FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • Cybersécurité : le secteur aérien européen appelé à muscler sa défense

    Cybersécurité : le secteur aérien européen appelé à muscler sa défense

    Écrit par
    Emmanuel Langlois
    Journaliste
    13.10.25
    Cybersécurité Gestion des risques
    06
    MIN
    Cybersécurité : le secteur aérien européen appelé à muscler sa défense
    Cybersécurité : le secteur aérien européen appelé à muscler sa défense
    Cybersécurité : le secteur aérien européen appelé à muscler sa défense
    Image Les CISO face au défi de convaincre le ComEX
    Cybersécurité
    23.02.26 Cybersécurité
    Prochain article
    Les CISO face au défi de convaincre le ComEX
    Lire
    12
    MIN
    Image Startups cyber : 10 conseils pour passer du concept à la commercialisation
    Cybersécurité
    19.02.26 Cybersécurité
    Prochain article
    Startups cyber : 10 conseils pour passer du concept à la commercialisation
    Lire
    10
    MIN
    Image Cyber et cognitif : doctrines, vulnérabilités et transformation du cadre stratégique
    Cybersécurité
    17.02.26 Cybersécurité
    Prochain article
    Cyber et cognitif : doctrines, vulnérabilités et transformation du cadre stratégique
    Lire
    19
    MIN
    Image Cybersécurité des ETI : de la prise de conscience à la structuration stratégique
    Cybersécurité
    09.02.26 Cybersécurité
    Prochain article
    Cybersécurité des ETI : de la prise de conscience à la structuration stratégique
    Lire
    06
    MIN
    La réglementation Part-IS commence à entrer en vigueur ce mois-ci. Dès début 2026, elle obligera tous les acteurs à se doter d'un plan d'action contre la cybercriminalité. Attention toutefois à ne pas empiler les normes, mettent déjà en garde certains experts !

    Nouvelle couche au mille-feuilles ou vrai trou en moins dans la raquette ? Les récentes attaques informatiques qui ont paralysé le mois dernier le fonctionnement des aéroports de Londres-Heathrow, Berlin et Bruxelles ont à nouveau démontré la vulnérabilité du secteur aérien. La nouvelle réglementation Part-IS renforce la sûreté en protégeant les systèmes d’information critiques dans l’aviation. Ce bouclier réglementaire a été imaginé par l’Agence européenne de sécurité aérienne (AESA). Il entrera en vigueur en deux temps : le 16 octobre prochain pour une partie des acteurs (exploitants d’aéroport, services de gestion des aires de trafic et avionneurs) puis début 2026 pour les suivants. « Toutes ces mesures ont des points de chevauchements et s’adressent en partie aux mêmes organisations, met en garde Anne Frisch, directrice du programme cybersécurité à la DGAC (Direction générale de l’aviation civile). Cela crée une certaine complexité et une lourdeur d’où notre initiative de rationaliser ces exigences dans un référentiel unique qui est le 3CF. » Ainsi, les compagnies aériennes dont les activités relèvent à la fois du transport, de la maintenance et de la formation vont être placées sous la surveillance de différentes autorités, la DSAC pour le transport et la formation et l’OSAC (Organisme pour la Sécurité de l’Aviation Civile, filiale du groupe Apave) pour la maintenance, « ce qui impose de parfaitement se coordonner et éviter de les sur-auditer », suggère Mme Frisch. 

    Éviter le scénario des hôpitaux 

    Le règlement Part-IS arrive en effet après le règlement 2015/1998 applicable depuis 2021. Il précède aussi la directive NIS2 en cours de transposition dans le droit français. « Ce n’est pas pour autant redondant, affirme pour sa part Yann Berger, consultant en gouvernance de la cybersécurité chez Airbus. La Part-IS impose une intégration dans les agréments aéronautiques (DOA, POA, AOC…), ce qui n’est pas le sujet de NIS2 et de CRA. » À terme, en février prochain, tous les acteurs du secteur (compagnies aériennes, organismes de maintenance ou centres médicaux pour le personnel navigant, etc.) devront donc avoir mis en place dans leurs organisations internes ces moyens de détection et de réaction rapide aux cyberattaques. « Le but est simple, résume Jean-Marc Grémy, consultant indépendant et spécialiste en cybersécurité dans le transport aérien, il s’agit du fait que le monde de l’aérien ne subisse pas les mêmes heures sombres et difficiles que le secteur de la santé avec les cyberattaques contre des hôpitaux. » 

