DO-326A et ED-202A: cybersécurité avionique
Guide - Cybersecurite navigabilité avionique
La cybersécurité avionique civile n'est plus une Special Condition rattachée a des programmes individuels. Avec CS 25.1319 (EASA Amendement 25/29, en vigueur en août 2024) et la disposition correspondante 14 CFR Part 25 Section 25.1319 cote FAA, la cybersécurité de navigabilité devient une exigence par défaut pour les nouveaux grands avions et les modifications majeures, avec DO-326A / ED-202A comme moyen de conformité processus accepte et DO-356A / ED-203A comme compagnon méthodes. Le cadre s'étend au-dela: DO-355A / ED-204A gouverne le maintien de navigabilité (patching en service, traitement des vulnérabilités), et DO-392 / ED-205A étend la même logique aux systèmes sol ATM/ANS. Ce guide cartographie le jeu de documents, les ancrages réglementaires, les livrables de certification (PSecAC, SecRA, Security Architecture, SecVer, Security Compliance Summary), le cadre TARA, le mapping condition de défaillance et capacité attaquant, l'articulation avec DO-178C et DO-254 cote safety, et les pieges récurrents observes en revue de certification.
Le jeu de documents: qui publie quoi
Section intitulée « Le jeu de documents: qui publie quoi »Le cadre cybersécurité de navigabilité est structure par RTCA cote US et EUROCAE cote européen, chaque document étant publie en paire harmonisée de sorte qu'une seule spécification serve aux deux regulateurs.
| Reference RTCA | Equivalent EUROCAE | Perimetre | Premiere publication |
|---|---|---|---|
| DO-326A | ED-202A | Airworthiness Security Process Specification | 2014 |
| DO-356A | ED-203A | Airworthiness Security Methods and Considerations | 2018 |
| DO-355A | ED-204A | Information Security Guidance for Continuing Airworthiness | 2014, revise (ED-204A, 2022) |
| DO-392 | ED-205A | Cybersecurity Process Standard for ATM/ANS Ground Systems | récent |
Ces quatre documents forment un ensemble coherent. DO-326A définit le processus: quelles activités doivent avoir lieu, quels artefacts doivent être produits. DO-356A définit les méthodes: comment conduire chaque activité, comment scorer la capacité attaquant, comment structurer la verification. DO-355A définit la couche maintien de navigabilité: ce qui se passe apres certification de type, lorsque l'aéronef entre en service et fait face a des menaces evolutives. DO-392 étend le cadre aux systèmes sol ATM/ANS.
Un programme de certification de type aujourd'hui invoque typiquement DO-326A et DO-356A ensemble pour le cote embarque, et DO-355A séparément pour la maintenance en service. Aucun document n'en remplace un autre.
Ancrages réglementaires
Section intitulée « Ancrages réglementaires »EASA: du CRI F-19 a CS 25.1319
Section intitulée « EASA: du CRI F-19 a CS 25.1319 »Avant 2024, l'EASA gérait la cybersécurité de navigabilité programme par programme via des Certification Review Items, le plus courant étant le CRI F-19, Airworthiness Security. Le CRI imposait DO-326A / ED-202A comme moyen de conformité et listait les livrables attendus.
L'Amendement EASA 25/29, en vigueur en août 2024, a introduit CS 25.1319, Equipment, systems and installations - aéroplane intentional unauthorised electronic interaction. Le nouveau paragraphe eleve la cybersécurité de navigabilité au rang d'exigence CS-25 par défaut: tout nouveau grand avion et toute modification majeure soumis sous CS-25 doivent inclure l'évaluation cybersécurité correspondante dans la base de certification, sans qu'un CRI soit nécessaire pour l'introduire. CS-29 porte la disposition équivalente pour les giravions civils.
Les moyens de conformité acceptables pointes sont DO-326A / ED-202A (processus), DO-356A / ED-203A (méthodes) et ED-204A (maintien de navigabilité).
