Qu'est-ce que DO-326A / ED-202A et quel est leur statut reglementaire ?

DO-326A (RTCA) et ED-202A (EUROCAE) constituent le document Airworthiness Security Process Specification, harmonise et publie conjointement en 2014 par les deux organismes de normalisation. Il definit le processus par lequel les interactions electroniques non autorisees intentionnelles avec les systemes embarques sont evaluees et attenuees dans le cadre de la certification de navigabilite d'un aeronef, d'un moteur ou d'un equipement. Ces documents ne sont pas des reglements en eux-memes; ce sont des moyens de conformite acceptes par l'EASA via le CRI F-19 historiquement, et par l'EASA et la FAA via les nouvelles dispositions CS 25.1319 et Part 25 Section 25.1319 entrees en vigueur en aout 2024 (Amendement 25/29 cote EASA). Leur usage devient contraignant via la base de certification d'un programme, de la meme maniere que DO-178C et DO-254 le sont pour le logiciel et le materiel electronique.

Comment DO-326A s'articule-t-il avec DO-178C et DO-254 ?

DO-326A opere au meme niveau systeme que ARP4754A et ARP4761A, un cran au-dessus de DO-178C et DO-254. Il produit une Security Risk Assessment (SecRA) au moyen d'un cadre TARA (Threat Analysis and Risk Assessment), identifie des scenarios de menace analogues aux conditions de defaillance cote securite, et alloue des mesures de securite a l'architecture. Ces mesures de securite sont ensuite implementees comme exigences qui descendent dans le cycle de vie logiciel (DO-178C) et le cycle de vie materiel electronique (DO-254). Les deux pipelines doivent etre co-developpes, pas sequences. Une passe securite tardive invalide frequemment les decisions de partitionnement de securite prises sous ARP4754A et force une re-architecture.

Quelle est la difference entre DO-326A et DO-355A ?

DO-326A / ED-202A couvre la cybersecurite de navigabilite comme un processus de developpement et de certification: il produit les preuves consommees par l'autorite de certification de type avant mise en service. DO-355A / ED-204A couvre l'Information Security Guidance for Continuing Airworthiness, c'est-a-dire la phase operationnelle apres certification de type: mises a jour de parts logicielles chargeables, surveillance des vulnerabilites, interfaces avec le centre operationnel de securite, gestion de configuration de la flotte en service. Les deux sont complementaires et generalement invoques ensemble dans la base de certification, mais ils ont des perimetres et des livrables distincts. ED-204A a ete revise en 2022 pour s'aligner sur la maturite des pratiques cyber en exploitation.

Quel est le role de DO-356A / ED-203A ?

DO-356A / ED-203A, Airworthiness Security Methods and Considerations, publie en 2018, est le compagnon methodes de DO-326A / ED-202A. La ou DO-326A definit le processus et les sorties requises, DO-356A fournit les methodes techniques: comment conduire une TARA, comment scorer la capacite de l'attaquant sur les niveaux basic, enhanced, high et extended, comment structurer la verification de securite, comment demontrer l'efficacite des mesures de securite. Un programme invoque rarement DO-326A sans DO-356A; ils fonctionnent en paire, comme ARP4754A et ARP4761A fonctionnent en paire cote securite-safety.

Quels documents sont requis dans un dossier de certification DO-326A ?

Les livrables centraux sont le PSecAC (Plan for Security Aspects of Certification), interface contractuelle avec l'autorite; la SecRA (Security Risk Assessment), qui documente la TARA et le risque residuel; le Security Architecture Document, qui decrit les mesures de securite integrees a l'architecture systeme; le SecVer Plan et les SecVer Reports, qui decrivent et enregistrent les activites de verification de securite (tests d'intrusion, revue de code, analyse); et le Security Compliance Summary, qui consolide la demonstration de conformite en fin de cycle. Pour la navigabilite continue, les livrables DO-355A / ED-204A s'ajoutent: plan de securite en service, processus de traitement des vulnerabilites, gestion de configuration des parts logicielles chargeables.

Comment les scenarios de menace sont-ils classifies et mappes en severite ?

DO-326A mappe les scenarios de menace sur la meme classification de condition de defaillance utilisee par ARP4761A cote safety: Catastrophic, Hazardous, Major, Minor, No Safety Effect. Un scenario de cyberattaque reussi qui produit une condition de defaillance Catastrophic appelle les objectifs de securite les plus stricts, de la meme maniere qu'une condition Catastrophic appelle DAL A cote safety. La capacite de l'attaquant est scoree separement via un cadre TARA a quatre niveaux standard (basic, enhanced, high, extended), refletant les ressources, competences et acces necessaires pour executer le scenario. La combinaison severite de condition et capacite attaquant pilote la force et l'independance exigees sur les mesures de securite.

Quand le PSecAC doit-il etre soumis a l'autorite ?

Le PSecAC fait partie de l'interface base de certification, et les autorites l'attendent tot dans le programme, typiquement au plus tard au PDR (Preliminary Design Review) et certainement pas plus tard que le CDR (Critical Design Review). Un PSecAC manquant au CDR est l'un des constats les plus frequents lors de la revue cybersecurite de navigabilite, parce que le document definit le processus securite que le demandeur va suivre et conditionne donc toute preuve aval. L'EASA a historiquement emis le CRI F-19 pour formaliser la base de certification securite sur les programmes anterieurs a CS 25.1319; sous CS 25.1319, le processus cybersecurite de navigabilite fait desormais partie de la base de certification par defaut pour les nouveaux aeronefs et les modifications majeures, sans necessite de CRI.

Comment CS 25.1319 (depuis 2024) change-t-il l'obligation ?

Avant aout 2024, la cybersecurite de navigabilite etait traitee programme par programme via des Special Conditions ou des CRI (tels que F-19 cote EASA, Special Conditions individuelles cote FAA pour les 787, A350, etc.). Le nouveau CS 25.1319 cote EASA (Amendement 25/29 entre en vigueur en aout 2024) et la disposition correspondante 14 CFR Part 25 Section 25.1319 cote FAA font de la cybersecurite de navigabilite une exigence par defaut pour les nouveaux grands avions et les modifications majeures. En pratique cela signifie qu'une evaluation des risques de securite, des mesures de securite et une verification de securite sont des livrables obligatoires dans la base de certification, avec DO-326A / ED-202A et DO-356A / ED-203A comme moyens de conformite acceptes. CS-29 et Part 29 portent des dispositions equivalentes pour les giravions civils.

DO-326A et ED-202A: cybersecurite avionique

Auteur Hugues Orgitello Mis à jour le 27 mai 2026 ~11 min de lecture

Guide - Cybersecurite navigabilite avionique

La cybersecurite avionique civile n'est plus une Special Condition rattachee a des programmes individuels. Avec CS 25.1319 (EASA Amendement 25/29, en vigueur en aout 2024) et la disposition correspondante 14 CFR Part 25 Section 25.1319 cote FAA, la cybersecurite de navigabilite devient une exigence par defaut pour les nouveaux grands avions et les modifications majeures, avec DO-326A / ED-202A comme moyen de conformite processus accepte et DO-356A / ED-203A comme compagnon methodes. Le cadre s'etend au-dela: DO-355A / ED-204A gouverne le maintien de navigabilite (patching en service, traitement des vulnerabilites), et DO-392 / ED-205A etend la meme logique aux systemes sol ATM/ANS. Ce guide cartographie le jeu de documents, les ancrages reglementaires, les livrables de certification (PSecAC, SecRA, Security Architecture, SecVer, Security Compliance Summary), le cadre TARA, le mapping condition de defaillance et capacite attaquant, l'articulation avec DO-178C et DO-254 cote safety, et les pieges recurrents observes en revue de certification.

Le jeu de documents: qui publie quoi

Le cadre cybersecurite de navigabilite est structure par RTCA cote US et EUROCAE cote europeen, chaque document etant publie en paire harmonisee de sorte qu'une seule specification serve aux deux regulateurs.

