Bien que la cybers\u00e9curit\u00e9 et la protection des donn\u00e9es soient deux termes diff\u00e9rents, la seconde peut \u00eatre consid\u00e9r\u00e9e comme un sous-ensemble de la premi\u00e8re. La cybers\u00e9curit\u00e9 englobe toutes les mesures de vigilance visant \u00e0 prot\u00e9ger les syst\u00e8mes informatiques contre les menaces, tandis que la protection des donn\u00e9es est ax\u00e9e sur la sauvegarde de l’int\u00e9grit\u00e9 et de la confidentialit\u00e9 des donn\u00e9es, qui est l’un des objectifs les plus importants de la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n
L’industrie a\u00e9ronautique, en g\u00e9n\u00e9ral, est extr\u00eamement exigeante en mati\u00e8re de cybers\u00e9curit\u00e9 et de protection des donn\u00e9es. Elle est soumise \u00e0 des r\u00e9glementations locales et internationales strictes dans les secteurs commercial et militaire, telles que EDU-GDPR, SOC 2, PCI, etc. Cette responsabilit\u00e9 de respecter les normes de conformit\u00e9 de l’industrie en mati\u00e8re de cybers\u00e9curit\u00e9 est \u00e9galement associ\u00e9e au devoir de prot\u00e9ger les donn\u00e9es des clients et des partenaires. Par cons\u00e9quent, la protection de l’\u00e9cosyst\u00e8me num\u00e9rique reste un d\u00e9fi constant pour toutes les organisations de la cha\u00eene d’approvisionnement.<\/p>\n\n\n\n
En ce qui concerne les menaces \u00e0 la s\u00e9curit\u00e9 a\u00e9rienne, il existe une vari\u00e9t\u00e9 de risques, d’origine interne et externe. Bien qu’ils d\u00e9pendent largement des motifs de corruption, dans la plupart des cas, les risques internes compromettent les donn\u00e9es de propri\u00e9t\u00e9 intellectuelle (par exemple IETM\/IETP), tandis que les risques externes mettent en danger les donn\u00e9es priv\u00e9es des utilisateurs finaux du syst\u00e8me.<\/p>\n\n\n\n
Les risques ou menaces internes sont souvent li\u00e9s \u00e0 la mauvaise gestion interne des donn\u00e9es de propri\u00e9t\u00e9 intellectuelle, due \u00e0 la n\u00e9gligence ou \u00e0 la mauvaise intention, et il est bien connu que l’on ne peut pas compter sur les utilisateurs finaux pour sauvegarder les donn\u00e9es. Les utilisateurs coop\u00e8rent rarement de mani\u00e8re volontaire avec les instructions de cybers\u00e9curit\u00e9, \u00e0 moins qu’ils ne soient soumis \u00e0 une certaine responsabilit\u00e9 en cas de mauvaise gestion des donn\u00e9es.<\/p>\n\n\n\n
N\u00e9anmoins, les erreurs des utilisateurs restent l’une des principales causes des probl\u00e8mes de conformit\u00e9 des donn\u00e9es, tels que les violations ou les modifications non autoris\u00e9es. (par exemple, la suppression accidentelle d’un module de donn\u00e9es critiques pour l’entretien d’une pi\u00e8ce en \u00e9tat de navigabilit\u00e9). Certaines erreurs des utilisateurs, comme l’\u00e9crasement de donn\u00e9es, peuvent conduire \u00e0 une d\u00e9formation des informations, ce qui peut gravement compromettre les op\u00e9rations.<\/p>\n\n\n\n
Les risques externes sont des cyberattaques venant de l’ext\u00e9rieur avec l’intention de voler des donn\u00e9es ou de mettre en p\u00e9ril des syst\u00e8mes, menaces qui peuvent \u00e9galement \u00eatre favoris\u00e9es par une n\u00e9gligence interne. Avec l’essor des appareils personnels connect\u00e9s au wifi et des EFB portables dans l’aviation, les risques de cyberattaques malveillantes peuvent difficilement \u00eatre exclus, car les attaques peuvent \u00eatre avanc\u00e9es via les r\u00e9seaux peu s\u00e9curis\u00e9s des lieux publics (a\u00e9roports) fr\u00e9quemment fr\u00e9quent\u00e9s par les op\u00e9rateurs d’EFB tels que les pilotes.<\/p>\n\n\n\n