FAA: 14 CFR Part 25 Section 25.1319 et AC 119-1
Section intitulée « FAA: 14 CFR Part 25 Section 25.1319 et AC 119-1 »Cote FAA, les programmes individuels avaient ete historiquement traites via des Special Conditions émises sous 14 CFR 21.16 pour le Boeing 787, l'Airbus A350 et d'autres systèmes a forte intégration de fonctions e-Enabled. La mise a jour 2024 incorpore 14 CFR Part 25 Section 25.1319 avec un contenu substantiellement équivalent a CS 25.1319, faisant de la cybersécurité de navigabilité une exigence Part 25 par défaut.
AC 119-1, Airworthiness and Operational Authorization of Aircraft Network Security Program (ANSP), fournit la guidance cote opérateur sur les aspects de maintien de navigabilité, complémentaire de la vue certification de type.
Giravions civils et moteurs
Section intitulée « Giravions civils et moteurs »| Type d'aéronef | Specification | Disposition sécurité |
|---|---|---|
| Grands avions (catégorie transport) | CS-25, 14 CFR Part 25 | CS 25.1319 / Part 25 Section 25.1319 |
| Grands giravions | CS-29, 14 CFR Part 29 | CS 29.1319 / Part 29 Section 29.1319 équivalent |
| Moteurs | CS-E, 14 CFR Part 33 | couvert via l'intégration système cote cellule |
| Petits avions | CS-23 | cybersécurité navigabilité au cas par cas via Special Conditions |
Couches de processus: parallèles avec DO-178C / DO-254 safety
Section intitulée « Couches de processus: parallèles avec DO-178C / DO-254 safety »DO-326A reflete le pipeline safety de ARP4754A et ARP4761A au niveau système, en substituant la sécurité a la safety. Les deux pipelines sont co-developpes.
| Cote safety (ARP4761A) | Cote sécurité (DO-326A) | Sortie |
|---|---|---|
| FHA (Functional Hazard Assessment) | TARA (Threat Analysis and Risk Assessment) | Identification des conditions de défaillance / scenarios de menace |
| Severite condition (Cat / Haz / Maj / Min / NSE) | Severite scenario de menace (même échelle a cinq niveaux) | Allocation du niveau d'assurance / mesures de sécurité |
| PSSA (Preliminary System Safety Assessment) | SecRA préliminaire | Evaluation architecture, allocation des mitigations |
| SSA (System Safety Assessment) | SecRA finale | Demonstration de conformité, risque résiduel |
| Architecture safety (partitionnement, redondance, dissimilarité) | Architecture sécurité (ségrégation, défense en profondeur) | Decisions architecturales implémentées en logiciel / matériel |
| Verification des propriétés safety | SecVer (test d'intrusion, revue de code, analyse) | Preuves de verification |
La symétrie conceptuelle est intentionnelle. DO-326A réutilisé le vocabulaire de condition de défaillance d'ARP4761A pour permettre le croisement des analyses safety et sécurité. Un scenario de menace qui aboutit a une conséquence Catastrophic appelle le même cran de sévérité que la condition safety équivalente, et donc les mesures de sécurité et l'effort de verification les plus stricts.
Mapping condition de défaillance pour scenarios de menace
Section intitulée « Mapping condition de défaillance pour scenarios de menace »| Classe de condition | Effet sur l'aéronef / occupants | Implication sécurité |
|---|---|---|
| Catastrophic | Perte de l'aéronef, multiples décès | Mesures de sécurité les plus élevées, verification la plus profonde, indépendance requise |
| Hazardous | Reduction importante des marges de sécurité, blessures sérieuses | Mesures élevées, verification structurée |
| Major | Reduction significative des marges, inconfort occupants | Mesures modérées |
| Minor | Reduction légère des marges, gene mineure | Mesures légères |
| No Safety Effect (NSE) | Aucune conséquence safety | Pas d'objectif spécifique de cybersécurité navigabilité |
TARA: Threat Analysis and Risk Assessment
Section intitulée « TARA: Threat Analysis and Risk Assessment »DO-356A définit le cadre TARA qui sous-tend la SecRA. La TARA structure l'analyse autour de quatre niveaux standard de capacité attaquant.
