« Le 3CF permet la conformité des mesures portant sur la sécurité des systèmes d’information participant à la sûreté de l’aviation civile »
En septembre 2021, la direction de la sécurité de l’aviation civile a publié le Cadre Conformité Cyber France (3CF), qui a pour objectif de regrouper les différentes dispositions réglementaires propres à l’aviation civile en matière de cybersécurité. Ce cadre évolue en 2024 avec une première mise à jour, son champ d’application devenant encore plus large et couvre désormais la sûreté et la sécurité aérienne. Mais ce « 3CF V2 » est encore incomplet. Il est en effet en attente de la transposition de la Directive NIS 2 pour s’aligner avec les autres dispositifs réglementaires (LPM-OIV, NIS V1-OSE). L’évolution de cette V2 devrait intervenir à la fin de cette année.
Pour échanger sur ces mesures visant les acteurs du transport aérien Français, nous avons le plaisir d’inviter Laurent Galvani. Titulaire d’un master spécialisé en sécurité de l’information et cryptologie, Laurent a rejoint Fidens en 2016 en tant que consultant en cybersécurité. Il occupe aujourd’hui le poste de responsable avant-vente.
Le Cadre de Conformité Cybersécurité France, ou 3CF, est la transposition en droit français de dispositions réglementaires européennes pour l’aviation civile. Pouvez-vous nous expliquer de quoi il s’agit ?
En France le transport aérien est concerné par des dispositions nationales en matière de cybersécurité depuis 2016. Elles sont issues d’une part de l’article 22 de la loi de programmation militaire (LPM) et d’autre part de la loi de transposition de la directive européenne Network and Information Security (NIS)
De plus, l’ensemble des acteurs du transport aérien sont soumis à une évolution réglementaire européenne, propre à ce secteur :
– l’amendement (UE) n°2019/1583 [1] au règlement (UE) n°2015/1998 fixant les normes de base commune en matière de sûreté, qui vise à sécuriser les systèmes d’information contribuant à la sûreté de l’aviation civile, applicable au 31 Décembre 2021.
Devant la multiplicité des règlements et la redondance de certaines exigences, le Cadre de Conformité de Cybersécurité France a comme objectif de rationaliser les différentes dispositions réglementaires propres à l’aviation civile, applicables en France. Il vise donc à faciliter leurs mises en œuvre au moyen d’un référentiel unique qu’est le 3CF.
Concrètement, qu’est-ce que le 3CF apporte de nouveau à la cybersécurité des aéroports ?
Le 3CF permet la conformité des mesures portant sur la sécurité des systèmes d’information participant à la sûreté de l’aviation civile. Il assure la cohérence avec les dispositions nationales telles que l’arrêté sectoriel «transport aérien» de la loi de programmation militaire, ou le décret désignés comme «transposition de la directive NIS», mais sans en garantir la conformité. Plus précisément, ces dispositions nationales sont des référentiels techniques et organisationnels, alors que le 3CF vise à la mise en place d’une gouvernance qui va permettre de déployer de façon effective et centralisée ces référentiels. Il amène donc des bonnes pratiques en matière de cybersécurité pour le secteur aérien.
Est-ce que la mise en place de la certification ISO 27001 peut aider à atteindre Le Cadre de Conformité Cybersécurité France ?
Oui car le 3CF est inspiré des bonnes pratiques telles que les guides et méthodes de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), et la norme ISO 27001 relative au Système de Management de la Sécurité de l’Information (SMSI). En cela, il incite à la systématisation de la mise en place d’une gouvernance de la cybersécurité au sein de tous les acteurs du transport aérien. Mais il faut rappeler que le 3CF n’est pas qu’un cadre de bonnes pratiques, il y a une obligation de se mettre en conformité d’ici à la fin de l’année 2024, avec des contrôles réalisés par l’autorité de tutelle. Ainsi, la mise en place d’un SMSI est obligatoire, mais pas la certification par un organisme tiers , la norme ISO 27001 ne servant ici qu’à encadrer la démarche. Pour compléter avec la mise à jour 2024, le référentiel cite explicitement les guides de l’ANSSI mais également l’ISO 27002 :2022
Pourquoi ce cadre de conformité est mis en œuvre ?
