< Back
Un avion dans le ciel

Tags:

Regulation Aerospace Risk and threat evaluation

Quick links:

30 April 2025

Comprendre le référentiel Part-IS : une nouvelle ère de cybersécurité dans l'aviation

L’agence de l’Union européenne pour la sécurité aérienne (EASA) a lancé en 2022 un référentiel de conformité disruptif appelé Part-IS (IS pour Information Security). Cette régulation marque une avancée significative dans la gestion des risques de cybersécurité au sein de l'industrie aéronautique. Alors que les menaces cyber continuent d'évoluer, Part-IS vise à garantir que les organisations aéronautiques mettent en œuvre des mesures robustes de sécurité de l'information pour protéger les systèmes et les données critiques.

Part-IS en bref : ce qu'il faut retenir

EASA a développé un cadre étendu de règles et de directives régissant la conception, la fabrication, l'exploitation et la maintenance des aéronefs, et supervisant la certification du personnel, des organisations et des équipements aéronautiques.

Il s'applique à un large éventail de parties prenantes, y compris les fabricants d'avions et les OEM, mais aussi les compagnies aériennes, les aéroports, les fournisseurs de gestion du trafic aérien (ATM), et les organisations de maintenance. La réglementation se concentre sur la protection de la sécurité aéronautique contre les menaces cyber, en assurant l'intégrité, la confidentialité et la disponibilité de l'information. Le cadre réglementaire Part-IS vient en supplément des approbations existantes. Cela concerne également l'ensemble de la chaîne d'approvisionnement des organisations titulaires d'approbations, à considérer parties prenantes en matière de sécurité.

Description de la supply chain

L’applicabilité en quelques dates

Le développement de la réglementation Part-IS a commencé il y a plusieurs années. Les premières réglementations Part-IS ont été publiées en août et novembre 2022, tandis que les Moyens Acceptables de Conformité (AMC) et le Matériel de Guidage (GM), fournissant des détails sur la mise en œuvre des règles, ont été publiés en juillet 2023. 

Dates clés de la réglementation

Il existe plusieurs dates clés à retenir concernant son applicabilité, en fonction du type d'organisation impactée :

Chronologie détaillée de la réglementation

Part-IS couvre un large éventail d'activités pour garantir la maîtrise des risques pouvant affecter la sécurité aéronautique. Les activités nécessaires à la conformité avec Part-IS sont structurées autour des quatre thèmes principaux suivants :

  • Gestion des risques : les organisations doivent identifier, évaluer et atténuer les risques de cybersécurité pour leurs opérations.
  • Mesures de sécurité : mise en œuvre de mesures techniques et organisationnelles pour protéger les systèmes d'information.
  • Signalement des incidents : signalement obligatoire des incidents de cybersécurité aux autorités compétentes.
  • Surveillance continue : audits et évaluations régulières pour garantir la conformité et la sécurité.

Avez-vous élaboré votre feuille de route de conformité ?

Les activités de cybersécurité sont considérées depuis 2006 dans le développement des systèmes et des aéronefs, mais Part-IS est la première réglementation de l'EASA à aborder la cybersécurité pour des écosystèmes complets. Cette approche repose sur le déploiement d'un Système de Gestion de la Sécurité de l'Information (SMSI).

Par conséquent, aborder les risques de cybersécurité comme le prévoit Part-IS est une nouvelle préoccupation pour de nombreux acteurs qui n'étaient pas initialement concernés par les activités de cybersécurité requises par les autorités lors du processus de certification initiale. 

De plus, Part-IS s'ajoute aux exigences déjà en place provenant des autorités pour les organisations approuvées. Par conséquent, ne pas se conformer au Part-IS peut directement affecter les approbations déjà délivrées. 

Réaliser la conformité avec Part-IS nécessite une approche structurée et bien planifiée. Voici les étapes clés pour construire une feuille de route de conformité efficace :

Mener une analyse d’écart : évaluer votre posture actuelle en matière de cybersécurité par rapport aux exigences du Part-IS. Identifier les lacunes dans les politiques, les processus et les technologies.

Définir les rôles et responsabilités : Avoir une équipe dédiée ou nommer un responsable de la cybersécurité pour superviser les efforts de conformité.

Les équipes IT, sûreté et management doivent travailler de concert pour définir le cadre de l’évaluation SMSI et les rôles impliqués. 

C’est l’une des étapes cruciales, du fait qu’elle amène à repenser complètement la façon dont une organisation fonctionne; par exemple en conduisant des équipes qui ne se parlaient pas au quotidien à travailler ensemble et à communiquer. 

Développer un cadre de gestion des risques : mettre en œuvre une approche basée sur les risques pour identifier, évaluer et atténuer les risques de cybersécurité.

