La progression des cybermenaces, mais aussi l'augmentation de la connectivité entre les avions et les autres systèmes sont susceptibles d’augmenter les risques de piratages informatiques dans le cas où les autorités compétentes ne donneraient pas la priorité à la surveillance, d’après le Government Accountability Office (GAO), un organisme d’audit, d’évaluation et d’investigation du Congrès américain, dans un rapport destiné à la Federal Aviation Administration (FAA), l’agence gouvernementale chargée des réglementations et des contrôles concernant l'aviation civile aux États-Unis.
Comme la plupart des systèmes, ceux de l'avionique peuvent devenir très vulnérables en cas de non-application des modifications ou des correctifs apportés aux logiciels commerciaux, d'échec de la sécurisation des chaînes d'approvisionnement, de téléchargement de logiciels malveillants, de systèmes obsolètes sur les anciens avions et aussi en cas de l'usurpation des données de vol.
« La Federal Aviation Administration a établi un processus de certification et de surveillance de tous les avions commerciaux américains, y compris l'exploitation des transporteurs aériens commerciaux. Bien que la FAA reconnaisse la cybersécurité de l'avionique comme un problème de sécurité potentiel pour les avions commerciaux modernes, elle n'a pas pleinement mis en œuvre les pratiques clés nécessaires pour mettre en œuvre un programme de surveillance de la cybersécurité fondé sur les risques », a indiqué le GAO dans le rapport.
Toujours dans ce rapport publié le vendredi 9 octobre 2020, le GAO a déclaré que l'Administration fédérale de l'aviation (FAA) avait négligé de considérer les cyberrisques comme une priorité, n'avait pas élaboré de programme de formation à la cybersécurité avionique, n'avait pas procédé à des tests indépendants de cybersécurité et n’avait pas aussi inclus des tests périodiques dans le cadre de son processus de suivi.
« Tant que la FAA n'aura pas renforcé son programme de surveillance, sur la base des risques évalués, elle pourrait ne pas être en mesure de garantir une surveillance suffisante pour se prémunir contre l'évolution des risques de cybersécurité auxquels sont confrontés les systèmes avioniques des avions commerciaux », a poursuivi l’organisme.
Le GAO a déjà déterminé les pratiques clés de la collaboration inter institutions pouvant être utilisées dans le cadre de l'évaluation de la coordination inter institutions. Pour cela, la FAA entretient une collaboration avec d'autres agences fédérales, à savoir les départements de la défense (DoD) et de la sécurité intérieure (DHS), ainsi qu'avec l'industrie afin de s'attaquer aux problèmes de cybersécurité aérienne. En revanche, le fonctionnement de la coordination interne de la FAA est loin de correspondre aux principales pratiques de collaboration du GAO.
« La FAA n'a pas établi de mécanisme de suivi pour surveiller les progrès sur les questions de cybersécurité qui sont soulevées lors des réunions de coordination, et ses activités de coordination de la supervision ne sont pas soutenues par des ressources dédiées dans le budget de l'agence. Tant que la FAA n'aura pas mis en place un mécanisme de suivi des problèmes de cybersécurité, elle pourrait ne pas être en mesure de garantir que tous les problèmes sont correctement traités et résolus. En outre, tant qu'il n'aura pas procédé à une évaluation des risques liés à la cybersécurité avionique, il ne sera pas en mesure de hiérarchiser et de consacrer des ressources de manière efficace pour garantir que les risques liés à la cybersécurité avionique sont traités dans son programme de surveillance », peut-on lire dans le rapport.
Il faut souligner que les systèmes avioniques sont indispensables à l'exploitation sûre d'un avion, car ils fournissent des informations météorologiques, des données de positionnement et assurent également les communications. La surveillance de la sécurité de l'aviation commerciale, notamment des systèmes avioniques, est entièrement sous la responsabilité de la FAA. Par contre, en raison de la connectivité accrue entre les avions et ces systèmes, les possibilités de cyberattaques contre les avions commerciaux pourraient se multiplier.
C'est là qu'intervient le GAO, qui a été chargé d'examiner la surveillance par la FAA des problèmes de cybersécurité dans le domaine de l'avionique. Cet examen a pour trois objectifs bien différents :
- description des principaux risques de cybersécurité pour les systèmes avioniques et de leurs éventuels effets ;
- déterminer le degré de supervision par la FAA de la mise en œuvre des contrôles de cybersécurité qui répondent aux risques identifiés dans les systèmes avioniques ;
- évaluer le niveau de coordination de la FAA en interne et avec d'autres entités gouvernementales et industrielles en vue d'identifier et de traiter les risques de cybersécurité pour les systèmes avioniques.
En outre, le GAO a étudié les renseignements sur les principaux risques en matière de cybersécurité pour les systèmes avioniques, tels qu'ils ont été signalés par les principaux représentants de l'industrie, ainsi que les éléments clés d'un programme de surveillance efficace. De plus, il a également fait une comparaison entre le processus de la FAA pour la surveillance de la mise en œuvre des contrôles de cybersécurité dans les systèmes avioniques et ces éléments de programme. Sans oublier que le GAO a procédé à une analyse de la documentation de l'agence et a interrogé certains représentants de l'agence et de l'industrie afin de connaître à quel point la FAA travaille en coordination pour faire face aux risques identifiés.
À la suite de ces études, le Government Accountability Office a présenté six recommandations à la FAA dans le but de lui permettre de renforcer son programme de surveillance de la cybersécurité dans le domaine de l'avionique. Le GAO recommande à la FAA de :
- « mener une évaluation des risques de cybersécurité de la cybersécurité des systèmes avioniques dans le cadre de son programme de surveillance afin d'identifier la priorité relative des risques de cybersécurité avionique par rapport à d'autres problèmes de sécurité et d'élaborer un plan pour faire face à ces risques » ;
- « identifier les besoins en personnel et en formation des inspecteurs d'agence spécifiques à la cybersécurité avionique, et développer et mettre en œuvre une formation appropriée pour répondre aux besoins identifiés » ;
- « élaborer et mettre en œuvre des directives pour les tests de cybersécurité avionique de nouveaux modèles d'avions qui incluent des tests indépendants » ;
- « examiner et envisager de réviser ses politiques et procédures de surveillance de l'efficacité des contrôles de cybersécurité de l'avionique dans la flotte déployée afin d'inclure l'élaboration de procédures pour effectuer en toute sécurité des tests indépendants » ;
- « veiller à ce que les problèmes de cybersécurité de l'avionique soient correctement suivis et résolus lors de la coordination entre les parties prenantes internes » ;
- « examiner et déterminer dans quelle mesure les ressources de surveillance devraient être engagées dans la cybersécurité de l'avionique. »
Sur les six recommandations du GAO, cinq ont été approuvées par la FAA. Elle n'a pas accepté la recommandation visant à envisager la révision de ses politiques et procédures en matière de tests indépendants périodiques.
Source : GAO
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
USA, cybersécurité aéronautique : les avions commerciaux exposés aux potentielles attaques, de nombreuses vulnérabilités ont été découvertes
La Federal Aviation Administration (FAA) finalise son plan pour le retour du Boeing 737 MAX, mais quelques obstacles subsistent
Une fuite de code d'un composant du Boeing 787 expose une multitude de vulnérabilités de corruption de mémoire, l'entreprise en minimise la portée
Un bogue logiciel de l'Airbus A350 oblige les compagnies aériennes à redémarrer les avions toutes les 149 heures
Airbus frappé par une série de cyberattaques contre des fournisseurs, les pirates ayant ciblé les VPN qui lient ces derniers au constructeur aéronautique, selon des sources de sécurité