Parce que les cas de cyberattaques visant spécifiquement les aéroports sont de plus en plus nombreux. Par exemple, en 2015, une indisponibilité des systèmes de la compagnie aérienne Lot-polish Airlines a perturbé pendant 5 heures le trafic sur l’aéroport Chopin, à Varsovie, clouant au sol quelques 1400 passagers. Autre exemple pendant l’été 2017 quand un ransomware a visé le site Internet et l’enregistrement en ligne de l’aéroport international de Kiev-Boryspil, qui ont été mis hors-service et ont provoqué l’annulation de milliers de vols . De plus, les exemples les plus récents montrent que le spectre des attaques est de plus en plus large, et les exploitants d’aérodromes ainsi que leurs sous-traitants sont également visés. De fait, la V2 du 3CF vise aujourd’hui les organismes qui détiennent un agrément ou un certificat de sécurité, ce qui est très large :
- Organisme de production
- Organisme de conception
- Ateliers de maintenance
- Organismes de gestion du maintien de la navigabilité
- Les compagnies aériennes
- Organismes de formation des personnes de bord
- Les centres aéro-médicaux des personnels de bord
- Les opérateurs de Flight Simulation Training Devices
- Les centres de formation des contrôleurs aériens
- Les centres aéro-médicaux des contrôleurs aériens
- Les prestataires de service de navigation aérienne
- Les exploitants d’aérodromes
- Les prestataires de services de gestion d’aire de trafic
- Les prestataires de services U-space
En complément, de nouvelles exigences ont été incluses, comme la gestion des incidents de sécurité de l’information, la gestion des risques induits par les tiers ou encore le suivi des compétences et de la formation pour les tiers.
Actuellement quels sont les risques spécifiques aux aéroports ?
En plus des attaques « classiques » cherchant à tirer directement des gains via des campagnes de ransomwares par exemple, les aéroports peuvent être victimes d’attaques « étatiques ». Elles visent à faire de l’exfiltration de données, du renseignement (surveiller qui arrive et qui part) mais également du pré-positionnement stratégique en déposant des outils malveillants qui seront utilisés plus tard, quand le contexte sera opportun.
Enfin, une attaque qui handicape la chaine de sureté d’un aéroport va également causer des retards, des arrêts d’exploitation, la fermeture d’un terminal ou amener à ce que des bagages passent au travers de contrôles. Il faut rappeler qu’un aéroport international à une ligne frontière, c’est-à-dire qu’il englobe un espace national et un espace international. Il se doit de garantir l’étanchéité de cette ligne frontière pour éviter, par exemple, que des personnes provenant hors de l’espace Schengen puissent rentrer sans passer par les divers contrôles de la police aux frontières ou de la douane. Or une cyberattaque peut modifier le flux de passager et mettre à mal l’étanchéité de cette ligne frontière.
Comment faciliter la mise en place de 3CF pour les aéroports ?
Il faut rappeler que Fidens est le spécialiste de l’ISO 27001, dont s’inspire le 3CF. Nous avons accompagné plus d’une centaine de structures à la mise en œuvre et au maintien de cette certification. Rappelons également qu’un SMSI doit pouvoir s’articuler avec les autres systèmes de gestion (comme celui de la Sécurité Aérienne par exemple) et nous avons parfaitement l’habitude de faire cela (9001, 13485, TISAX, etc.). Dans le contexte aéroportuaire, nous avons intégré le référentiel 3CF dans APOS, notre solution technologique de gestion de la gouvernance cybersécurité. Nous proposons ainsi un outil préconfiguré pour les clients aéroports, qui les aide à gérer leur cybersécurité, leur système de management et leur conformité au 3CF. APOS permet de générer facilement du reporting auprès des directions générales ou des autorités de contrôle sur la mise en conformité et son maintien dans le temps.
Quel est l’avantage de la solution APOS pour les aéroports ?
APOS apporte une vraie valeur ajoutée car il est spécialisé dans la gestion de la gouvernance de la cybersécurité et du SMSI, et avec l’intégration du référentiel 3CF les clients aéroports vont gagner un temps considérable. Il n’est plus nécessaire de passer par les innombrables et difficilement partageables fichiers Excel : le ROI se calcule donc sur le temps mais également sur l’ergonomie et la facilité d’usage. Le recours à APOS permet aussi de gagner en partage de l’information, avec des plans d’action et ses mises à jour. Enfin les visions graphiques permettent de démontrer l’avancement du projet à l’autorité de contrôle, de suivre et de piloter facilement dans la durée les objectifs de sécurité.
Consultant en cybersécurité depuis 9 ans, j’interviens sur toutes les problématiques de gouvernance, risques et conformité et j’accompagne également les clients à choisir la meilleure offre pour renforcer leur maturité cybersécurité.
TVH Consulting
Partenaire de référénce des éditeurs Microsoft, SAP et Talend, le groupe TVH Consulting est intégrateur expert de solutions ERP, Data, BI, CRM et Cybersécurité avec plus de 400 collaborateurs qui s’engagent sur 100% de réussite des projets IT.
Ces contenus pourraient vous intéresser :
Pour en savoir plus sur les contenus et outils de Business Intelligence, visitez le site :
Contact
22, rue Guynemer – B.P. 112
78 601 Maisons-Laffitte Cedex
- +33 (0)1 34 93 17 27
- +33 (0)1 34 93 49 49
- infos@tvhconsulting.com