Reference RTCA	Equivalent EUROCAE	Perimetre	Premiere publication
DO-326A	ED-202A	Airworthiness Security Process Specification	2014
DO-356A	ED-203A	Airworthiness Security Methods and Considerations	2018
DO-355A	ED-204A	Information Security Guidance for Continuing Airworthiness	2014, revise (ED-204A, 2022)
DO-392	ED-205A	Cybersecurity Process Standard for ATM/ANS Ground Systems	recent

Ces quatre documents forment un ensemble coherent. DO-326A definit le processus: quelles activites doivent avoir lieu, quels artefacts doivent etre produits. DO-356A definit les methodes: comment conduire chaque activite, comment scorer la capacite attaquant, comment structurer la verification. DO-355A definit la couche maintien de navigabilite: ce qui se passe apres certification de type, lorsque l'aeronef entre en service et fait face a des menaces evolutives. DO-392 etend le cadre aux systemes sol ATM/ANS.

Un programme de certification de type aujourd'hui invoque typiquement DO-326A et DO-356A ensemble pour le cote embarque, et DO-355A separement pour la maintenance en service. Aucun document n'en remplace un autre.

Ancrages reglementaires

EASA: du CRI F-19 a CS 25.1319

Avant 2024, l'EASA gerait la cybersecurite de navigabilite programme par programme via des Certification Review Items, le plus courant etant le CRI F-19, Airworthiness Security. Le CRI imposait DO-326A / ED-202A comme moyen de conformite et listait les livrables attendus.

L'Amendement EASA 25/29, en vigueur en aout 2024, a introduit CS 25.1319, Equipment, systems and installations - aeroplane intentional unauthorised electronic interaction. Le nouveau paragraphe eleve la cybersecurite de navigabilite au rang d'exigence CS-25 par defaut: tout nouveau grand avion et toute modification majeure soumis sous CS-25 doivent inclure l'evaluation cybersecurite correspondante dans la base de certification, sans qu'un CRI soit necessaire pour l'introduire. CS-29 porte la disposition equivalente pour les giravions civils.

Les moyens de conformite acceptables pointes sont DO-326A / ED-202A (processus), DO-356A / ED-203A (methodes) et ED-204A (maintien de navigabilite).

FAA: 14 CFR Part 25 Section 25.1319 et AC 119-1

Cote FAA, les programmes individuels avaient ete historiquement traites via des Special Conditions emises sous 14 CFR 21.16 pour le Boeing 787, l'Airbus A350 et d'autres systemes a forte integration de fonctions e-Enabled. La mise a jour 2024 incorpore 14 CFR Part 25 Section 25.1319 avec un contenu substantiellement equivalent a CS 25.1319, faisant de la cybersecurite de navigabilite une exigence Part 25 par defaut.

AC 119-1, Airworthiness and Operational Authorization of Aircraft Network Security Program (ANSP), fournit la guidance cote operateur sur les aspects de maintien de navigabilite, complementaire de la vue certification de type.

Giravions civils et moteurs

Type d'aeronef	Specification	Disposition securite
Grands avions (categorie transport)	CS-25, 14 CFR Part 25	CS 25.1319 / Part 25 Section 25.1319
Grands giravions	CS-29, 14 CFR Part 29	CS 29.1319 / Part 29 Section 29.1319 equivalent
Moteurs	CS-E, 14 CFR Part 33	couvert via l'integration systeme cote cellule
Petits avions	CS-23	cybersecurite navigabilite au cas par cas via Special Conditions

Couches de processus: paralleles avec DO-178C / DO-254 safety

DO-326A reflete le pipeline safety de ARP4754A et ARP4761A au niveau systeme, en substituant la securite a la safety. Les deux pipelines sont co-developpes.

Cote safety (ARP4761A)	Cote securite (DO-326A)	Sortie
FHA (Functional Hazard Assessment)	TARA (Threat Analysis and Risk Assessment)	Identification des conditions de defaillance / scenarios de menace
Severite condition (Cat / Haz / Maj / Min / NSE)	Severite scenario de menace (meme echelle a cinq niveaux)	Allocation du niveau d'assurance / mesures de securite
PSSA (Preliminary System Safety Assessment)	SecRA preliminaire	Evaluation architecture, allocation des mitigations
SSA (System Safety Assessment)	SecRA finale	Demonstration de conformite, risque residuel
Architecture safety (partitionnement, redondance, dissimilarite)	Architecture securite (segregation, defense en profondeur)	Decisions architecturales implementees en logiciel / materiel
Verification des proprietes safety	SecVer (test d'intrusion, revue de code, analyse)	Preuves de verification

La symetrie conceptuelle est intentionnelle. DO-326A reutilise le vocabulaire de condition de defaillance d'ARP4761A pour permettre le croisement des analyses safety et securite. Un scenario de menace qui aboutit a une consequence Catastrophic appelle le meme cran de severite que la condition safety equivalente, et donc les mesures de securite et l'effort de verification les plus stricts.

Mapping condition de defaillance pour scenarios de menace

Classe de condition	Effet sur l'aeronef / occupants	Implication securite
Catastrophic	Perte de l'aeronef, multiples deces	Mesures de securite les plus elevees, verification la plus profonde, independance requise
Hazardous	Reduction importante des marges de securite, blessures serieuses	Mesures elevees, verification structuree
Major	Reduction significative des marges, inconfort occupants	Mesures moderees
Minor	Reduction legere des marges, gene mineure	Mesures legeres
No Safety Effect (NSE)	Aucune consequence safety	Pas d'objectif specifique de cybersecurite navigabilite

TARA: Threat Analysis and Risk Assessment

DO-356A definit le cadre TARA qui sous-tend la SecRA. La TARA structure l'analyse autour de quatre niveaux standard de capacite attaquant.

Niveau de capacite attaquant	Caracterisation
Basic	Ressources limitees, outils sur etagere, pas de connaissance interne
Enhanced	Attaquant qualifie, chaines d'exploits publiques, connaissance partielle de la cible
High	Groupe organise, outillage sur mesure, acces persistant, reconnaissance ciblee
Extended	Ressources de niveau etatique, acces a la chaine d'approvisionnement, campagnes multi-vectorielles

Un scenario de menace est ensuite caracterise par:

les actifs a risque (donnees, fonction, integrite, disponibilite),
le chemin d'attaque (point d'entree, propagation, cible),
la condition de defaillance declenchee si le scenario reussit,
la capacite attaquant requise,
la vraisemblance compte tenu de la capacite et de l'exposition,
le risque residuel apres application des mesures de securite.

La TARA est rafraichie a chaque jalon majeur de conception et apres tout changement affectant la surface d'attaque (changement d'architecture, nouvelle interface externe, substitution de fournisseur). Manquer un rafraichissement de TARA apres une mise a jour logicielle est un constat frequent en revue de maintien de navigabilite.

Classification des actifs

Les actifs sont classifies par la criticite de la condition de defaillance qu'ils declencheraient en cas de compromission, pas par leur categorie technique intrinseque. Un simple fichier de log peut etre Catastrophic-critique si sa falsification masque une attaque sur une fonction critique vol, alors qu'un sous-systeme d'affichage complexe peut n'etre que Minor-critique si sa corruption ne se propage pas aux systemes critiques vol. La logique TARA est dirigee par la consequence, pas par la technologie.

Plans et livrables requis

DO-326A impose un ensemble defini de plans, analyses et synthese, en miroir de la structure documentaire de DO-178C cote logiciel.

Plans

Livrable	Objet
PSecAC (Plan for Security Aspects of Certification)	Interface contractuelle avec l'autorite; decrit le processus securite, les standards appliques, les livrables, le calendrier, l'organisation. Equivalent du PSAC en DO-178C.
Security Verification Plan (SecVer Plan)	Decrit la strategie de verification: test d'intrusion, revue de code, fuzzing, analyse statique, analyse de securite. Equivalent du SVP.
Security Risk Assessment Plan	Decrit la methodologie pour conduire la TARA et la SecRA.

