« Le 3CF permet la conformité des mesures portant sur la sécurité des systèmes d’information participant à la sûreté de l’aviation civile »
En septembre 2021, la direction de la sécurité de l’aviation civile a publié le Cadre Conformité Cyber France (3CF), qui a pour objectif de regrouper les différentes dispositions réglementaires propres à l’aviation civile en matière de cybersécurité. Pour échanger sur ces mesures visant les acteurs du transport aérien Français, nous avons le plaisir d’inviter Mathieu Charbois. Après un master Sécurité du Système d’Information, il rejoint Fidens en 2008 comme consultant en cybersécurité et dirige aujourd’hui la BU Fidens au sein de TVH Consulting. Il a également accepté en parallèle une mission de RSSI externalisé auprès des aéroports de Lyon depuis juillet 2019.
Le Cadre de Conformité Cybersécurité France, ou 3CF, est la transposition en droit français de dispositions réglementaires européennes pour l’aviation civile. Pouvez-vous nous expliquer de quoi il s’agit ?
En France le transport aérien est concerné par des dispositions nationales en matière de cybersécurité depuis 2016. Elles sont issues d’une part de l’article 22 de la loi de programmation militaire (LPM) et d’autre part de la loi de transposition de la directive européenne Network and Information Security (NIS)
De plus, l’ensemble des acteurs du transport aérien sont soumis à une évolution réglementaire européenne, propre à ce secteur :
– l’amendement (UE) n°2019/1583 [1] au règlement (UE) n°2015/1998 fixant les normes de base commune en matière de sûreté, qui vise à sécuriser les systèmes d’information contribuant à la sûreté de l’aviation civile, applicable au 31 Décembre 2021.
Devant la multiplicité des règlements et la redondance de certaines exigences, le Cadre de Conformité de Cybersécurité France a comme objectif de rationaliser les différentes dispositions réglementaires propres à l’aviation civile, applicables en France. Il vise donc à faciliter leurs mises en œuvre au moyen d’un référentiel unique qu’est le 3CF.
Concrètement, qu’est-ce que le 3CF apporte de nouveau à la cybersécurité des aéroports ?
Le 3CF permet la conformité des mesures portant sur la sécurité des systèmes d’information participant à la sûreté de l’aviation civile. Il assure la cohérence avec les dispositions nationales telles que l’arrêté sectoriel «transport aérien» de la loi de programmation militaire, ou le décret désignés comme «transposition de la directive NIS», mais sans en garantir la conformité. Plus précisément, ces dispositions nationales sont des référentiels techniques et organisationnels, alors que le 3CF vise à la mise en place d’une gouvernance qui va permettre de déployer de façon effective et centralisée ces référentiels. Il amène donc des bonnes pratiques en matière de cybersécurité pour le secteur aérien.
Est-ce que la mise en place de la certification ISO 27001 peut aider à atteindre Le Cadre de Conformité Cybersécurité France ?
Oui car le 3CF est inspiré des bonnes pratiques telles que les guides et méthodes de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), et la norme ISO 27001 relative au Système de Management de la Sécurité de l’Information (SMSI). En cela, il incite à la systématisation de la mise en place d’une gouvernance de la cybersécurité au sein de tous les acteurs du transport aérien. Mais il faut rappeler que le 3CF n’est pas qu’un cadre de bonnes pratiques, il y a une obligation de se mettre en conformité d’ici à la fin de l’année 2024, avec des contrôles réalisés par l’autorité de tutelle. Ainsi, la mise en place d’un SMSI est obligatoire, mais pas la certification par un organisme tiers , la norme ISO 27001 ne servant ici qu’à encadrer la démarche.
Pourquoi ce cadre de conformité est aujourd’hui mis en œuvre ?
Parce que les cas de cyberattaques visant spécifiquement les aéroports sont de plus en plus nombreux. Par exemple, en 2015, une indisponibilité des systèmes de la compagnie aérienne Lot-polish Airlines a perturbé pendant 5 heures le trafic sur l’aéroport Chopin, à Varsovie, clouant au sol quelques 1400 passagers. Autre exemple pendant l’été 2017 quand un ransomware a visé le site Internet et l’enregistrement en ligne de l’aéroport international de Kiev-Boryspil, qui ont été mis hors-service et ont provoqué l’annulation de milliers de vols .
Actuellement quels sont les risques spécifiques aux aéroports ?
En plus des attaques « classiques » cherchant à tirer directement des gains via des campagnes de ransomwares par exemple, les aéroports peuvent être victimes d’attaques « étatiques ». Elles visent à faire de l’exfiltration de données, du renseignement (surveiller qui arrive et qui part) mais également du pré-positionnement stratégique en déposant des outils malveillants qui seront utilisés plus tard, quand le contexte sera opportun.
Enfin, une attaque qui handicape la chaine de sureté d’un aéroport va également causer des retards, des arrêts d’exploitation, la fermeture d’un terminal ou amener à ce que des bagages passent au travers de contrôles. Il faut rappeler qu’un aéroport international à une ligne frontière, c’est-à-dire qu’il englobe un espace national et un espace international. Il se doit de garantir l’étanchéité de cette ligne frontière pour éviter, par exemple, que des personnes provenant hors de l’espace Schengen puissent rentrer sans passer par les divers contrôles de la police aux frontières ou de la douane. Or une cyberattaque peut modifier le flux de passager et mettre à mal l’étanchéité de cette ligne frontière.
Comment faciliter la mise en place de 3CF pour les aéroports ?
Il faut rappeler que Fidens est le spécialiste de l’ISO 27001, dont s’inspire le 3CF. Nous avons accompagné plus d’une centaine de structures à la mise en œuvre et au maintien de cette certification. Dans le contexte aéroportuaire, nous avons intégré le référentiel 3CF dans APOS, notre solution technologique de gestion de la gouvernance cybersécurité. Nous proposons ainsi un outil préconfiguré pour les clients aéroports, qui les aide à gérer leur cybersécurité, leur système de management et leur conformité au 3CF. APOS permet de générer facilement du reporting auprès des directions générales ou des autorités de contrôle sur la mise en conformité et son maintien dans le temps.
Quel est l’avantage de la solution APOS pour les aéroports ?
APOS apporte une vraie valeur ajoutée car il est spécialisé dans la gestion de la gouvernance de la cybersécurité et du SMSI, et avec l’intégration du référentiel 3CF les clients aéroports vont gagner un temps considérable. Il n’est plus nécessaire de passer par les innombrables et difficilement partageables fichiers Excel : le ROI se calcule donc sur le temps mais également sur l’ergonomie et la facilité d’usage. Le recours à APOS permet aussi de gagner en partage de l’information, avec des plans d’action et ses mises à jour. Enfin les visions graphiques permettent de démontrer l’avancement du projet à l’autorité de contrôle, de suivre et de piloter facilement dans la durée les objectifs de sécurité.
