IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La surveillance de la vulnérabilité des systèmes informatiques des avions aux cyberattaques doit être priorisé


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Journaliste
    Inscrit en
    Janvier 2020
    Messages
    196
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Journaliste
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Janvier 2020
    Messages : 196
    Points : 13 695
    Points
    13 695
    Par défaut La surveillance de la vulnérabilité des systèmes informatiques des avions aux cyberattaques doit être priorisé
    La surveillance de la vulnérabilité des systèmes informatiques des avions commerciaux modernes aux cyberattaques doit être une priorité,
    d’après un organisme de surveillance américain

    Les avions commerciaux modernes d'aujourd'hui sont équipés de divers systèmes informatiques et utilisent des réseaux qui permettent de partager des données, telles que le GPS, la météo et les communications entre les pilotes, les autres membres de l'équipage et les contrôleurs aériens.

    La progression des cybermenaces, mais aussi l'augmentation de la connectivité entre les avions et les autres systèmes sont susceptibles d’augmenter les risques de piratages informatiques dans le cas où les autorités compétentes ne donneraient pas la priorité à la surveillance, d’après le Government Accountability Office (GAO), un organisme d’audit, d’évaluation et d’investigation du Congrès américain, dans un rapport destiné à la Federal Aviation Administration (FAA), l’agence gouvernementale chargée des réglementations et des contrôles concernant l'aviation civile aux États-Unis.

    Nom : aircraft.PNG
Affichages : 2154
Taille : 65,6 Ko

    Comme la plupart des systèmes, ceux de l'avionique peuvent devenir très vulnérables en cas de non-application des modifications ou des correctifs apportés aux logiciels commerciaux, d'échec de la sécurisation des chaînes d'approvisionnement, de téléchargement de logiciels malveillants, de systèmes obsolètes sur les anciens avions et aussi en cas de l'usurpation des données de vol.

    « La Federal Aviation Administration a établi un processus de certification et de surveillance de tous les avions commerciaux américains, y compris l'exploitation des transporteurs aériens commerciaux. Bien que la FAA reconnaisse la cybersécurité de l'avionique comme un problème de sécurité potentiel pour les avions commerciaux modernes, elle n'a pas pleinement mis en œuvre les pratiques clés nécessaires pour mettre en œuvre un programme de surveillance de la cybersécurité fondé sur les risques », a indiqué le GAO dans le rapport.

    Toujours dans ce rapport publié le vendredi 9 octobre 2020, le GAO a déclaré que l'Administration fédérale de l'aviation (FAA) avait négligé de considérer les cyberrisques comme une priorité, n'avait pas élaboré de programme de formation à la cybersécurité avionique, n'avait pas procédé à des tests indépendants de cybersécurité et n’avait pas aussi inclus des tests périodiques dans le cadre de son processus de suivi.

    « Tant que la FAA n'aura pas renforcé son programme de surveillance, sur la base des risques évalués, elle pourrait ne pas être en mesure de garantir une surveillance suffisante pour se prémunir contre l'évolution des risques de cybersécurité auxquels sont confrontés les systèmes avioniques des avions commerciaux », a poursuivi l’organisme.

    Le GAO a déjà déterminé les pratiques clés de la collaboration inter institutions pouvant être utilisées dans le cadre de l'évaluation de la coordination inter institutions. Pour cela, la FAA entretient une collaboration avec d'autres agences fédérales, à savoir les départements de la défense (DoD) et de la sécurité intérieure (DHS), ainsi qu'avec l'industrie afin de s'attaquer aux problèmes de cybersécurité aérienne. En revanche, le fonctionnement de la coordination interne de la FAA est loin de correspondre aux principales pratiques de collaboration du GAO.

    « La FAA n'a pas établi de mécanisme de suivi pour surveiller les progrès sur les questions de cybersécurité qui sont soulevées lors des réunions de coordination, et ses activités de coordination de la supervision ne sont pas soutenues par des ressources dédiées dans le budget de l'agence. Tant que la FAA n'aura pas mis en place un mécanisme de suivi des problèmes de cybersécurité, elle pourrait ne pas être en mesure de garantir que tous les problèmes sont correctement traités et résolus. En outre, tant qu'il n'aura pas procédé à une évaluation des risques liés à la cybersécurité avionique, il ne sera pas en mesure de hiérarchiser et de consacrer des ressources de manière efficace pour garantir que les risques liés à la cybersécurité avionique sont traités dans son programme de surveillance », peut-on lire dans le rapport.

    Il faut souligner que les systèmes avioniques sont indispensables à l'exploitation sûre d'un avion, car ils fournissent des informations météorologiques, des données de positionnement et assurent également les communications. La surveillance de la sécurité de l'aviation commerciale, notamment des systèmes avioniques, est entièrement sous la responsabilité de la FAA. Par contre, en raison de la connectivité accrue entre les avions et ces systèmes, les possibilités de cyberattaques contre les avions commerciaux pourraient se multiplier.

