La Transportation Security Administration (TSA) aux États-Unis a annoncé un amendement d'urgence aux programmes de sécurité de certains aéroports et exploitants d'aéronefs réglementés par la TSA.
Avertissement: Ce texte a été initialement rédigé en anglais et traduit à l’aide d’une IA.
L’annonce vise à mettre en œuvre la stratégie nationale de cybersécurité de l’administration Biden, qui appelle à la construction d’une infrastructure nationale essentielle plus résiliente.
« La protection du système de transport de notre pays est notre priorité absolue et la TSA continuera de travailler en étroite collaboration avec les acteurs de l’industrie dans tous les modes de transport afin de réduire les risques de cybersécurité et d’améliorer la cyber-résilience pour soutenir des voyages sûrs, sécurisés et efficaces », a déclaré l’administrateur de la TSA, David Pekoske. « Cet amendement aux programmes de sécurité de l’aviation étend des exigences similaires fondées sur la performance qui s’appliquent actuellement à d’autres infrastructures essentielles du système de transport. »
La TSA a largement collaboré avec ses partenaires du secteur de l’aviation pour élaborer cet amendement, qui est conçu pour renforcer les mesures de cybersécurité dans le secteur de l’aviation et fait suite à une annonce similaire faite en octobre 2022 pour les transporteurs ferroviaires de passagers et de marchandises.
La TSA a pris cette mesure en raison des menaces persistantes de cybersécurité contre les infrastructures essentielles américaines, en particulier dans le secteur de l’aviation.
À l’automne 2022, les sites web des aéroports américains ont subi une cyberattaque, et des groupes de pirates pro-russes ont répertorié plusieurs aéroports américains comme cibles.
Au cours des années précédentes, des groupes en Chine ont lancé des attaques contre le site web de Vietnam Airlines.
Ces incidents mettent en évidence la vulnérabilité des infrastructures essentielles aux cybermenaces et la nécessité de renforcer les mesures de cybersécurité afin de prévenir la perturbation et la dégradation des opérations de l’infrastructure. Le nouvel amendement vise à améliorer la cyber-résilience des entités réglementées par la TSA et à réduire le risque de cyberattaques contre le secteur des transports.
Ibrahim Memis, le responsable de la cybersécurité chez BEUMER Group, affirme que l’amendement de la TSA est une étape importante. Il suggère que les aéroports et leurs fournisseurs reconnaissent cette évolution et prennent des mesures pour améliorer leur cyber-résilience en conséquence.
« Cet amendement de la TSA est un excellent exemple pour d’autres organisations, démontrant que la cybersécurité devrait être un aspect permanent et actif des opérations », déclare Ibrahim Memis. « Ce n’est pas un exercice ponctuel, mais un effort continu pour surveiller et évaluer les risques et les vulnérabilités et prendre les mesures appropriées pour les traiter. »
Selon Memis, les aéroports et leurs fournisseurs doivent travailler ensemble en permanence pour assurer la sécurité et la résilience des infrastructures essentielles tout au long de la chaîne d’approvisionnement de l’industrie aéronautique.
« Il est essentiel de mettre en œuvre les processus et les politiques que vous avez établis et de les maintenir en permanence », dit-il. « Vous devez surveiller régulièrement et suivre ce qui se passe, tirer les leçons apprises et viser une amélioration continue au sein de votre organisation. Chez BEUMER, la cybersécurité est un sujet stratégique abordé au niveau de la direction. »
Per Engelbrechtsen, directeur du développement commercial chez BEUMER Group, fait écho au fait qu’il est essentiel pour toutes les personnes impliquées de maintenir une approche proactive de la cybersécurité, en s’adaptant constamment aux nouvelles menaces plutôt que de se fier à des politiques statiques sur papier.
« Cela souligne l’importance de travailler avec une organisation dont la responsabilité première est de s’assurer que la cybersécurité est un aspect permanent et actif des opérations », déclare Per Engelbrechtsen. « Les pirates ne sont pas dissuadés par les documents et les procédures. »
Ibrahim Memis souligne l’importance d’adopter un cadre internationalement reconnu pour le système de gestion de la sécurité de l’information :
« Le respect d’une norme internationale signifie que l’organisation dispose d’un ensemble d’exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de gestion de la sécurité de l’information. La conformité à une norme internationale aide les organisations à identifier, à évaluer et à atténuer les risques liés à la sécurité de l’information et à fournir aux clients et aux parties prenantes l’assurance que leurs informations sont protégées ».
Dans l’ensemble, l’amendement de la TSA s’aligne sur plusieurs des exigences clés de la norme ISO 27001, un cadre internationalement reconnu pour le système de gestion de la sécurité de l’information (SMSI). Il fournit une approche systématique permettant aux organisations de gérer et de protéger leurs informations sensibles grâce à un processus de gestion des risques, aide les organisations à identifier, à évaluer et à atténuer les risques liés à la sécurité de l’information, et fournit aux clients et aux parties prenantes l’assurance que leurs informations sont protégées.
Ibrahim Memis considère l’alignement de l’amendement de la TSA sur les normes ISO 27001 comme une réalisation importante. Il recommande que les aéroports et leurs fournisseurs reconnaissent ce suivi des progrès et mettent en œuvre des mesures pour renforcer leur cyber-résilience en conséquence.
« L’amendement de la TSA se concentre sur l’hygiène cybernétique fondamentale pour établir un niveau de sécurité de base », dit-il. « La norme ISO 27001 est largement considérée comme la norme mondiale de référence pour la plupart des organisations, y compris BEUMER Group, qui a récemment obtenu la certification »
L’amendement de la TSA est conçu pour renforcer les mesures de cybersécurité dans le secteur de l’aviation en raison des menaces de cybersécurité persistantes qui pèsent sur les infrastructures essentielles américaines, en particulier dans le secteur de l’aviation.
Pour se conformer au nouvel amendement de la TSA, les aéroports peuvent suivre les quatre étapes principales décrites dans l’annonce et aligner leurs obligations de conformité sur la norme ISO 27001 et collaborer avec leurs fournisseurs pour assurer la sécurité et la résilience des infrastructures essentielles.
« La demande de la TSA s’aligne sur les conceptions standard de protection des organisations, de la technologie et des produits dans toutes les régions », déclare Ibrahim Memis. « L’adaptation à ces meilleures pratiques est déjà une pratique courante, mais elle devient maintenant une obligation légale. Par conséquent, être certifié ISO constitue une base solide pour se conformer à ces exigences légales en évolution. »