Les risques externes sont tr\u00e8s pr\u00e9occupants pour les organisations a\u00e9ronautiques parce qu’ils peuvent \u00eatre beaucoup plus difficiles \u00e0 pr\u00e9voir, \u00e0 g\u00e9rer et \u00e0 pr\u00e9parer des tactiques pr\u00e9ventives[GC18]<\/a> contre ces risques. Les motivations des attaques vont du simple ennui \u00e0 l’espionnage d’entreprise. Certains des pirates informatiques qui visent des entreprises a\u00e9ronautiques de premier plan peuvent \u00eatre financ\u00e9s et soutenus par un \u00c9tat.<\/p>\n\n\n\n Avec la transformation num\u00e9rique contemporaine, les donn\u00e9es de la documentation technique de l’aviation deviennent de plus en plus num\u00e9riques et fragment\u00e9es sous forme de modules de donn\u00e9es. Les utilisateurs finaux utilisent \u00e9galement plus d’appareils \u00e9lectroniques que jamais pour acc\u00e9der aux donn\u00e9es a\u00e9ronautiques. Cela indique que la cybers\u00e9curit\u00e9 et la vuln\u00e9rabilit\u00e9 li\u00e9e aux donn\u00e9es sont extr\u00eamement \u00e9lev\u00e9es. Les organisations et les fournisseurs de solutions doivent donc reconna\u00eetre ce qui suit : appliquer et faire respecter les meilleures pratiques, technologies et mesures de s\u00e9curit\u00e9 lorsqu’ils utilisent la technologie pour \u00e9changer des donn\u00e9es IETM\/IETP et des donn\u00e9es utilisateur sensibles.<\/p>\n\n\n\n Pour aborder la s\u00e9curit\u00e9 des donn\u00e9es IETM\/IETP, il est tout d’abord essentiel de comprendre les trois principales facettes de la s\u00e9curit\u00e9<\/a> – le cryptage, qui concerne la confidentialit\u00e9 des donn\u00e9es, le contr\u00f4le d’acc\u00e8s et l’autorisation, qui concernent l’acc\u00e8s aux donn\u00e9es, et l’authentification, qui concerne la v\u00e9rification de l’identit\u00e9 des parties qui ont acc\u00e8s aux donn\u00e9es.<\/p>\n\n\n\n Dans le cadre des pratiques de gestion des identit\u00e9s et des acc\u00e8s (IAM), l’autorisation et l’authentification des acc\u00e8s sont utilis\u00e9es par les organisations pour contr\u00f4ler l’acc\u00e8s et l’identit\u00e9 des utilisateurs, tandis que les processus de cryptage travaillent en arri\u00e8re-plan pour crypter les donn\u00e9es au repos et en transit. Tous ces composants de s\u00e9curit\u00e9 fonctionnent de mani\u00e8re synchronis\u00e9e pour prot\u00e9ger les donn\u00e9es contre tout accident ind\u00e9sirable ou cyberattaque malveillante.<\/p>\n\n\n\n Les trois facettes de la s\u00e9curit\u00e9<\/p>\n\n\n\n Chiffrements :<\/strong><\/p>\n\n\n\n Les chiffrages sont des impl\u00e9mentations techniques cryptographiques utilis\u00e9es pour coder les donn\u00e9es (par exemple, le texte en clair) en texte chiffr\u00e9, permettant uniquement aux personnes et aux unit\u00e9s commerciales autoris\u00e9es de d\u00e9crypter et d’interpr\u00e9ter les donn\u00e9es originales en texte en clair \u00e0 l’aide d’une cl\u00e9 sp\u00e9ciale.<\/p>\n\n\n\n L’objectif principal du cryptage est d’emp\u00eacher les violations de donn\u00e9es sous leur forme originale de texte en clair. Dans le contexte de la cybers\u00e9curit\u00e9 de l’aviation, le cryptage est n\u00e9cessaire pour rendre les donn\u00e9es techniques telles que les manuels num\u00e9riques et les informations\/accr\u00e9ditations priv\u00e9es des utilisateurs ind\u00e9chiffrables pour les parties non autoris\u00e9es telles que les cyber-voleurs.<\/p>\n\n\n\n Les technologies et les applications de cryptage sont vastes et complexes, mais il existe deux grands types de cryptage : sym\u00e9trique et asym\u00e9trique. Le cryptage sym\u00e9trique n\u00e9cessite la m\u00eame cl\u00e9 pour le cryptage et le d\u00e9cryptage, tandis que le cryptage asym\u00e9trique n\u00e9cessite des cl\u00e9s diff\u00e9rentes. Le premier est plus rapide et le second plus s\u00fbr.