    C'est là qu'intervient le GAO, qui a été chargé d'examiner la surveillance par la FAA des problèmes de cybersécurité dans le domaine de l'avionique. Cet examen a pour trois objectifs bien différents :
    • description des principaux risques de cybersécurité pour les systèmes avioniques et de leurs éventuels effets ;
    • déterminer le degré de supervision par la FAA de la mise en œuvre des contrôles de cybersécurité qui répondent aux risques identifiés dans les systèmes avioniques ;
    • évaluer le niveau de coordination de la FAA en interne et avec d'autres entités gouvernementales et industrielles en vue d'identifier et de traiter les risques de cybersécurité pour les systèmes avioniques.

    En outre, le GAO a étudié les renseignements sur les principaux risques en matière de cybersécurité pour les systèmes avioniques, tels qu'ils ont été signalés par les principaux représentants de l'industrie, ainsi que les éléments clés d'un programme de surveillance efficace. De plus, il a également fait une comparaison entre le processus de la FAA pour la surveillance de la mise en œuvre des contrôles de cybersécurité dans les systèmes avioniques et ces éléments de programme. Sans oublier que le GAO a procédé à une analyse de la documentation de l'agence et a interrogé certains représentants de l'agence et de l'industrie afin de connaître à quel point la FAA travaille en coordination pour faire face aux risques identifiés.

    À la suite de ces études, le Government Accountability Office a présenté six recommandations à la FAA dans le but de lui permettre de renforcer son programme de surveillance de la cybersécurité dans le domaine de l'avionique. Le GAO recommande à la FAA de :
    • « mener une évaluation des risques de cybersécurité de la cybersécurité des systèmes avioniques dans le cadre de son programme de surveillance afin d'identifier la priorité relative des risques de cybersécurité avionique par rapport à d'autres problèmes de sécurité et d'élaborer un plan pour faire face à ces risques » ;
    • « identifier les besoins en personnel et en formation des inspecteurs d'agence spécifiques à la cybersécurité avionique, et développer et mettre en œuvre une formation appropriée pour répondre aux besoins identifiés » ;
    • « élaborer et mettre en œuvre des directives pour les tests de cybersécurité avionique de nouveaux modèles d'avions qui incluent des tests indépendants » ;
    • « examiner et envisager de réviser ses politiques et procédures de surveillance de l'efficacité des contrôles de cybersécurité de l'avionique dans la flotte déployée afin d'inclure l'élaboration de procédures pour effectuer en toute sécurité des tests indépendants » ;
    • « veiller à ce que les problèmes de cybersécurité de l'avionique soient correctement suivis et résolus lors de la coordination entre les parties prenantes internes » ;
    • « examiner et déterminer dans quelle mesure les ressources de surveillance devraient être engagées dans la cybersécurité de l'avionique. »

    Sur les six recommandations du GAO, cinq ont été approuvées par la FAA. Elle n'a pas accepté la recommandation visant à envisager la révision de ses politiques et procédures en matière de tests indépendants périodiques.

    Source : GAO

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    USA, cybersécurité aéronautique : les avions commerciaux exposés aux potentielles attaques, de nombreuses vulnérabilités ont été découvertes
    La Federal Aviation Administration (FAA) finalise son plan pour le retour du Boeing 737 MAX, mais quelques obstacles subsistent
    Une fuite de code d'un composant du Boeing 787 expose une multitude de vulnérabilités de corruption de mémoire, l'entreprise en minimise la portée
    Un bogue logiciel de l'Airbus A350 oblige les compagnies aériennes à redémarrer les avions toutes les 149 heures
    Airbus frappé par une série de cyberattaques contre des fournisseurs, les pirates ayant ciblé les VPN qui lient ces derniers au constructeur aéronautique, selon des sources de sécurité

  2. #2
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 150
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 150
    Points : 28 130
    Points
    28 130
    Par défaut
    Bonjour,

    En fait, ce qui est inquiétant est que ce ne soit pas encore le cas... Que le merveilleux logiciel qu'un étudiant fait lors de ses études soit une passoire de sécurité, ce n'est pas grave -- ça montre juste qu'il n'a probablement pas eu de cours suffisant sur la sécurité.

    Mais là, on parle de systèmes légèrement plus critiques, dont visiblement personne ne mesure l'importance... je ne comprends pas. Vraiment pas.

Discussions similaires

  1. Réponses: 28
    Dernier message: 12/04/2024, 00h09
  2. Réponses: 5
    Dernier message: 09/04/2019, 23h36
  3. Réponses: 0
    Dernier message: 08/06/2018, 04h08
  4. Réponses: 9
    Dernier message: 12/10/2011, 15h27
  5. Système informatique des bateaux de plaisance
    Par linuxien_tun dans le forum Débuter
    Réponses: 4
    Dernier message: 30/03/2009, 23h22

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo