Cybersécurité : quels défis pour le secteur aéronautique?

Dans son Cyber Threat Intelligence Report dédié à l’aviation, publié en date du 13 juin 2025, l’entreprise Thales souligne une hausse de 600% des attaques par ransomware sur la chaîne d’approvisionnement aéronautique en seulement une année. Comme d’autres secteurs hautement critiques, le secteur de l’aéronautique est également impacté par les cyberattaques. L’ensemble des acteurs du secteur aéronautique sont concernés qu’ils s’agissent des compagnies aériennes, des aéroports ou des fournisseurs.

Les conséquences de ces cyberattaques sont très diverses : interruption de service, cyber-espionnage industriel, sabotage des technologies sensibles ou vol de données de haute valeur (itinéraires diplomatiques ou flux de fret confidentiels).

Face à ces menaces, toute entreprise du secteur aéronautique doit s’assurer de sa conformité juridique à la directive NIS 2 transposée en droit belge par la Loi NIS2 mais également au Règlement général sur la protection des données à caractère personnel (ci-après le RGPD).

Mon entreprise doit-elle se conformer à la loi NIS2?

De nombreuses entreprises du secteur aéronautique sont obligatoirement soumises à cette réglementation si elles sont considérées comme :

• Entité essentielle : ex. fournisseurs d’infrastructures de navigation aérienne, aéroports, transporteurs aériens.

• Entité importante : ex. sous-traitants critiques, entreprises technologiques ou industrielles stratégiques dans l’aéronautique.

Comment mon entreprise doit-elle se conformer ?

La loi NIS2 propose une liste de onze mesures minimales pour la gestion des risques que toute entreprise doit appliquer :

1. les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information;
2. la gestion des incidents ;
3. la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises;
4. la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs;
5. la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités;
6. des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité;
7. les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité;
8. des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement;
9. la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs;
10. l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins;
11. une politique de divulgation coordonnée des vulnérabilités.

De plus, les entreprises doivent s’enregistrer sur la plateforme SafeOnWeb pour le 18 mars 2025 et obtenir des certifications telles que CyberFundamentals ou ISO 27001, même si elles ne sont pas nécessairement suffisantes en soi pour être conformes.

Les entreprises sont également soumises à une obligation d’information quand elles sont confrontées à un incident de sécurité. Elles disposeront d’un délai de 24 heures pour alerter les autorités nationales. Elles auront ensuite 72 heures pour notifier les autorités de manière plus approfondie.

Qu’en est-il des risques en matière de données à caractère personnel ?

Lorsqu’une entreprise est victime d’une cyberattaque, des données à caractère personnel sont généralement compromises. Le RGPD doit donc être également appliqué en parallèle de la loi NIS2.

Quels sont les risques pour mon entreprise ?

La violation des dispositions de la loi NIS 2, comme celle du RGPD peut entraîner l’application d’amendes administratives.