Dans l’aviation moderne, la sécurité dépend autant de la protection des données, des réseaux et des infrastructures numériques que des systèmes et procédures physiques. C’est précisément pour cette raison que l’EASA a introduit la Part-IS. Cette nouvelle réglementation n’est plus simplement un ensemble de règles destiné aux services informatiques, il s’agit d’un cadre qui reconnaît la sécurité de l’information comme un élément intégral de la gestion de la sécurité aérienne.
Cependant, plusieurs idées reçues persistent, et cet article vise à les corriger. Premièrement, considérer que cette réglementation n’est qu’une case de conformité à cocher pour les équipes informatiques ; en réalité, sa portée est bien plus vaste et plus profonde. Deuxièmement, penser qu’elle ne s’applique qu’aux grandes entreprises aéronautiques ; elle concerne l’ensemble de l’écosystème aérien. Troisièmement, croire que les certifications existantes, telles que l’ISO 27001, suffisent pour répondre aux exigences de la réglementation Part-IS. Si ces cadres demeurent utiles, la réglementation Part-IS va plus loin. Elle est spécifiquement conçue pour le secteur aéronautique et doit s’intégrer au cadre de sécurité, et non fonctionner en parallèle.
La Part-IS couvre l’ensemble des systèmes numériques, non seulement les systèmes informatiques classiques, mais aussi les technologies opérationnelles qui appuient la sécurité des opérations aériennes. Elle impose une culture de vigilance permanente, où les risques sont traités avec la même rigueur que les autres risques opérationnels. Approfondissons à présent ce cadre réglementaire novateur.
Qu’est-ce que la réglementation Part-IS ?
La Part-IS, acronyme de « Information Security », fait partie du cadre réglementaire de l’Union européenne relatif à la cybersécurité dans l’aviation. Officiellement établie par le Règlement (UE) 2023/203, entré en vigueur le 1er février 2023, elle vient compléter des textes antérieurs tels que le Règlement d’exécution (UE) 2017/373 de la Commission.
Elle s’appuie sur le Règlement (UE) 2022/1645, mais érige désormais la sécurité de l’information en une « Partie » à part entière de la réglementation aéronautique, au même niveau que d’autres domaines déjà établis, tels que la Part-ATM (gestion du trafic aérien) ou la Part-MET (météorologie).
Pourquoi la Part-IS est-elle importante ?
- Cadre juridique et réglementaire commun à l’aviation : La réglementation Part-IS constitue une étape proactive visant à garantir que les risques liés à la sécurité de l’information soient gérés de manière systématique dans l’ensemble du système aéronautique européen, en tenant compte de l’interconnectivité et de l’effet domino des incidents et des impacts liés à la sécurité.
- Réputation et confiance : Un incident de cybersécurité ayant un impact sur la sécurité peut compromettre les opérations et affaiblir la confiance du public, un élément essentiel dans le secteur aéronautique.
- Continuité d’activité : Une défaillance numérique peut perturber les opérations autant qu’une panne mécanique. Une gestion efficace des risques améliore la résilience de l’entreprise.
- Intégration de la sécurité et de la sûreté : La Part-IS intègre la cybersécurité au sein du même cadre que les Systèmes de gestion de la sécurité (SMS), renforçant ainsi l’idée que la protection numérique est indissociable de la sécurité physique.
Bien plus qu’une exigence documentaire
La plus grande erreur que puissent commettre les entreprises consiste à considérer la réglementation Part-IS comme une simple obligation de conformité informatique.
La réglementation Part-IS a été conçue pour protéger les opérations aéronautiques contre les menaces liées à la sécurité de l’information susceptibles de compromettre la sécurité. Plutôt que d’introduire de nouvelles règles de sécurité, elle intègre la cybersécurité dans les pratiques de gestion des risques déjà familières aux entreprises aéronautiques.
Pour atteindre les objectifs de la Part-IS, les entreprises doivent aller au-delà des seuls contrôles techniques : elles doivent démontrer leur capacité à gérer activement les cyber risques au moyen d’un cadre structuré. Cela implique la mise en place et l’intégration d’un système de management de la sécurité de l’information (SMSI), qui offre une approche méthodique de la gestion des risques, règles et processus. Grâce à un SMSI, les entreprises sont en mesure de démontrer leur capacité à :
- Identifier et gérer les risques affectant les données et systèmes TIC liés à l’aviation ;
- Détecter et classer les événements et incidents de sécurité ;
- Réagir et rétablir rapidement et efficacement la situation à la suite d’un incident de sécurité de l’information ;
- Établir une gouvernance, des rôles et des responsabilités clairs en matière de sécurité de l’information ;
- Intégrer la cybersécurité dans la culture globale de sécurité aérienne ;
- Améliorer en continu les mesures de sécurité à partir des retours d’expérience et de l’évolution des menaces ;
- Assurer la résilience des systèmes TIC critiques pour maintenir la sécurité des opérations en conditions dégradées ;
- Gérer les risques tout au long de la chaîne d’approvisionnement et avec les prestataires tiers susceptibles d’avoir un impact sur la sécurité aérienne.
