Notre identité et notre mission

Egis est un groupe international de conseil, d’ingénierie de la construction et d’exploitation qui œuvre dans le monde entier pour des territoires plus équilibrés, plus durables et plus résilients.

A propos

Notre raison d'être, nos valeurs

Notre gouvernance

Une expertise récompensée

Notre partenariat avec Paris 2024

Vision

Notre vision stratégique

Marques et acquisitions

Innovation

Transformation digitale

RSE

Entreprise responsable

Éthique et Conformité

Diversité et inclusion

Politique et chartes

La Fondation Egis

Nos secteurs d'activité

Nous accompagnons nos clients, de l’amont à l’aval, sur l’ensemble de leurs projets de mobilité, d’infrastructure et de construction, partout dans le monde.

Transport

Ambition France Transports

Ville

Bâtiment

Ville

Industrial & Process Engineering

Sports & Events

Ressources

Air, Santé, Odeurs et Traitement

Egis : du concept à l’opérationnel.

Technicité et esprit collaboratif au service de la conception et de l’exploitation intelligentes et durables. Pour des transports, villes et équipements collectifs au service de tous.

Conseil et ingénierie

Conseil

Conception

Management de projet

Formation et certification

Exploitation

Gestion d'infrastructures

Services de mobilité urbaine

Services aux usagers de la route

Contrôle du stationnement payant

Transformation

Développement durable

Ingénierie numérique

Smart mobility

Projets

Egis : portée internationale, ancrage local.

Avec une présence dans 100 pays, en Europe, au Moyen-Orient, en Inde, en Amérique latine, en Afrique et en Asie-Pacifique, le réseau Egis peut déployer des ressources dans toutes les régions du monde.

Europe & Asie centrale

Moyen-Orient

Afrique

Asie

Australie & Nouvelle-Zélande

Amérique du Nord

Amérique latine

Nous contacter

Egis : explorer le futur.

Anticipation des tendances de demain, analyse des problématiques de fond dans la construction, les transports et l’infrastructure durable, actualité de l’entreprise.

Actualité

Toute l'actualité

Presse et médias

Evénements

Articles & livres blancs

Publications

Projets •Faire de la sécurité un élément intégré et non une...

Faire de la sécurité un élément intégré et non une pièce rapportée : la cybersécurité dès la conception dans l’aviation.

Plusieurs pays

Nous contacter

Concevoir des systèmes d’aviation résilients dès le départ — en faisant coïncider sécurité, exploitation et conformité

Nous contacter

Partager un projet •

Clients

Prestataires de service de navigation aérienne (ANSP) et aéroports

Calendrier

Depuis 2022

Bénéfices

Les systèmes d’aviation conçus avec une architecture sécurisée et résiliente peuvent réduire de 50 % les interruptions de service par rapport aux systèmes antérieurs dépourvus de mesures de sécurité intégrées et de plans de reprise adaptés.

L’aviation, un secteur sous pression face à la montée des cyberattaques.

4,88 M $Coût moyen mondial d’une violation de données en 2024

Soit une augmentation de 10 % par rapport à l’année précédente.

61%des acteurs de l'aviation

ont subi une attaque par ransomware en 2024, avec en moyenne 21 incidents de phishing et 6 incidents émanant d’États-nations par organisation.

70%accordent la priorité à la cybersécurité

70 % des acteurs du secteur identifient désormais la cybersécurité comme leur principale priorité.

Le défi.

Atteindre le « Secure by Design »

La cybersécurité dans l’aviation devient de plus en plus essentielle à mesure que les systèmes numériques prennent une place centrale dans la gestion du trafic aérien (ATM), les opérations aéroportuaires et la prestation de services. Les prestataires de service de navigation aérienne (ANSP) exploitent des systèmes ATM critiques pour la sécurité mondiale de l’aviation. Face à l’évolution des menaces, ils doivent adopter une approche « Secure by Design », intégrant la cybersécurité tout au long du cycle de vie des systèmes. Cet impératif doit cependant être équilibré avec les exigences de sûreté opérationnelle, car des mesures de sécurité trop rigides peuvent créer des risques pour les systèmes critiques. Intégrer le « Secure by Design » au cycle en V (modèle de Vérification et Validation) permet aux ANSP de gérer cet équilibre, en collaboration avec les fabricants d'équipement d'origine (OEM) et en conformité avec les réglementations locales.