    Homogénéisation des pratiques

    Vu l’interconnexion croissante entre ces systèmes, une vulnérabilité dans un seul composant peut en effet provoquer une réaction en chaîne et mettre en péril la sécurité de l’ensemble des opérations. « Dans son rapport de janvier 2025, le Centre européen pour la sécurité dans l’aviation (ECCSA) faisait état d’une multiplication par trois des cyberattaques dans le secteur entre 2023 et 2024, insiste Mme Frisch. Les menaces sont aujourd’hui plus fréquentes et sophistiquées que jamais. » Chacun s’accorde à penser que la Part-IS n’éliminera pas totalement les risques mais qu’elle réduira le nombre d’attaques réussies. La nouvelle réglementation prévoit aussi une homogénéisation des pratiques et une culture de cybersécurité renforcée. « Le véritable impact dépendra de la qualité de mise en œuvre par chaque acteur (constructeurs, équipementiers, compagnies aériennes, MRO, aéroports, etc.) et de la coopération sectorielle (partage d’informations, retour d’expérience..), relativise toutefois M. Berger. Ce qui est certain, c’est que la nouvelle réglementation impose un cadre commun qui élève la maturité cyber de l’ensemble du secteur. » Chez les compagnies aériennes, le sujet paraît sensible. Silence radio à easyJet. Dans un communiqué laconique, Air France nous précise pour sa part : « Nous travaillons en concertation avec nos autorités, notre écosystème aérien et avec des partenaires sur cette réglementation pour être parfaitement alignés avec ses exigences d’ici son entrée en vigueur. » 

    Changements d’habitude

    Les incidents de sécurité seront eux déclarés à la DGAC avec si besoin l’appui technique de l’ANSSI. « C’est une contrainte supplémentaire avec des changements d’habitude, reconnaît M. Grémy, mais ce n’est pas non plus une grande révolution ! Vu leurs excellents résultats financiers, les aéroports et les compagnies aériennes ont de quoi mettre la main à la poche. » Airbus affirme de son côté avoir intégré il y a près de vingt ans déjà la sûreté de l’information directement dans la conception de ses appareils, un engagement initié avec l’A380 et l’A350, et aujourd’hui étendu à l’ensemble de sa gamme. Cette approche est basée sur le « security by design » (sûreté dès la conception). « Les systèmes avioniques et logiciels sont conçus dès le départ avec des protections intégrées puis validées selon des normes internationales strictes et les exigences de l’AESA », détaille M. Berger. Cette nouvelle réglementation Part-IS va ainsi contraindre aussi les fournisseurs à mettre en place les moyens d’éviter ou de parer à toute cyberattaque. « Si les grosses sociétés ont pris le sujet à bras le corps, il y a encore un important travail de sensibilisation et d’accompagnement à faire auprès des petites et moyennes entreprises de la chaîne d’approvisionnement », alerte Mme Frisch. Pour une compagnie aérienne, une non-conformité à ce nouveau règlement peut conduire jusqu’à la perte de son CTA (certificat de transport aérien) lui permettant de faire voler ses avions.

    Emmanuel Langlois
    13.10.25
    Articles du même auteur :
    1
    17.02.26 Cybersécurité
    Stratégie nationale cyber : comme un avion sans aile ?  
    Lire
    06
    MIN
    2
    12.02.26 Transformation numérique
    Menace quantique : l’ANSSI sonne le tocsin
    Lire
    05
    MIN
    3
    05.01.26 Cyber stabilité
    Cybersécurité : les États-Unis sont-ils vraiment au bord de l’effondrement ? 
    Lire
    05
    MIN
    4
    03.12.25 Transformation numérique
    Iran : entre isolement et résilience technologique
    Lire
    05
    MIN
    Image Les CISO face au défi de convaincre le ComEX
    Cybersécurité
    23.02.26 Cybersécurité
    Prochain article
    Les CISO face au défi de convaincre le ComEX
    Lire
    12
    MIN
    Image Startups cyber : 10 conseils pour passer du concept à la commercialisation
    Cybersécurité
    19.02.26 Cybersécurité
    Prochain article
    Startups cyber : 10 conseils pour passer du concept à la commercialisation
    Lire
    10
    MIN
    Image Cyber et cognitif : doctrines, vulnérabilités et transformation du cadre stratégique
    Cybersécurité
    17.02.26 Cybersécurité
    Prochain article
    Cyber et cognitif : doctrines, vulnérabilités et transformation du cadre stratégique
    Lire
    19
    MIN
    Image Cybersécurité des ETI : de la prise de conscience à la structuration stratégique
    Cybersécurité
    09.02.26 Cybersécurité
    Prochain article
    Cybersécurité des ETI : de la prise de conscience à la structuration stratégique
    Lire
    06
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.