RiskInsight

Le blog cybersécurité des consultants Wavestone

PART-IS : Un pilier de la cybersécurité dans l’aviation européenne 

Dans un monde où la sécurité aérienne repose de plus en plus sur des systèmes numériques, la réglementation PART-IS, introduite par l’EASA (European Union Aviation Safety Agency), marque un tournant décisif.  

Cette initiative s’inscrit dans un contexte de multiplication des normes, règlements et directives en cybersécurité, tels que NIS2 (Directive sur la sécurité des réseaux et des systèmes d’information), le Cyber Resilience Act (CRA) ou encore des régulations sectorielles spécifiques Ce cadre réglementaire en pleine expansion reflète la nécessité de sécuriser les infrastructures critiques et produits technologiques face à des menaces croissantes. 

Cet article explore la réglementation PART-IS, ses implications, son périmètre, les parties prenantes impliquées, les exigences essentielles et les démarches pour s’y conformer. 

Qu’est-ce que la PART-IS ? Pourquoi est-elle essentielle ? 

La PART-IS a été introduite pour renforcer la sûreté aéronautique en protégeant les systèmes d’information critiques dans l’aviation. Son objectif principal est de garantir que ces systèmes, qui incluent des technologies telles que les communications avioniques et la gestion du trafic aérien, soient résilients face aux cybermenaces pour garantir la continuité et la sûreté des opérations aériennes dans un secteur où toute défaillance peut entraîner des conséquences graves. En effet, avec l’intégration croissante des technologies numériques dans les opérations aéronautiques, des systèmes de navigation aux infrastructures au sol, la vulnérabilité du secteur aux cyberattaques a considérablement augmenté. 

En obligeant les acteurs de l’aviation à identifier et évaluer les vulnérabilités de leurs systèmes, la PART-IS constitue une réponse proactive aux défis actuels. 

Quels sont les systèmes concernés ? 

 La PART-IS s’applique à tous les systèmes numériques utilisés dans l’aviation civile. Cela inclut par exemple : 

  • Les systèmes embarqués, tels que les Flight Management Systems (FMS) 
  • Les infrastructures de gestion du trafic aérien (ATM) 
  • Les systèmes de maintenance prédictives 

En raison de l’interconnexion croissante entre ces systèmes, une vulnérabilité dans un composant peut provoquer une réaction en chaîne à travers l’ensemble de l’écosystème aéronautique, mettant en péril la sécurité des opérations. 

Qui sont les parties prenantes ? 

 La mise en œuvre de la PART-IS repose sur une collaboration entre plusieurs parties prenantes. Les principaux acteurs concernés incluent : 

  • Les opérateurs aériens, responsables de la sécurité des systèmes embarqués 
  • Les fabricants, qui doivent intégrer des mesures de cybersécurité dès la conception des aéronefs et des équipements 
  • Les prestataires de services de navigation aérienne, chargés de protéger les systèmes de gestion du trafic 
  • Les autorités nationales, dont le rôle est de superviser et vérifier la conformité réglementaire 
  • Les fournisseurs de service au sol  

La PART-IS sera obligatoire à partir d’octobre 2025 pour les organismes agréés par l’EASA, dans le cadre du règlement délégué (UE) 2022/1645, c’est-à-dire les organismes de production et de conception. Les organismes de maintenance dans le cadre du règlement délégué (UE) 2023/203 devront se mettre en conformité d’ici février 2026. 

Quelles sont les exigences de la PART-IS ? 

La réglementation PART-IS impose des principes fondamentaux pour garantir la sécurité des systèmes critiques. Les organisations concernées doivent adopter une approche rigoureuse pour répondre à ces exigences et assurer leur conformité. 

Gestion des risques (SMSI) 

Cette réglementation s’inscrit dans une démarche proactive visant à identifier, analyser et atténuer les risques qui pourraient compromettre la confidentialité, l’intégrité et la disponibilité des informations sensibles. En s’appuyant sur un cadre structuré tel que la norme ISO/IEC 27001, le SMSI devient un outil central pour établir des politiques de sécurité robustes, déployer des mesures techniques et organisationnelles adaptées, et sensibiliser les parties prenantes aux enjeux de la cybersécurité. 

La gestion des risques, pilier fondamental de cette approche, permet de prioriser les efforts en fonction des vulnérabilités identifiées, tout en assurant une amélioration continue grâce au cycle PDCA (Plan-Do-Check-Act). La réglementation impose aux opérateurs et entités de l’aviation civile de se doter d’une gouvernance de la sécurité de l’information solide, alignée sur les meilleures pratiques.  

Evaluation des risques 

Les organisations doivent établir une méthodologie structurée pour identifier, analyser et mitiger les risques cyber associés à leurs systèmes d’information. Cela inclut la réalisation d’analyses de vulnérabilité, l’évaluation des impacts en cas de compromission et la mise en œuvre de contrôles adaptés. 

Surveillance continue 

La surveillance en temps réel des systèmes est indispensable pour détecter et répondre rapidement aux incidents de sécurité. Cela nécessite l’utilisation d’outils avancés et la mise en place de protocoles de réponse aux incidents. Tous les incidents doivent être signalés rapidement et accompagnés d’un plan de réponse clair pour limiter leur impact. 

Formation et sensibilisation 

Le personnel doit être formé aux meilleures pratiques en matière de cybersécurité pour réduire les risques liés aux erreurs humaines. Des programmes de sensibilisation réguliers sont essentiels pour maintenir un niveau de vigilance élevé. 

Audits et documentation 

La conformité à la PART-IS est vérifiée à travers des audits réguliers menés par l’EASA ou des autorités nationales. Les organisations doivent ainsi maintenir une documentation complète couvrant les politiques de sécurité, les procédures mises en œuvre et les incidents rencontrés. 

Quelles sont les étapes clés pour démarrer votre conformité ?  

La mise en conformité avec la PART-IS offre une opportunité stratégique pour les entreprises de renforcer la sécurité de leurs systèmes critiques et de moderniser leurs pratiques. 

La date limite de mise en conformité étant fixée à octobre 2025 pour à minima une partie du périmètre, c’est le moment idéal pour entamer la démarche de mise en conformité. 

Pour y parvenir, nous accompagnons actuellement nos clients sur 3 activités principales :  

  • Tout d’abord, il est essentiel de définir avec précision le périmètre concerné, en s’appuyant notamment sur celui des agréments délivrés par l’EASA, afin de cadrer efficacement les efforts.  
  • Ensuite, la rédaction d’un Système de Management de la Sécurité de l’Information (SMSI) permettra de structurer les politiques et processus nécessaires à une gestion proactive des risques.  
  • Enfin, réaliser les premières analyses de risques pour identifier les vulnérabilités et établir des plans d’action adaptés.  

Ces étapes posent les bases d’une stratégie solide et pérenne en matière de sécurité de l’information qui faudra par la suite faire vivre et évoluer dans l’esprit du processus d’amélioration continue prôné par PART-IS. 

Article précédent Shake’Up et Les Echos lancent la 1ère édition de leur Prix « Women Entrepreneurs in Tech »

Sur le même thème

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Back to top