Le cycle en V, méthodologie d’ingénierie système largement répandue dans tous les secteurs – y compris l’aviation – fournit un cadre structuré pour le développement des systèmes, de l’analyse des besoins à la validation et à l’exploitation du système. Pour les ANSP, intégrer la sécurité dans ce cadre implique de tenir compte des réalités opérationnelles, notamment la présence de systèmes et technologies antérieurs, qui ne répondent peut-être pas aux référentiels normatifs actuels de cybersécurité et posent d‘importants défis d’intégration.

Les principaux défis sont les suivants :

Complexité des parties prenantes : coordination des responsabilités cybersécurité entre aéroports, ANSP, OEM et prestataires dont les niveaux de maturité et d’appétence au risque sont variables.
Systèmes antérieurs : difficultés et risques liés à l’adaptation de la cybersécurité à des infrastructures vieillissantes.
Alignement sécurité/sûreté : garantir que les mesures de cybersécurité ne compromettent pas la sécurité ou la disponibilité des systèmes critiques ATM et aéroportuaires.
Flou réglementaire : interprétation et application de réglementations émergentes, à la fois internationales et nationales.
Évolution des menaces : concevoir aujourd’hui des systèmes capables de résister aux menaces de demain.
Risque lié à la chaîne d’approvisionnement : gestion des sous-traitants et garantie de pratiques sécurisées sur l’ensemble du cycle de vie.
Collaboration transverse aux domaines : encourager le travail conjoint entre l’IT, l’ingénierie, la sécurité, la cybersécurité, le juridique, la conformité et l’exploitation, des domaines traditionnellement indépendants.

Imaginer.

Un accompagnement sur mesure pour aider les acteurs de l’aviation à prendre des décisions éclairées

Fort d’une longue expérience en ingénierie et en conseil dans le secteur de l’aviation, Egis propose une équipe spécialisée pour accompagner ANSP, aéroports et OEM tout au long du cycle de développement de leurs systèmes, avec l’objectif d’intégrer de manière fluide la cybersécurité et la sécurité dès la conception. Nous travaillons main dans la main avec vos équipes pour définir et déployer des stratégies « Secure by Design » adaptées à vos contraintes réglementaires et opérationnelles. Notre rôle va de la réalisation d’audits des risques de sécurité et d’évaluations collaboratives à la mise en œuvre de cadres de sécurité avancés, en assurant la résilience des systèmes et leur concordance avec les meilleures pratiques internationales. Nous apportons également un accompagnement continu pour valider les performances, optimiser les solutions durant l’intégration, garantir la conformité en phase opérationnelle et former les équipes aux bonnes pratiques de sécurité des systèmes. En assurant le lien entre ANSP, aéroports et OEM, Egis favorise une collaboration fluide permettant de relever les défis de la cybersécurité tout en préservant sécurité et excellence opérationnelle.

Poser les bases du « Secure by Design »

L’approche « Secure by Design » intégrée au cycle en V permet aux ANSP d’équilibrer sécurité et sûreté. Intégrer une évaluation de la sécurité de l’information dans la phase de conception permet d’identifier les vulnérabilités en amont, tandis que la collaboration avec les OEM garantit une conformité avec les exigences opérationnelles et réglementaires. En intégrant la cybersécurité dès le développement et en s’appuyant sur l’expertise de partenaires comme Egis, les ANSP peuvent protéger leurs opérations et les passagers dans un contexte de menaces de plus en plus complexe et interconnecté.
La mise en œuvre de cette approche implique d’intégrer la sécurité au cœur du développement du système. Ce processus commence par la compréhension des exigences opérationnelles, à partir desquelles sont dérivés les concepts techniques locaux. Cela permet de poser les bases de la structure technique du système. Une revue et une validation approfondies du système permettent d’identifier et de traiter les vulnérabilités potentielles dès les premières étapes du projet. Cette étape est suivie par l’élaboration d’exigences système détaillées, plaçant la sécurité comme composante fondamentale du dispositif. Enfin, l’élaboration des spécifications de cybersécurité permet de définir des protocoles et des normes précises visant à protéger le système contre les menaces, garantissant ainsi une conception robuste et résiliente dès le départ.