| Niveau de capacité attaquant | Caracterisation |
|---|---|
| Basic | Ressources limitées, outils sur étagère, pas de connaissance interne |
| Enhanced | Attaquant qualifie, chaines d'exploits publiques, connaissance partielle de la cible |
| High | Groupe organise, outillage sur mesure, accès persistant, reconnaissance ciblée |
| Extended | Ressources de niveau étatique, accès a la chaine d'approvisionnement, campagnes multi-vectorielles |
Un scenario de menace est ensuite caracterise par:
- les actifs a risque (données, fonction, intégrité, disponibilité),
- le chemin d'attaque (point d'entrée, propagation, cible),
- la condition de défaillance déclenchée si le scenario réussit,
- la capacité attaquant requise,
- la vraisemblance compte tenu de la capacité et de l'exposition,
- le risque résiduel apres application des mesures de sécurité.
La TARA est rafraîchie a chaque jalon majeur de conception et apres tout changement affectant la surface d'attaque (changement d'architecture, nouvelle interface externe, substitution de fournisseur). Manquer un rafraîchissement de TARA apres une mise a jour logicielle est un constat fréquent en revue de maintien de navigabilité.
Classification des actifs
Section intitulée « Classification des actifs »Les actifs sont classifies par la criticité de la condition de défaillance qu'ils déclencheraient en cas de compromission, pas par leur catégorie technique intrinseque. Un simple fichier de log peut être Catastrophic-critique si sa falsification masque une attaque sur une fonction critique vol, alors qu'un sous-système d'affichage complexe peut n'être que Minor-critique si sa corruption ne se propage pas aux systèmes critiques vol. La logique TARA est dirigée par la conséquence, pas par la technologie.
Plans et livrables requis
Section intitulée « Plans et livrables requis »DO-326A impose un ensemble défini de plans, analyses et synthèse, en miroir de la structure documentaire de DO-178C cote logiciel.
| Livrable | Objet |
|---|---|
| PSecAC (Plan for Security Aspects of Certification) | Interface contractuelle avec l'autorité; décrit le processus sécurité, les standards appliques, les livrables, le calendrier, l'organisation. Équivalent du PSAC en DO-178C. |
| Security Verification Plan (SecVer Plan) | Decrit la stratégie de verification: test d'intrusion, revue de code, fuzzing, analyse statique, analyse de sécurité. Équivalent du SVP. |
| Security Risk Assessment Plan | Decrit la méthodologie pour conduire la TARA et la SecRA. |
Analyses et verification
Section intitulée « Analyses et verification »| Livrable | Contenu |
|---|---|
| SecRA (Security Risk Assessment) | TARA, scenarios de menace, capacité attaquant, risque résiduel, mesures de sécurité et leur allocation |
| Security Architecture Document | Description des mesures de sécurité intégrées a l'architecture système: ségrégation, cryptographie, authentification, défense en profondeur |
| SecVer Reports | Enregistrements des activités de verification, avec traçabilité vers les objectifs de sécurité |
| Security Compliance Summary | Consolidation des preuves en fin de cycle, équivalent du SAS cote logiciel |
Maintien de navigabilité (ED-204A)
Section intitulée « Maintien de navigabilité (ED-204A) »| Livrable | Contenu |
|---|---|
| In-Service Security Plan | Comment la posture de sécurité est maintenue apres entrée en service |
| Vulnerability Handling Process | Decouverte, évaluation, réponse, communication avec les opérateurs |
| Interfaces SOC | Engagement avec le centre opérationnel de sécurité, surveillance, réponse aux incidents |
| Gestion de configuration | Mises a jour de parts logicielles chargeables, signature, déploiement, rollback |
Interface avec la safety: co-développement, pas séquencement
Section intitulée « Interface avec la safety: co-développement, pas séquencement »L'erreur architecturale la plus frequente consiste a traiter la sécurité comme un ajout aval a une architecture déjà figée cote safety. Les mesures de sécurité (isolation cryptographique, authentification, détection d'intrusion, journalisation d'audit) introduisent souvent de nouveaux modes de défaillance qui doivent faire l'objet de leur propre évaluation safety sous ARP4761A. Inversement, les décisions de partitionnement safety (par exemple le partitionnement ARINC 653 sous DO-178C) contraignent souvent le placement des mesures de sécurité.
