyser les risques afin de décrire leur criticité en mesurant les probabilités d’occurrence de la menace et les impacts d’un événement redouté. La gestion du risque « cyber » est un processus majeur de la cyber-sécurité.

Une approche collective au service de l’intérêt public 

En raison de la complexité des systèmes des différents acteurs, de l’échange massif d’informations et de son interconnexion, le transport aérien présente une certaine vulnérabilité à la cyber-menace. 
Les enjeux, dans la sphère de l’aviation civile, renvoient à la protection de deux domaines d’activités distincts, mais étroitement liés : la navigation aérienne et le système de gestion propre à l’administration, appelé système d’information, de gestion et de pilotage (SIGP).

Par ailleurs, l’État français, en s’appuyant sur l’expertise de la DGAC et du SGDSN, œuvre à la protection et à la coordination des différents acteurs de l’aérien. Notre pays bénéficie d’une filière aéronautique forte et complète qui rassemble toutes les composantes du secteur, incluant les opérateurs et fournisseurs de services, les fabricants et intégrateurs de systèmes... 
Par conséquent, ces Assises nationales du transport aérien sont l’occasion pour Elisabeth Borne, ministre chargée des Transports, de mettre en place le Conseil pour la cyber-sécurité du transport aérien. Une approche collective étant la seule solution pour appréhender efficacement cette menace, ce Conseil aura pour mission de piloter la cyber résilience du transport aérien selon trois axes majeurs :

  • maintenir à jour une cartographie hiérarchisée des menaces ;
  • évaluer la pertinence des mesures d’atténuation ;
  • initier des bonnes pratiques, des normes ou des règles, dans le but de les promouvoir dans le débat international.
Back to top