Les évènements et incident IT doivent être évalués sur leur possible incidence et impact en matière de sûreté.

Implémenter des contrôles de sécurité : déployer des mesures techniques telles que le chiffrement, les contrôles d'accès et les systèmes de détection d'intrusions, ainsi que des mesures organisationnelles comme la formation des employés et les plans de réponse aux incidents.

Établir des mécanismes de surveillance et de reporting : mettre en place des systèmes de surveillance continue des menaces de cybersécurité et assurer un signalement rapide des incidents.

Réaliser des audits réguliers : effectuer des audits internes et externes pour valider la conformité et identifier les domaines à améliorer.

Favoriser une culture de sécurité : sensibiliser les employés et les parties prenantes à l'importance de la cybersécurité et leur rôle dans le maintien de la conformité.

En suivant ces étapes, les organisations peuvent non seulement atteindre la conformité, mais aussi renforcer leur résilience globale en matière de cybersécurité.

Quels défis doivent être surmontés pour se mettre en conformité ?

Bien que Part-IS soit une étape cruciale, les organisations peuvent rencontrer plusieurs défis pour atteindre la conformité

  • La complexité des systèmes aéronautiques : la nature interconnectée des systèmes aéronautiques rend difficile l'identification et la sécurisation de toutes les vulnérabilités potentielles surtout en considérant que Part-IS ne traite pas des produits eux-mêmes mais des activités environnantes pouvant avoir un impact sur les produits. 

  • L’incertitude réglementaire : étant donné que Part-IS est relativement nouveau, les organisations peuvent rencontrer des difficultés pour interpréter et mettre en œuvre ses exigences.

  • La résistance culturelle : passer à un état d'esprit centré sur la cybersécurité peut nécessiter des changements culturels significatifs au sein des organisations. La mise en œuvre d’une méthodologie SMSI peut transformer le fonctionnement d'une organisation, et il est essentiel que la direction exécutive s'engage à ces changements et utilise les moyens de communication appropriés pour les expliquer et les mettre en œuvre

  • L’évolution du paysage des menaces : les menaces cyber évoluent constamment, obligeant les organisations à anticiper les risques émergents.

Pour surmonter ces défis, les organisations devraient prioriser la collaboration, investir dans la formation et la technologie, et rechercher des conseils auprès des experts en cybersécurité et des organismes de réglementation.

Description des 3 défis liés à l'implémentation de PART IS

Part-IS comme étape pivot vers la maturité en cybersécurité dans l'industrie aéronautique

Part-IS représente plus qu'une obligation réglementaire; c'est un catalyseur pour augmenter la maturité en cybersécurité dans l'industrie aéronautique. En requérant des pratiques robustes de sécurité de l'information, Part-IS encourage les organisations à adopter une approche proactive et holistique de la cybersécurité. 

Cette réglementation s'applique non seulement aux organisations titulaires d'approbation, mais aussi à leurs chaînes d'approvisionnement qui, en fonction de leur criticité et de leur implication concernant les systèmes d'information, devront contribuer aux exigences de Part-IS.

Le manque de recul initial sur l’implémentation du référentiel peut générer des effets tunnels au début de la transposition pour une organisation cible ainsi qu’à la supply chain concernée. 

Cependant, l'introduction de Part-IS marque un moment décisif pour l'industrie aéronautique. En priorisant la sécurité de l'information, cette réglementation s'attaque aux menaces cybernétiques croissantes auxquelles le secteur est confronté. Les organisations doivent agir maintenant pour développer une feuille de route en matière de conformité, surmonter les défis et utiliser Part-IS comme un levier vers une plus grande maturité en cybersécurité. Ce faisant, elles ne répondront pas seulement aux exigences réglementaires mais protégeront également leurs opérations, leur réputation et l'avenir de l'aviation.

Notre savoir-faire

Chez Thales, nous apportons une expertise inégalée en matière de conformité aux réglementations Part-IS, en tirant parti de la synergie entre nos compétences avancées en cybersécurité et notre connaissance approfondie du secteur aérospatial. Nous travaillons activement pour assurer la conformité au sein de nos propres entités Thales qui détiennent des approbations et doivent prendre en compte les exigences de Part-IS. Notre expertise a également grandement bénéficié aux organisations externes en réalisant des analyses d’écart approfondies, en proposant des feuilles de route stratégiques et en aidant à la mise en œuvre de Système de Management de la Sécurité de l'Information (SMSI).

Description de l'expertise de Thales

En savoir plus sur ce sujet

cards image

NIS 2 Directive for Public Administration
cards image

White Paper How to comply with DORA, The EU’s Digital Operational Resilience Act ?
cards image

NIST 2.0 framework – what’s new and how can it help you?