Les deux pipelines doivent être co-developpes:
- revue d'architecture système conjointe avec les equipes safety et sécurité,
- catalogue de conditions de défaillance partage, pour qu'un scenario de menace puisse être verifie contre une condition safety existante,
- rationnel architectural partage, avec justification explicite lorsqu'une mesure de sécurité modifie une décision de partitionnement safety,
- planification de verification conjointe, pour éviter les campagnes de test dupliquées et les environnements de test contradictoires.
Pour le cote safety auquel DO-326A s'interface, voir DO-178C et DO-254 et le cadre plus large d'évaluation des risques en ISO 14971, IEC 31010, FMEA, FTA.
DO-326A face a DO-355A / ED-204A: frontière de périmètre
Section intitulée « DO-326A face a DO-355A / ED-204A: frontière de périmètre »Ces deux documents sont régulièrement confondus en discussion de cadrage, parce que tous deux portent le mot sécurité. Ils occupent des couches différentes du cycle de vie de certification.
| Aspect | DO-326A / ED-202A | DO-355A / ED-204A |
|---|---|---|
| Phase | Certification de type (avant entrée en service) | Maintien de navigabilité (apres entrée en service) |
| Audience | Demandeur du certificat de type | Operateur, mainteneur, fournisseur de parts logicielles chargeables |
| Sortie | Security Compliance Summary, preuves de base de certification | Plan de sécurité en service, processus de traitement des vulnérabilités |
| Interaction autorité | Equipe certification EASA / FAA | Supervision maintien de navigabilité EASA / FAA |
| Methodes compagnon | DO-356A / ED-203A | Guidance cote opérateur AC 119-1 et équivalents |
Une erreur de cadrage frequente consiste a traiter DO-326A comme couvrant le patching en service, ce qu'il ne fait pas. La couche en service releve d'ED-204A et de la guidance cote opérateur.
DO-326A face a ISO 27001: pas interchangeables
Section intitulée « DO-326A face a ISO 27001: pas interchangeables »Une seconde confusion frequente est le mapping des objectifs DO-326A vers les controles ISO/IEC 27001. Les deux cadres ont des vocabulaires et périmètres différents:
- ISO 27001 est une norme de système de management organisationnel: elle certifie qu'une organisation gere la sécurité de l'information au niveau système de management, avec des controles bases sur le risque appliques a l'échelle de l'entreprise.
- DO-326A est un processus produit / aéronef de cybersécurité navigabilité: il produit des preuves sur un type design spécifique, avec des mesures de sécurité implémentées dans le système embarque lui-même.
Un fournisseur titulaire d'une certification ISO 27001 sur son IT corporate ne satisfait pas les objectifs DO-326A sur un programme aéronef spécifique. Inversement, la conformité DO-326A sur un programme ne dit rien sur la posture sécurité entreprise du fournisseur. Les deux peuvent coexister (et le font souvent) mais ne se substituent pas.
Pour les baselines cybersécurité entreprise cote IT corporate, voir CMMC et UK Cyber Essentials.
