Conférence de Thomas Hutin et Maître Caroline DERACHE :
Le cyber dans les produits aéronautiques
Marie-France STEINLE-FEUERBACH
Professeur émérite en Droit privé et Sciences criminelles à l’Université de Haute-Alsace
Membre fondateur et Directeur honoraire du CERDACC
Membre de la SFDAS
Les élégants salons parisiens de FTI Consulting, 10 rue de Bassano, ont accueilli, le 24 juin 2025, l’assemblée générale de la Société Française de Droit Aérien et Spatial (SFDAS : https://sfdas.org/). Xavier Delpech, président de la SFDAS, commence par quelques points statutaires dont le renouvellement du Comité de Direction dont tous les membres se portent candidats à leur succession. Ils sont tous réélus à l’unanimité, sont également approuvées à l’unanimité deux éminentes candidatures à l’assemblée générale.
Le président se réjouit d’un événement particulier, marquant et unique, qui mérite d’être mis en avant. Pour le présenter la parole est donnée à un invité de marque : Monsieur Ghislain de Monteynard, Avocat général à la chambre commerciale de la Cour de cassation.
La Cour de cassation organise avec l’association, le 17 novembre prochain, une conférence sur le droit aérien. Cette conférence se tiendra, et cela est remarquable, dans la Grand’chambre de la Cour de cassation. Xavier Delpech souligne que la Cour de cassation nous ouvre très grand ses portes et que c’est la première fois que le droit aérien va vraiment prendre sa place au cœur de la Cour. Pour Monsieur Ghislain de Monteynard, l’idée est de faire quelque chose de pédagogique qui incite les gens, non seulement à ne pas avoir peur de l’avion, mais ne pas avoir peur du droit qui l’accompagne. Pour la plupart des magistrats, la seule connaissance du droit aérien se résume à Clément-Bayard, le premier arrêt en droit aérien (Req, 3 août 1915), il y a donc un travail assez énorme pour récupérer un savoir et le transmettre. Une journée complète sera consacrée à la découverte du droit aérien. L’introduction, « Vocabulaire aérien et vocabulaire juridique », est confiée à Philippe Delebecque, les thèmes abordés sous forme de table ronde avec un modérateur, dont Pascal Dupont, secrétaire général de la SFDAS, porteront sur le transport de passagers, de marchandises, les accidents aériens, le statut de l’aéronef, le droit social et les nouveaux modes de navigation aérienne.
Xavier Delpech demande ensuite à Marie-France Steinlé-Feuerbach de dire quelques mots sur une publication à venir. Elle prend la parole pour préciser que le CERDACC, centre de recherche de l’Université de Haute-Alsace, a été créé après le crash du Mont Sainte-Odile, ce qui explique son intérêt pour le droit aérien. Il avait organisé en collaboration avec la SFDAS un colloque sur le thème « Risques & Voyages » (Cf. cpte-rendu par M. K. Kadiri : JAC n° 238, juin 2024 A LIRE ICI). Un ouvrage réunissant les contributions sous la direction scientifique d’Éric Desfougères sera publié à la rentrée chez Mare & Martin à la collection Tourisme et écotourisme. Madame Steinlé-Feuerbach remercie Pascal Dupont et Xavier Delpech d’avoir été les premiers à communiquer leurs contributions. Au-delà, la formalisation d’un partenariat entre la SFDAS et le CERDACC est en cours d’élaboration.
Le président aborde ensuite le point des commissions. De nombreuses commissions se sont mises en place – commission environnement, spatiale, passagers, fret aérien, drone… – en précisant que leur activité va être assez débordante.
Comme traditionnellement, l’AG est suivie d’une conférence qui porte cette année sur un sujet particulièrement d’actualité Le cyber dans les produits aéronautiques. La première partie est consacrée aux aspects techniques de la cybersécurité et à son application à l’aéronautique, elle sera exposée par Monsieur Thomas Hutin, spécialiste de l’activité cybersécurité de FTI Consulting en France. La seconde partie, présentée par Maître Caroline Derache, trésorière de la SFDAS, aura trait à la règlementation qui va entrer en vigueur.
Le sujet se décline essentiellement résolument en langue anglaise : ransomware, phishing, spoofing… Plusieurs cas de ransomware sont connus. Il s’agit d’attaques commises par des pirates qui s’introduisent dans les systèmes d’infrastructures pour bloquer les ordinateurs et menacer de diffuser des informations avec une demande de rançon ; le système qui se fait à distance est lucratif avec une certaine impunité. La motivation du pirate peut aussi être le souhait de démontrer ses compétences techniques.
Les scénarios de phishing se multiplient en devenant de plus en plus efficaces grâce à l’IA qui a par exemple permis de faire croire au client d’une banque qu’il était réellement en communication à distance avec son chargé de clientèle.
S’agissant de l’environnement aéronautique, l’avion communique avec la compagnie aérienne, les opérateurs de trafic aérien, les contrôleurs. Tant qu’il s’agit d’échanges vocaux la vulnérabilité à des scénarios d’attaque est moindre, mais maintenant la connectivité se met en place pour pouvoir gérer plus efficacement tout le système et des protocoles qui ont été conçus, sans prendre en compte ce qu’on appelle une menace intentionnelle c’est-à-dire l’utilisation des données par des personnes mal intentionnées. Des attaques peuvent cibler la liste des passagers un petit peu comme dans toutes les entreprises, plus particulièrement le positionnement de l’avion est sensible au spoofing qui est la communication de mauvaises informations il y a eu effectivement des cas où des avions qui sont retrouvés assez décalés par rapport à l’endroit où ils étaient. Les pilotes doivent être rendus attentifs à ce risque.
Un parallèle est fait avec les véhicules connectés. Un véhicule connecté, c’est un data center roulant. Et pour les avions, on dit que c’est un data center volant parce qu’effectivement, c’est très riche en termes d’applications. Dans l’aéronautique comme dans l’automobile, la démarche est très similaire. Tous les constructeurs mettent en place un système de management de la sécurité, une démarche de sécurité.
Thomas Hutin plaide pour le développement de la culture de la cybersécurité et la vulgarisation de cette notion parmi le personnel des compagnies aériennes cela au même titre que la safety, c’est-à-dire la sécurité de l’avion. Il s’agit de faire un effort collectif, de mettre en place des exercices de gestion du risque cyber.
Caroline Derache indique que la France a été le premier pays, avec une loi sur les opérateurs d’infrastructures vitales, à définir des exigences de cybersécurité pour toutes les activités comme le transport, la banque, l’énergie, l’eau. Parmi les nouveaux outils réglementaires, est évoqué le règlement européen 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA Digital Operational Resilience Act) entré en application le 17 janvier 2025 (Cf. L. Denis, « Entrée en vigueur du règlement européen DORA : la cyberdéfense est déclarée » : Dalloz actualité 30 janv. 2025 ; R. Lemarié, «DORA : Vers la résilience numérique » : Rev. Banque et Droit N° HS 2025-1, fév. 2025).
S’agissant des produits aéronautiques, Caroline Derache attire l’attention du public sur la directive produits qui va entrer en vigueur en décembre 2026 et qui vise directement la cybersécurité, elle est intéressante car elle précise qu’un produit peut être considéré comme défectueux s’il ne remplit pas les exigences en matière de cybersécurité, le fabricant est dès lors responsable (Cf. E. Petitprez et R. Bigot, « Premières vues sur la directive européenne (UE) 2024/2853 relative à la responsabilité du fait des produits défectueux » : Dalloz actualité 28 nov. 2024 ; J. Tamba, « Directive sur la responsabilité des produits défectueux : quelles spécificités pour les produits numériques ? » : Dalloz IP/IT 2025 p. 210).
Xavier Delpech remercie pour cette belle conférence et rappelle qu’il existe un code Dalloz de la cybersécurité.
Le fait que nous entendons les bouteilles est une très bonne transition avec le cocktail qui nous attend dans les très beaux locaux de FDI Consulting.
