Les trois piliers de la confiance numérique dans le secteur aéronautique

Ce contrat de confiance implicite est au cœur de l’activité du secteur aéronautique, qui en a bien évidemment conscience et qui, par conséquent, place depuis toujours la sûreté et la sécurité au cœur de sa culture et de son fonctionnement.

Or, aujourd’hui, une très large part de ce fonctionnement passe par le numérique et l’exploitation des données, à tous les niveaux de la chaîne de valeur, qu’il s’agisse de systèmes critiques ou d’autres qui le sont beaucoup moins. Pourtant, même lorsque l’intégrité physique des passagers n’est pas en jeu, toute défaillance d’un système, toute perturbation dans son fonctionnement, jusqu’au plus léger soupçon sur son intégrité ou sa robustesse, écorne la confiance des clients et des partenaires dans la compagnie ou l’appareil. Au-delà des conséquences directes sur l’efficacité des opérations ou sur la qualité du service, ces manquements, aussi infimes soient-ils, rejaillissent fatalement sur la réputation de l’entreprise et, in fine, sur son chiffre d’affaires. La confiance est un continuum qui peut se briser en n’importe quel endroit. C’est la raison pour laquelle le secteur aéronautique doit aborder de front tous les risques auxquels sont exposés ses systèmes IT, sans en négliger aucun.

La confiance dans les systèmes numériques repose sur trois piliers interdépendants – la conformité réglementaire, la cybersécurité, et la maîtrise des environnements de traitement et de stockage – qui concourent tous à un même objectif : pouvoir garantir que la donnée, la cellule fondamentale de tout système, est fiable, légitime, et qu’elle ne sera accessible qu’aux personnes autorisées, au bon endroit, au bon moment, pour l’usage prévu, et dans le respect de toutes les règles.

Dès l’instant où elle est créée, la vocation d’une donnée est d’être exploitée et partagée. Or, selon sa nature, sa sensibilité ou même sa localisation géographique, ses usages et son partage peuvent être encadrés par diverses lois et règlementations. C’est tout particulièrement le cas dans les secteurs aéronautiques et militaires, sur lesquels pèsent notamment un contrôle à l’export très strict. Répondre, pour chaque donnée, à l’ensemble des exigences de conformité en fonction du contexte est souvent une tâche complexe, qui nécessite une collaboration étroite entre trois expertises : juridique, pour connaître et interpréter les textes ; métier, pour décliner leurs impératifs dans les processus et les usages ; IT, pour l’implémenter dans les systèmes. L’entreprise mature sera celle qui saura organiser efficacement cette coopération pour appliquer les règles, mais aussi pour être capable de démontrer qu’elle le fait de façon rigoureuse et exhaustive, sans faille ni excès de zèle.

Produire, échanger et utiliser la donnée dans le respect des règles ne suffit pas ; il faut aussi la sécuriser pour qu’elle ne tombe pas entre de mauvaises mains : c’est le domaine de la cybersécurité, le deuxième pilier de la confiance numérique. Dans les environnements numériques ouverts actuels, il n’est plus possible de dresser des barrières autour des systèmes (sécurité périmétrique). Il faut adopter une autre approche, dite Zero Trust, qui pose pour principes de ne jamais rien tenir pour acquis (toute connexion doit être authentifiée et autorisée), de ne jamais accorder que le minimum de droits nécessaires, et enfin de ne jamais exclure l’éventualité d’un incident, donc de prendre toutes les précautions pour en minimiser les conséquences, notamment en chiffrant ses données les plus sensibles. Avec l’identité et la data comme pierres angulaires, cette approche est la seule qui puisse permettre au secteur aéronautique de faire face à des menaces de plus en plus nombreuses, variées et sophistiquées, de la part d’acteurs qui, pour prendre un exemple, s’intéressent de très près à toute la R&D sur la décarbonation du transport aérien.

Enfin, le secteur aéronautique considère, à juste raison, le cloud comme un puissant levier d’agilité et d’innovation. Or, le cloud est un marché aujourd’hui largement dominé par des acteurs américains ou chinois. Secteur stratégique manipulant des données sensibles, l’aérien doit donc arbitrer entre les bénéfices qu’il peut espérer tirer du cloud et le risque que représentent des services extra-européens, donc potentiellement soumis aux règles de leurs pays d’origine. Avec l’émergence en France et en Europe de nouvelles solutions de « cloud de confiance », qui combinent les atouts du cloud public et l’immunité vis-à-vis des lois extraterritoriales, cet arbitrage bénéficie désormais d’un éventail d’options tout au long d’un « continuum de souveraineté », depuis le cloud public jusqu’au cloud privé. Pour aborder simultanément, et avec toute la rigueur nécessaire, ces trois piliers de la confiance numérique, le secteur aéronautique peut compter sur sa culture historique de l’exigence et de la sécurité. En revanche, l’explosion de l’IA va très vite y ajouter de nouveaux enjeux de maîtrise, de conformité et d’éthique. L’entreprise devra en effet avoir la certitude, et pouvoir démontrer, que les résultats fournis par ses IA sont fiables, pertinents, dépourvus de biais et explicables. Comme les autres aspects de la confiance numérique, manquer à mettre en place une telle « IA de confiance » exposerait l’entreprise à des incidents, ou des polémiques, qui pourraient être extrêmement préjudiciables sur la confiance qu’elle inspire.