Integration programme: quoi faire et quand
Section intitulée « Integration programme: quoi faire et quand »| Jalon | Activite sécurité | Sortie |
|---|---|---|
| Concept | Identification préliminaire des menaces, définition du périmètre sécurité | Entree pour allocation ARP4754A |
| PDR (Preliminary Design Review) | Premiere version du PSecAC, TARA préliminaire, SecRA préliminaire | PSecAC v1, SecRA préliminaire |
| CDR (Critical Design Review) | PSecAC finalise, architecture sécurité figée, mesures de sécurité allouées | PSecAC final, Security Architecture Document |
| TRR (Test Readiness Review) | SecVer Plan execute, preuves collectées | SecVer Reports |
| Certification | Security Compliance Summary soumis avec le dossier de certification de type | Security Compliance Summary |
| Entree en service | Basculement vers le régime de maintien de navigabilité ED-204A | In-Service Security Plan actif |
| Mise a jour post-EIS | Rafraichissement de TARA apres tout changement affectant la surface d'attaque | SecRA mise a jour, SecVer Reports mis a jour si nécessaire |
Le PSecAC manquant au CDR est le constat le plus cite dans les premières revues de cybersécurité navigabilité, parce que le document est l'interface contractuelle qui définit le processus a suivre. Sans lui, aucune preuve aval ne peut être evaluee.
Pieges fréquents
Section intitulée « Pieges fréquents »| Piege | Consequence |
|---|---|
| Traiter la cybersécurité comme un ajout apres que l'architecture safety est figée | Re-architecture tardive, décisions de partitionnement invalidées, glissement du programme |
| PSecAC manquant au CDR | Constat de l'autorité, processus sécurité indéfini, preuves aval non évaluables |
| Confondre DO-326A (navigabilité) et DO-355A / ED-204A (maintien de navigabilité) | Processus de patching en service manquant ou sous-dimensionne |
| Mapper les objectifs DO-326A un pour un sur les controles ISO 27001 | Decalage de vocabulaire, lacunes dans la couverture navigabilité |
| Pas de rafraîchissement de TARA apres mise a jour logicielle ou changement fournisseur | SecRA obsolète, risque résiduel sous-estime, constat en surveillance |
| Pas de plan SOC ni d'interface pour le maintien de navigabilité ED-204A | Vulnerabilite en service non triable ni réponse possible |
| Confondre les niveaux de capacité attaquant avec les DAL safety | Mesures de sécurité surdimensionnées ou sous-dimensionnees par rapport a la menace réelle |
| Sequencer la verification sécurité apres la verification safety | Environnements de test contradictoires, effort duplique, découverte tardive de conflits architecturaux |
| Ignorer l'applicabilité par défaut de CS 25.1319 apres août 2024 | Depot sans livrables sécurité, base de certification rejetée |
| Traiter cybersécurité sol et embarque comme un seul jeu documentaire | Perimetre DO-392 / ED-205A manque pour les systèmes sol ATM/ANS |
Pour aller plus loin
Section intitulée « Pour aller plus loin »- DO-178C et DO-254, logiciel et matériel embarques: les pipelines cote safety auxquels DO-326A s'interface au niveau système
- Gestion des risques, ISO 14971, IEC 31010, FMEA, FTA: les familles plus larges d'évaluation des risques
- CMMC et UK Cyber Essentials: baselines cybersécurité entreprise, distinctes de la cybersécurité navigabilité produit
- Glossaire: définitions de PSecAC, SecRA, TARA, ED-202A, ED-203A, ED-204A, CRI
Voir aussi
Section intitulée « Voir aussi »- DO-178C et DO-254 : logiciel + matériel avionique
- IEC 62443 (ISA-99), cybersécurité des systèmes industriels
- Common Criteria (ISO/IEC 15408) : sécurité IT
- CRA : Cyber Resilience Act, exigences UE numérique
- MIL-STD-461 et MIL-STD-464, normes CEM défense
- AEC-Q100, Q101, Q200 : composants automobiles
- IATF 16949 : management de la qualité automobile
- ISO 26262 : sécurité fonctionnelle automobile
Sources & références
- RTCA DO-326A, Airworthiness Security Process Specification (2014) , RTCA www.rtca.org/
- EUROCAE ED-202A, Airworthiness Security Process Specification (2014, équivalent européen de DO-326A) , EUROCAE www.eurocae.net/
- RTCA DO-356A / EUROCAE ED-203A, Airworthiness Security Methods and Considerations (2018) , RTCA / EUROCAE www.rtca.org/
- EUROCAE ED-204A, Information Security Guidance for Continuing Airworthiness (revise 2022) , EUROCAE www.eurocae.net/
- EASA Certification Specifications CS-25, Amendement 25/29 (CS 25.1319, août 2024) , EASA www.easa.europa.eu/en/document-library/certification-specifications
- FAA 14 CFR Part 25, Airworthiness Standards for Transport Category Airplanes , Federal Aviation Administration www.ecfr.gov/current/title-14/chapter-I/subchapter-C/part-25
- SAE ARP4761A, Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems (2023) , SAE International www.sae.org/standards/content/arp4761a/
Questions fréquentes
- Qu'est-ce que DO-326A / ED-202A et quel est leur statut réglementaire ?
- DO-326A (RTCA) et ED-202A (EUROCAE) constituent le document Airworthiness Security Process Specification, harmonise et publie conjointement en 2014 par les deux organismes de normalisation. Il définit le processus par lequel les interactions électroniques non autorisées intentionnelles avec les systèmes embarques sont évaluées et atténuées dans le cadre de la certification de navigabilité d'un aéronef, d'un moteur ou d'un equipement. Ces documents ne sont pas des règlements en eux-memes; ce sont des moyens de conformité acceptes par l'EASA via le CRI F-19 historiquement, et par l'EASA et la FAA via les nouvelles dispositions CS 25.1319 et Part 25 Section 25.1319 entrées en vigueur en août 2024 (Amendement 25/29 cote EASA). Leur usage devient contraignant via la base de certification d'un programme, de la même maniere que DO-178C et DO-254 le sont pour le logiciel et le matériel électronique.
- Comment DO-326A s'articule-t-il avec DO-178C et DO-254 ?
- DO-326A opere au même niveau système que ARP4754A et ARP4761A, un cran au-dessus de DO-178C et DO-254. Il produit une Security Risk Assessment (SecRA) au moyen d'un cadre TARA (Threat Analysis and Risk Assessment), identifie des scenarios de menace analogues aux conditions de défaillance cote sécurité, et alloue des mesures de sécurité a l'architecture. Ces mesures de sécurité sont ensuite implémentées comme exigences qui descendent dans le cycle de vie logiciel (DO-178C) et le cycle de vie matériel électronique (DO-254). Les deux pipelines doivent être co-developpes, pas sequences. Une passe sécurité tardive invalide fréquemment les décisions de partitionnement de sécurité prises sous ARP4754A et force une re-architecture.
- Quelle est la différence entre DO-326A et DO-355A ?
- DO-326A / ED-202A couvre la cybersécurité de navigabilité comme un processus de développement et de certification: il produit les preuves consommées par l'autorité de certification de type avant mise en service. DO-355A / ED-204A couvre l'Information Security Guidance for Continuing Airworthiness, c'est-a-dire la phase opérationnelle apres certification de type: mises a jour de parts logicielles chargeables, surveillance des vulnérabilités, interfaces avec le centre opérationnel de sécurité, gestion de configuration de la flotte en service. Les deux sont complémentaires et généralement invoques ensemble dans la base de certification, mais ils ont des périmètres et des livrables distincts. ED-204A a ete revise en 2022 pour s'aligner sur la maturité des pratiques cyber en exploitation.
- Quel est le rôle de DO-356A / ED-203A ?
