Cybersécurité aérienne : l’EASA impose l’authentification forte
Le secteur aérien européen fait face à une nouvelle obligation réglementaire : Part-IS, une initiative de l’Agence de l’Union européenne pour la sécurité aérienne (EASA). Avec des échéances fixées à octobre 2025 et février 2026, le compte à rebours est lancé pour les compagnies aériennes, les aéroports et les sous-traitants de l’aéronautique.
Que contient la Part-IS de l’EASA ? La Part-IS vise la sécurité de l’information à tous les niveaux des systèmes aéronautiques. Elle s’appuie sur des standards comme ISO 27001, NIS2 et NIST, mais se distingue en étant la première réglementation européenne dédiée à la cybersécurité aérienne.
Pour des acteurs majeurs comme Airbus, s’y conformer pourrait devenir une condition sine qua non pour collaborer.
Pourquoi c’est un tournant
L’aérien fonctionne aujourd’hui sur des systèmes numériques, du cockpit au contrôle aérien en passant par la maintenance. Mais l’infrastructure reste complexe : logiciels obsolètes, chaînes logistiques étendues et peu sécurisées… Un terrain de jeu idéal pour les attaquants.
Les menaces sont variées : attaques DDoS, usurpation de navigation, compromission logicielle dans la chaîne d’approvisionnement, ransomware.
Selon le Cyber Threat Intelligence Report de Thales, entre janvier 2024 et avril 2025 :
27 attaques par ransomware ont visé le secteur aérien
Soit une augmentation de 600 % par rapport à l’année précédente
70 % de ces attaques exploitaient une faille d’authentification, principalement via la compromission d’identifiants
Les conséquences de ces attaques peuvent être massives.
Ce que la Part-IS exige réellement
Inspirée d’approches comme celle du NIST, la Part-IS ne dicte pas de technologies précises. Elle impose une approche par gestion des risques, avec un accent fort sur :
l’authentification multifacteur (MFA) pour tous les utilisateurs et types de sessions
le principe du moindre privilège pour limiter les accès
une gestion centralisée des identités et des accès
un audit complet pour tracer les connexions et activités
Un accès tiers sécurisé, souvent maillon faible des chaînes logistiques
Pourquoi la conformité n’est pas si simple
Migrer vers le cloud n’est pas une solution miracle. L’aéronautique reste dépendante de systèmes on-premise, d’applications legacy et de fortes contraintes en matière de souveraineté des données.
Dans ce contexte, la mise en œuvre de l’authentification multifacteur et de la gestion des privilèges devient vite complexe, nécessitant souvent des couches logicielles lourdes et coûteuses.
Une solution pour la MFA et le contrôle d’accès sur site
UserLock a été conçu pour répondre à ces enjeux sans remplacer l’infrastructure Active Directory (AD) existante.
Il ajoute des fonctionnalités avancées à AD : MFA pour Active Directory granulaire, contrôle d’accès contextuel, gestion de session et audit. Une manière concrète de respecter les exigences de la Part-IS dans un environnement on-premise, sans complexité excessive.
Part-IS : de la bonne pratique à l’obligation
Avec Part-IS, l’Union européenne passe de la recommandation à l’obligation. Jusqu’ici, les organisations s’inspiraient de différents cadres. Désormais, les exigences sont claires, notamment sur l’authentification.
Le défi : dans les réseaux hybrides, où l’infrastructure d’authentification reste en local, déployer la MFA et le contrôle des privilèges est souvent long et compliqué.
Des solutions comme UserLock renforcent la sécurité sans refondre l’architecture existante, un vrai atout quand simplicité rime avec efficacité.
merci à ZATAZ