Analyses et verification

Livrable	Contenu
SecRA (Security Risk Assessment)	TARA, scenarios de menace, capacite attaquant, risque residuel, mesures de securite et leur allocation
Security Architecture Document	Description des mesures de securite integrees a l'architecture systeme: segregation, cryptographie, authentification, defense en profondeur
SecVer Reports	Enregistrements des activites de verification, avec tracabilite vers les objectifs de securite
Security Compliance Summary	Consolidation des preuves en fin de cycle, equivalent du SAS cote logiciel

Maintien de navigabilite (ED-204A)

Livrable	Contenu
In-Service Security Plan	Comment la posture de securite est maintenue apres entree en service
Vulnerability Handling Process	Decouverte, evaluation, reponse, communication avec les operateurs
Interfaces SOC	Engagement avec le centre operationnel de securite, surveillance, reponse aux incidents
Gestion de configuration	Mises a jour de parts logicielles chargeables, signature, deploiement, rollback

Interface avec la safety: co-developpement, pas sequencement

L'erreur architecturale la plus frequente consiste a traiter la securite comme un ajout aval a une architecture deja figee cote safety. Les mesures de securite (isolation cryptographique, authentification, detection d'intrusion, journalisation d'audit) introduisent souvent de nouveaux modes de defaillance qui doivent faire l'objet de leur propre evaluation safety sous ARP4761A. Inversement, les decisions de partitionnement safety (par exemple le partitionnement ARINC 653 sous DO-178C) contraignent souvent le placement des mesures de securite.

Les deux pipelines doivent etre co-developpes:

revue d'architecture systeme conjointe avec les equipes safety et securite,
catalogue de conditions de defaillance partage, pour qu'un scenario de menace puisse etre verifie contre une condition safety existante,
rationnel architectural partage, avec justification explicite lorsqu'une mesure de securite modifie une decision de partitionnement safety,
planification de verification conjointe, pour eviter les campagnes de test dupliquees et les environnements de test contradictoires.

Pour le cote safety auquel DO-326A s'interface, voir DO-178C et DO-254 et le cadre plus large d'evaluation des risques en ISO 14971, IEC 31010, FMEA, FTA.

DO-326A face a DO-355A / ED-204A: frontiere de perimetre

Ces deux documents sont regulierement confondus en discussion de cadrage, parce que tous deux portent le mot securite. Ils occupent des couches differentes du cycle de vie de certification.

Aspect	DO-326A / ED-202A	DO-355A / ED-204A
Phase	Certification de type (avant entree en service)	Maintien de navigabilite (apres entree en service)
Audience	Demandeur du certificat de type	Operateur, mainteneur, fournisseur de parts logicielles chargeables
Sortie	Security Compliance Summary, preuves de base de certification	Plan de securite en service, processus de traitement des vulnerabilites
Interaction autorite	Equipe certification EASA / FAA	Supervision maintien de navigabilite EASA / FAA
Methodes compagnon	DO-356A / ED-203A	Guidance cote operateur AC 119-1 et equivalents

Une erreur de cadrage frequente consiste a traiter DO-326A comme couvrant le patching en service, ce qu'il ne fait pas. La couche en service releve d'ED-204A et de la guidance cote operateur.

DO-326A face a ISO 27001: pas interchangeables

Une seconde confusion frequente est le mapping des objectifs DO-326A vers les controles ISO/IEC 27001. Les deux cadres ont des vocabulaires et perimetres differents:

ISO 27001 est une norme de systeme de management organisationnel: elle certifie qu'une organisation gere la securite de l'information au niveau systeme de management, avec des controles bases sur le risque appliques a l'echelle de l'entreprise.
DO-326A est un processus produit / aeronef de cybersecurite navigabilite: il produit des preuves sur un type design specifique, avec des mesures de securite implementees dans le systeme embarque lui-meme.

Un fournisseur titulaire d'une certification ISO 27001 sur son IT corporate ne satisfait pas les objectifs DO-326A sur un programme aeronef specifique. Inversement, la conformite DO-326A sur un programme ne dit rien sur la posture securite entreprise du fournisseur. Les deux peuvent coexister (et le font souvent) mais ne se substituent pas.

Pour les baselines cybersecurite entreprise cote IT corporate, voir CMMC et UK Cyber Essentials.