En résumé, la Part-IS garantit que les risques de cybersécurité soient traités avec la même rigueur que les autres risques opérationnels dans le secteur aéronautique.
Champ d’application – Qui doit se conformer à la Part-IS, et dans quels délais ?
L’une des idées reçues les plus répandues concernant la Part-IS est qu’elle ne concernerait que les « grands acteurs » du secteur aéronautique : aéroports, prestataires de services de navigation aérienne (ANSP) ou grandes compagnies aériennes. En réalité, sa portée est bien plus large, puisqu’elle couvre les systèmes et données TIC de toutes les organisations agréées opérant dans l’aviation civile. Cela inclut également des exploitants plus modestes mais essentiels, tels que les services médicaux aériens (ex. : hélicoptères hospitaliers), les opérateurs privés d’ambulances aériennes, les écoles de pilotage et les fournisseurs de simulateurs de vol.
La Part-IS s’applique donc à l’ensemble de l’écosystème aéronautique, avec des dates de mise en œuvre progressives.
Elle couvre également :
- Organisations de maintenance (Part-145, à l’exclusion du champ restreint de la Part-ML)
- Exploitants aériens (Part-ORO)
- Organismes de formation (ATO), y compris ceux disposant de simulateurs synthétiques de vols (FSTD)
- Centres aéro-médicaux pour les membres d’équipage et les contrôleurs de la circulation aérienne (ATCO)
- ANSP et prestataires de services associés (Part-ATM/ANS.OR)
- Fournisseurs de services U-space, fabricants de composants ATM/ANS, et d’autres acteurs du secteur.
À la première date d’applicabilité, les entreprises devront démontrer :
- un système de management de la sécurité de l’information (SMSI) opérationnel, évalué comme « présent et adapté » ;
- un manuel initial de management de la sécurité de l’information (MMSI) ;
- une procédure documentée pour la gestion des modifications du SMSI ;
- une évaluation initiale des risques couvrant les activités, les ressources, les données et les interfaces externes ;
- des éléments de preuve attestant du suivi de conformité et de la mise en œuvre d’actions correctives.
Principales exigences
Au cœur de la Part-IS se trouve l’obligation, pour chaque entreprise, de mettre en place un Système de management de la sécurité de l’information (SMSI) aligné sur les pratiques existantes de gestion de la sécurité.
Vue d’ensemble des exigences de la Part-IS :
Défis observés sur le terrain
Bien que la sensibilisation à la Part-IS progresse, plusieurs difficultés pratiques émergent :
- Intégrer la cybersécurité aux systèmes de management de la sécurité (SMS) existants, sans surcharger le personnel ;
- Gérer les risques tout au long de la chaîne d’approvisionnement et avec les sous-traitants ;
- Intégrer les systèmes hérités aux mesures actuelles de cybersécurité ;
- Instaurer une culture du signalement des incidents, et pas seulement de la correction technique ;
- Composer avec des ressources limitées, en particulier pour les entreprises de plus petite taille ;
- Suivre le rythme de l’évolution rapide des cybermenaces, dans un environnement réglementaire plus lent.
Quelles sont les prochaines étapes ?
La Part-IS représente une avancée essentielle pour le secteur aéronautique : l’intégration de la sécurité de l’information au sein du cadre de sécurité déjà en place. Plus qu’un simple exercice de conformité, la Part-IS vise à instaurer une culture dans laquelle sécurité et sûreté sont indissociables.
Comprendre la Part-IS n’est qu’un point de départ. La prochaine étape consiste à transformer cette compréhension en action, notamment en réalisant une analyse des écarts, définissant clairement les responsabilités, intégrant les processus du SMSI dans les opérations quotidiennes, et en renforçant la sensibilisation à la sécurité à tous les niveaux de l’entreprise.
Dans notre prochain article, nous présenterons des stratégies concrètes pour passer de la sensibilisation à une planification opérationnelle efficace, afin d’aider les entreprises à atteindre la conformité de manière structurée et fiable, bien avant les échéances réglementaires.
En attendant, pour obtenir plus d’informations ou un accompagnement concernant la Part-IS au sein de votre entreprise, contactez l’un de nos spécialistes de l’aviation.
