Partie 4- Réglementation

Il est intéressant de prendre note de l’évolution de la réglementation qui s’est développée au cours des dernières décennies pour voir si les autorités ont été capables de réagir à la même vitesse que la technologie et les menaces qu’elle fait peser sur la sécurité des opérations.

Notre analyse commence par la Convention de La Haye de 1970. Cette convention a été adoptée pour lutter contre les détournements d’avions. Il contient des dispositions relatives à l’incrimination des infractions commises à bord d’un aéronef en vol lorsqu’une personne s’en empare ou en exerce le contrôle. Même si, à cette époque, le concept de cybersécurité n’était pas encore bien développé, la Convention de La Haye peut s’appliquer à la cybersécurité aérienne au cas où un passager à bord prendrait le contrôle de l’avion par une cyberattaque.

Nous avons ensuite examiné la convention de Montréal de 1971. Cette convention détermine les actes illicites et susceptibles de mettre en danger la sécurité des aéronefs en vol. Selon les dispositions de la Convention de Montréal et son applicabilité, il n’est pas nécessaire que l’auteur de l’infraction soit à bord d’un aéronef au moment où il commet l’acte illicite. Cela élargit donc le champ d’application de la Convention de Montréal et pourrait inclure toute cyberattaque à distance affectant non seulement l’aéronef mais aussi les installations de navigation aérienne et tout fournisseur d’informations critiques envoyées à l’aéronef. En 1971, les régulateurs ont commencé à discuter de la possibilité de commettre un délit lorsque le contrevenant n’est pas à bord, mais pas encore de la cybersécurité.

La Convention de Pékin de 2010 a été introduite dans le but premier de consolider le champ d’application de la Convention de Montréal de 1971 et du Protocole d’aéroport de 1988. La Convention de Pékin étend le champ d’application aux cyber-attaques visant les installations de navigation aérienne en les définissant comme des signaux, des données, des informations ou des systèmes nécessaires à la navigation des aéronefs. En outre, la convention de Pékin traite de toute attaque contre ces installations et aéronefs menée par des moyens informatiques.

La Convention de Chicago, qui est à l’origine de l’OACI, a marqué le début de travaux intensifs qui ont abouti à l’achèvement, en mars 1974, de la remarquable Annexe 17 (Sûreté) qui comprend un ensemble de normes et de pratiques recommandées (SARP) relatives à la sûreté de l’aviation et aux actes d’intervention illicite. Compte tenu de la définition des actes d’intervention illicite, il convient de noter que les cyberattaques peuvent entrer dans son champ d’application dès lors qu’elles ont un impact sur la sécurité aérienne. Au sein de l’annexe 17, la norme 4.9.1 (mesures relatives aux cybermenaces) a été introduite, qui exige des États qu’ils élaborent et mettent en œuvre des mesures pour protéger leurs informations critiques, leurs systèmes de technologies de communication, ainsi que les données utilisées à des fins d’aviation civile contre les interférences illicites.

La Résolution de l’Assemblée A40-10 : Aborder la cybersécurité dans l’aviation civile remplace la Résolution de l’Assemblée A39-19. Cette résolution a introduit la stratégie de cybersécurité de l’OACI et a chargé le secrétaire général de l’OACI de :

– élaboré un plan d’action pour aider les États et l’industrie à adopter la stratégie de cybersécurité ; et

– Réaliser rapidement une étude de faisabilité et une analyse des lacunes à soumettre à l’examen du Conseil, afin de déterminer la structure de gouvernance de la cybersécurité et les mécanismes de coordination les plus appropriés pour garantir une approche multidisciplinaire de la cybersécurité et favoriser le partage des informations.

Du côté européen, il est intéressant de noter que la Commission européenne a établi le règlement (UE) 2015/1998 du 5 novembre 2015 établissant des mesures détaillées pour la mise en œuvre des normes de base communes pour protéger l’aviation civile contre les actes d’intervention illicite qui compromettent la sûreté de l’aviation civile, ainsi que les actes d’intervention illicite posés par les cybermenaces.

Le règlement d’exécution (UE) 2019/1583 de la Commission du 25 septembre 2019 modifiant le règlement d’exécution (UE) 2015/1998 a établi des mesures détaillées pour la mise en œuvre des normes de base communes en matière de sûreté aérienne, en ce qui concerne les mesures de cybersécurité. L’amendement introduit des mesures détaillées pour la mise en œuvre des normes de base communes en matière de sûreté aérienne en ce qui concerne les mesures de cybersécurité. L’entrée en vigueur de ce règlement n’est pas encore connue mais devrait être effective à partir du³¹ décembre 2021.

En bref, ce n’est que récemment que l’OACI a considéré la cybersécurité comme une menace pour la sécurité. D’autre part, ce n’est que très récemment que les autorités de régulation ont considéré l’urgence d’établir des programmes pour contrecarrer les menaces liées à la technologie.

POURQUOI ?

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.