Integration programme: quoi faire et quand

Jalon	Activite securite	Sortie
Concept	Identification preliminaire des menaces, definition du perimetre securite	Entree pour allocation ARP4754A
PDR (Preliminary Design Review)	Premiere version du PSecAC, TARA preliminaire, SecRA preliminaire	PSecAC v1, SecRA preliminaire
CDR (Critical Design Review)	PSecAC finalise, architecture securite figee, mesures de securite allouees	PSecAC final, Security Architecture Document
TRR (Test Readiness Review)	SecVer Plan execute, preuves collectees	SecVer Reports
Certification	Security Compliance Summary soumis avec le dossier de certification de type	Security Compliance Summary
Entree en service	Basculement vers le regime de maintien de navigabilite ED-204A	In-Service Security Plan actif
Mise a jour post-EIS	Rafraichissement de TARA apres tout changement affectant la surface d'attaque	SecRA mise a jour, SecVer Reports mis a jour si necessaire

Le PSecAC manquant au CDR est le constat le plus cite dans les premieres revues de cybersecurite navigabilite, parce que le document est l'interface contractuelle qui definit le processus a suivre. Sans lui, aucune preuve aval ne peut etre evaluee.

Pieges frequents

Piege	Consequence
Traiter la cybersecurite comme un ajout apres que l'architecture safety est figee	Re-architecture tardive, decisions de partitionnement invalidees, glissement du programme
PSecAC manquant au CDR	Constat de l'autorite, processus securite indefini, preuves aval non evaluables
Confondre DO-326A (navigabilite) et DO-355A / ED-204A (maintien de navigabilite)	Processus de patching en service manquant ou sous-dimensionne
Mapper les objectifs DO-326A un pour un sur les controles ISO 27001	Decalage de vocabulaire, lacunes dans la couverture navigabilite
Pas de rafraichissement de TARA apres mise a jour logicielle ou changement fournisseur	SecRA obsolete, risque residuel sous-estime, constat en surveillance
Pas de plan SOC ni d'interface pour le maintien de navigabilite ED-204A	Vulnerabilite en service non triable ni reponse possible
Confondre les niveaux de capacite attaquant avec les DAL safety	Mesures de securite surdimensionnees ou sous-dimensionnees par rapport a la menace reelle
Sequencer la verification securite apres la verification safety	Environnements de test contradictoires, effort duplique, decouverte tardive de conflits architecturaux
Ignorer l'applicabilite par defaut de CS 25.1319 apres aout 2024	Depot sans livrables securite, base de certification rejetee
Traiter cybersecurite sol et embarque comme un seul jeu documentaire	Perimetre DO-392 / ED-205A manque pour les systemes sol ATM/ANS

Pour aller plus loin

DO-178C et DO-254, logiciel et materiel embarques: les pipelines cote safety auxquels DO-326A s'interface au niveau systeme
Gestion des risques, ISO 14971, IEC 31010, FMEA, FTA: les familles plus larges d'evaluation des risques
CMMC et UK Cyber Essentials: baselines cybersecurite entreprise, distinctes de la cybersecurite navigabilite produit
Glossaire: definitions de PSecAC, SecRA, TARA, ED-202A, ED-203A, ED-204A, CRI

Voir aussi

Sources & références

RTCA DO-326A, Airworthiness Security Process Specification (2014) , RTCA www.rtca.org/
EUROCAE ED-202A, Airworthiness Security Process Specification (2014, equivalent europeen de DO-326A) , EUROCAE www.eurocae.net/
RTCA DO-356A / EUROCAE ED-203A, Airworthiness Security Methods and Considerations (2018) , RTCA / EUROCAE www.rtca.org/
EUROCAE ED-204A, Information Security Guidance for Continuing Airworthiness (revise 2022) , EUROCAE www.eurocae.net/
EASA Certification Specifications CS-25, Amendement 25/29 (CS 25.1319, aout 2024) , EASA www.easa.europa.eu/en/document-library/certification-specifications
FAA 14 CFR Part 25, Airworthiness Standards for Transport Category Airplanes , Federal Aviation Administration www.ecfr.gov/current/title-14/chapter-I/subchapter-C/part-25
SAE ARP4761A, Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems (2023) , SAE International www.sae.org/standards/content/arp4761a/