Évaluation des risques de sûreté

L’évaluation des risques de sûreté est essentielle pour protéger le patrimoine informationnel et garantir la sécurité du système. Elle commence par l’identification du patrimoine informationnel critique à protéger par le biais du cadrage, puis par la définition d’une architecture de base pour la revue de sécurité. Vient ensuite l’analyse des risques : évaluation de la probabilité et de l’impact des menaces potentielles pour estimer leur gravité. Puis, une analyse de l’architecture de haut niveau permet d’identifier précisément les vulnérabilités structurelles. Un registre de risques initial est alors établi, représentant l’exposition au risque avant toute mesure d’atténuation. Enfin, des contrôles de sécurité applicables sont proposées pour atténuer ces risques, jetant ainsi les bases de mesures de protection ciblées pour renforcer la résilience globale.

Élaboration des exigences de cybersécurité

L’élaboration des exigences de cybersécurité s’appuie sur une analyse approfondie de l’environnement actuel et des aspects critiques qui garantissent les performances, la disponibilité et la fiabilité du système. Pour être efficaces à long terme, ces exigences doivent prendre en compte l’environnement opérationnel du contrôle du trafic aérien (ATC) et rester adaptables aux évolutions futures des besoins fonctionnels et sécuritaires. Leur légitimité repose sur une conformité avec les normes spécifiques au secteur aérien ainsi qu’avec des référentiels normatifs issus d’autres domaines, assurant un cadre de référence solide et cohérent qui répond aux défis uniques de l’aviation et s’appuie sur les bonnes pratiques du secteur en général.

Analyse du paysage réglementaire

La revue du cadre réglementaire de la cybersécurité dans l’aviation passe par une analyse systématique des normes, directives et règlements existants. Elle commence par l’identification des réglementations et normes applicables aux niveaux international, régional et national émanant d’organismes tels que l’Organisation de l’aviation civile internationale (OACI), l’Agence européenne de la sécurité aérienne (AESA), l’Organisation européenne pour l’équipement de l’aviation civile (EUROCAE), etc. Une attention particulière est portée aux chevauchements, aux lacunes et aux tendances réglementaires émergentes susceptibles d’avoir un impact sur la conformité de la conception. L’objectif est d’assurer un alignement complet sur les obligations actuelles tout en anticipant les exigences à venir, dans une logique de gouvernance proactive et de pilotage éclairé de la sécurité à tous les niveaux de l’organisation.

Former le personnel aux bonnes pratiques de l’industrie aéronautique

La formation des équipes aux bonnes pratiques de sécurité dans le secteur aéronautique nécessite une approche de formation globale, qui commence par la concordance des contenus pédagogiques avec les dernières recommandations issues à la fois des cadres de sécurité internationaux et des référentiels propres à l’aviation. Elle intègre les domaines transverses tels que la gestion des risques, les contrôles de sécurité, les évaluations des risques et la sécurisation des systèmes ATM. Cette démarche continue contribue à créer une culture de sécurité partagée et à renforcer la résilience opérationnelle et la conformité réglementaire.

Concevoir.

La sécurité par la mise en œuvre concrète du « Secure by Design »

Dans le cadre d’un projet récent toujours en cours, nos équipes ont collaboré avec une autorité de l’aviation civile majeure de la région Asie-Pacifique lors de l’acquisition d’un nouveau système ATM, et accompagné son cycle de vie en intégrant le principe de sécurité dès la conception.

Cela a impliqué l’élaboration de plans de cybersécurité, la définition des spécifications et exigences en matière de cybersécurité, ainsi que la conduite de revues de sécurité du système. Nous avons également réalisé une évaluation des risques de sûreté en conformité avec les orientations spécifiques au secteur aéronautique (Civil Air Navigation Services Organisation – CANSO) et internationales (National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) et International Organisation for Standardisation (ISO) 2700X) et répondu aux exigences de l’agence nationale de la sûreté (NSA) en matière d’évaluation des risques réglementaires régionaux spécifiques. Cette approche a nécessité l’usage simultané de méthodologies descendantes et ascendantes pour l’évaluation des risques, en croisant leurs résultats pour obtenir une vision exhaustive.

