Vulnérabilités détectées dans les systèmes de contrôle aérien américain
L’administration américaine de l’aviation civile a constaté des faiblesses qui menaceraient la capacité à gérer de manière sûre le contrôle de l’espace aérien Yankee. Elle appelle à renforcer la sécurité de ses systèmes.
L’organe parlementaire d’audit des comptes publics du budget fédéral américain, le Government Accountability Office (GAO), s’est penché sur la situation de la FAA, l’administration locale de l’aviation civile chargée d’opérer les systèmes de contrôle du trafic aérien. Et le bilan n’est pas rassurant.
Dans un document rendu public, daté de janvier dernier, le GAO relève que, malgré des efforts de renforcement de la sécurité des systèmes, « des faiblesses persistent, menaçant la capacité de l’agence à assurer l’opération sûre et ininterrompue du système de contrôle de l’espace aérien national (NAS) ».
Le GAO s’inquiète en particulier de faiblesses portant sur les « contrôles conçus pour prévenir, limiter, et détecter les accès non autorisés aux ressources informatiques ». A commencer par les systèmes de gestion des identités et des accès, mais également de chiffrement des données sensibles, et surtout d’audit et de surveillance des activités sur les systèmes de la FAA.
Le GAO alerte en outre sur le manque de contrôle des interfaces entre l’environnement opérationnel du NAS et « les systèmes moins sûrs ».
Comment la FAA en est-elle arrivée à cette situation ?
Selon le GAO, l’agence a failli à « mettre en œuvre complètement son programme de sécurité de l’information ». En particulier, l’administration « n’a pas toujours suffisamment testé les contrôles de sécurité pour vérifier qu’ils fonctionnent comme voulu ».
Contenus Premium
Elle ne se serait pas non plus appliquée pour « résoudre des faiblesses de sécurité identifiées dans des délais raisonnables ». Sans oublier l’absence de test consistent de plans de reprise d’activité.
Les équipes de sécurité de la FAA ont aussi, toujours selon la GAO, échoué à se doter d’une visibilité adéquate sur leurs infrastructure. Elles n’ont ainsi pas « suffisamment accès aux logs de sécurité et aux sondes réseau du réseau opérationnel ». Ce qui restreint leurs capacités de détection d’incidents sur les systèmes critiques.
Conclusion, pour la GAO, il est impératif que la FAA réagisse. Dans le cas contraire, elle placera « l’opération sûre et interrompue du système de contrôle du trafic aérien de la nation face à un risque accru et inutile ».