- DO-356A / ED-203A, Airworthiness Security Methods and Considerations, publie en 2018, est le compagnon méthodes de DO-326A / ED-202A. La ou DO-326A définit le processus et les sorties requises, DO-356A fournit les méthodes techniques: comment conduire une TARA, comment scorer la capacité de l'attaquant sur les niveaux basic, enhanced, high et extended, comment structurer la verification de sécurité, comment démontrer l'efficacité des mesures de sécurité. Un programme invoque rarement DO-326A sans DO-356A; ils fonctionnent en paire, comme ARP4754A et ARP4761A fonctionnent en paire cote sécurité-safety.
- Quels documents sont requis dans un dossier de certification DO-326A ?
- Les livrables centraux sont le PSecAC (Plan for Security Aspects of Certification), interface contractuelle avec l'autorité; la SecRA (Security Risk Assessment), qui documente la TARA et le risque résiduel; le Security Architecture Document, qui décrit les mesures de sécurité intégrées a l'architecture système; le SecVer Plan et les SecVer Reports, qui décrivent et enregistrent les activités de verification de sécurité (tests d'intrusion, revue de code, analyse); et le Security Compliance Summary, qui consolide la démonstration de conformité en fin de cycle. Pour la navigabilité continue, les livrables DO-355A / ED-204A s'ajoutent: plan de sécurité en service, processus de traitement des vulnérabilités, gestion de configuration des parts logicielles chargeables.
- Comment les scenarios de menace sont-ils classifies et mappes en sévérité ?
- DO-326A mappe les scenarios de menace sur la même classification de condition de défaillance utilisée par ARP4761A cote safety: Catastrophic, Hazardous, Major, Minor, No Safety Effect. Un scenario de cyberattaque réussi qui produit une condition de défaillance Catastrophic appelle les objectifs de sécurité les plus stricts, de la même maniere qu'une condition Catastrophic appelle DAL A cote safety. La capacité de l'attaquant est scoree séparément via un cadre TARA a quatre niveaux standard (basic, enhanced, high, extended), reflétant les ressources, compétences et accès nécessaires pour exécuter le scenario. La combinaison sévérité de condition et capacité attaquant pilote la force et l'indépendance exigées sur les mesures de sécurité.
- Quand le PSecAC doit-il être soumis a l'autorité ?
- Le PSecAC fait partie de l'interface base de certification, et les autorités l'attendent tot dans le programme, typiquement au plus tard au PDR (Preliminary Design Review) et certainement pas plus tard que le CDR (Critical Design Review). Un PSecAC manquant au CDR est l'un des constats les plus fréquents lors de la revue cybersécurité de navigabilité, parce que le document définit le processus sécurité que le demandeur va suivre et conditionne donc toute preuve aval. L'EASA a historiquement émis le CRI F-19 pour formaliser la base de certification sécurité sur les programmes antérieurs a CS 25.1319; sous CS 25.1319, le processus cybersécurité de navigabilité fait désormais partie de la base de certification par défaut pour les nouveaux aéronefs et les modifications majeures, sans necessite de CRI.
- Comment CS 25.1319 (depuis 2024) change-t-il l'obligation ?
- Avant août 2024, la cybersécurité de navigabilité était traitée programme par programme via des Special Conditions ou des CRI (tels que F-19 cote EASA, Special Conditions individuelles cote FAA pour les 787, A350, etc.). Le nouveau CS 25.1319 cote EASA (Amendement 25/29 entre en vigueur en août 2024) et la disposition correspondante 14 CFR Part 25 Section 25.1319 cote FAA font de la cybersécurité de navigabilité une exigence par défaut pour les nouveaux grands avions et les modifications majeures. En pratique cela signifie qu'une évaluation des risques de sécurité, des mesures de sécurité et une verification de sécurité sont des livrables obligatoires dans la base de certification, avec DO-326A / ED-202A et DO-356A / ED-203A comme moyens de conformité acceptes. CS-29 et Part 29 portent des dispositions équivalentes pour les giravions civils.