En appliquant ces deux approches de manière complémentaire, Egis a fourni des conseils experts pour garantir que le cahier des charges des marchés réponde aux besoins opérationnels, couvre les risques identifiés, et exige des fournisseurs qu’ils démontrent la maîtrise effective des risques de sûreté.

Concrétiser.

Cybersécurité, conception système, sécurité et résilience

Intitulé du projet	Pays	Description
skeyes – Programme de tour numérique et accompagnement à la certification ISO 27001	Belgique	Egis a accompagné skeyes durant la phase d’acquisition et de mise en œuvre de sa tour numérique, en animant des ateliers transversaux pour définir la stratégie, les critères de sélection et les exigences de l’appel d’offres. L’étude a couvert la faisabilité, les scénarios de secours, la résilience cyber, les performances des contrôleurs aériens et les modèles économiques afin d’assurer un service de contrôle à distance sûr, interopérable et adapté aux évolutions futures. Egis a également aidé skeyes à définir et coordonner les actions nécessaires à l’obtention de la certification ISO 27001.
ROMATSA - Cybersécurité et renforcement de la capacité SWIM	Roumanie	Egis a accompagné ROMATSA dans le renforcement de la cybersécurité de l’aviation via le développement d’un SOC (Security Operations Centre) et l’amélioration de l’interopérabilité SWIM (System Wide Information Management). L’intervention a porté sur l’évaluation des systèmes existants, la définition des capacités futures et la proposition de stratégies techniques, organisationnelles et économiques alignées sur les règlements européens afin d’améliorer la réponse aux menaces et l’échange d’informations dans la gestion du trafic aérien.
ESSP – Certification de sécurité du prestataire de service de communication IRIS	France	Egis a accompagné l’ESSP sur les aspects cybersécurité et sécurité de l’information dans le cadre de la certification du service IRIS. L’équipe a également accompagné l’ESSP dans la mise en œuvre du système de management de la sécurité de l’information (ISMS) d’IRIS dans le cadre de sa certification en tant que prestataire de services de communication.
Austro Control – Évaluation de la résilience cyber	Autriche	Egis a mené une évaluation indépendante de la résilience cyber d’Austro Control, portant sur les risques opérationnels, la maturité des dispositifs existants et les pistes d’amélioration continue. Les résultats ont été synthétisés dans un rapport de management et une présentation destinée à la direction générale, avec des recommandations stratégiques visant à accroître la résilience cyber.
ANSL – Évaluation de maturité cyber pour les aéroports d’Édimbourg et de Gatwick	Royaume-Uni	Egis a accompagné l’identification des actifs critiques du client et mené une évaluation de maturité selon le Cyber Assessment Framework for Aviation (CAP 1850) pour les aéroports d’Édimbourg et de Gatwick. Cette mission a également inclus la production de diagrammes de cadrage des systèmes critiques et la constitution de dossiers de preuves en soutien à l’audit CAP 1753 ASSURE.
ADAC – Développement des exigences de sécurité pour un système radar d’approche	Emirats Arabes Unis	Définition des exigences de sécurité d’un système radar d’approche destiné à remplacer un système en fin de vie, avec prise en compte de l’interconnexion avec les systèmes existants et de la connectivité pour les futures générations de systèmes.
EUROCAE – Appui au groupe WG-72 sur la sécurité des systèmes aéronautiques	France	Élaboration et mise à jour régulière de modules de formation sur la cybersécurité à destination des professionnels de l’aviation et des autorités de régulation, à travers la prolifération des référentiels normatifs et des orientations en matière de cybersécurité. Développement d’un format e-learning associé.
Aéroport de Southend – Préparation à l’audit CAP 1753 ASSURE	Royaume-Uni	Egis a accompagné l’aéroport de Southend dans la constitution du dossier pour l’audit CAP 1753 ASSURE. Le projet a compris des entretiens, la collecte de preuves, la réalisation du Cyber Assessment Framework pour l’aviation et la production des diagrammes de cadrage des systèmes critiques.