<\/p>\n\n\n\n Le chiffrement de bout en bout (E2EE) est l’une des normes de r\u00e9f\u00e9rence pour l’\u00e9change s\u00e9curis\u00e9 d’informations. Il s’agit d’un processus de chiffrement qui emp\u00eache tout tiers autre que l’exp\u00e9diteur et le destinataire d’interpr\u00e9ter les donn\u00e9es. Dans un syst\u00e8me E2EE, les donn\u00e9es sont crypt\u00e9es au repos et en transit, et ne sont d\u00e9crypt\u00e9es que lorsqu’elles atteignent l’appareil du destinataire.<\/p>\n\n\n\n Bien entendu, les organisations doivent toujours appliquer des r\u00e8gles strictes en mati\u00e8re de mots de passe pour tous les utilisateurs.<\/p>\n\n\n\n Contr\u00f4le d’acc\u00e8s et autorisation :<\/strong><\/p>\n\n\n\n Comme les termes l’indiquent, il s’agit des techniques de configuration permettant de contr\u00f4ler les privil\u00e8ges d’acc\u00e8s des utilisateurs aux donn\u00e9es sensibles et aux autres ressources de l’entreprise, l’objectif principal \u00e9tant d’emp\u00eacher l’utilisation abusive et la mauvaise manipulation des donn\u00e9es (\u00e9crasement accidentel, modification non autoris\u00e9e, etc.) L’autorisation et le contr\u00f4le d’acc\u00e8s g\u00e8rent ce que chaque identit\u00e9 v\u00e9rifi\u00e9e est autoris\u00e9e \u00e0 faire et \u00e0 voir.<\/p>\n\n\n\n Le contr\u00f4le d’acc\u00e8s et l’autorisation sont essentiels dans le contexte de l’\u00e9change de donn\u00e9es IETM\/IETP. Pour pr\u00e9server l’int\u00e9grit\u00e9 des donn\u00e9es, chaque utilisateur du syst\u00e8me doit se voir attribuer ses privil\u00e8ges et r\u00f4les respectifs \u00e0 un niveau granulaire fin. Gr\u00e2ce aux autorisations personnalis\u00e9es, les administrateurs peuvent configurer ce qu’un utilisateur peut voir, faire ou ex\u00e9cuter – en limitant les privil\u00e8ges \u00e0 ce qui est n\u00e9cessaire et autoris\u00e9 pour cette identit\u00e9. Certains syst\u00e8mes peuvent permettre de configurer l’acc\u00e8s par flotte et par appareil. En fait, plus l’autorisation d’acc\u00e8s est multicouche et fine, plus le niveau de s\u00e9curit\u00e9 et de protection des donn\u00e9es est \u00e9lev\u00e9.<\/p>\n\n\n\n Authentification :<\/strong><\/p>\n\n\n\n L’authentification est simplement le processus de v\u00e9rification de l’identit\u00e9 des utilisateurs. Bien que l’authentification puisse \u00eatre aussi simple que l’utilisation d’un nom d’utilisateur et d’un mot de passe, la norme de s\u00e9curit\u00e9 globale pour la v\u00e9rification a augment\u00e9 en raison des cyber-attaques et des robots. Cependant, les technologies modernes ont permis une v\u00e9rification autonome plus rapide, moins de ressaisie manuelle des informations d’identification et, globalement, plus de s\u00e9curit\u00e9. La v\u00e9rification de l’identit\u00e9 est un processus obligatoire qui pr\u00e9c\u00e8de le contr\u00f4le d’acc\u00e8s et l’autorisation.<\/p>\n\n\n\n Le chiffrement est souvent associ\u00e9 \u00e0 l’authentification pour s\u00e9curiser les donn\u00e9es d’identification priv\u00e9es. (Par exemple, le hachage des mots de passe – stockage des mots de passe sous forme de hachage plut\u00f4t qu’en texte brut).<\/p>\n\n\n\n Applications et technologies d’authentification :<\/p>\n\n\n\n Toute plateforme de collaboration pour la documentation \u00e9lectronique interactive devrait avoir de solides capacit\u00e9s de cryptage, d’autorisation d’acc\u00e8s et d’authentification, permettant un environnement s\u00e9curis\u00e9 pour les organisations afin de collaborer, d’\u00e9changer et d’utiliser des donn\u00e9es et des contenus techniques sensibles.<\/p>\n\n\n\n\n
Suite NIVOMAX – Pourquoi choisir les solutions IETM\/IETP qui donnent la priorit\u00e9 \u00e0 la s\u00e9curit\u00e9 de votre infrastructure critique.<\/strong><\/h2>\n\n\n\n