Un audit fédéral accablant a mis au jour de graves défaillances en cybersécurité au cœur des infrastructures aéronautiques américaines, révélant que la Federal Aviation Administration a laissé des dizaines de ses systèmes les plus critiques pour la sécurité dangereusement sous-protégés, faisant peser la menace d'une cyberattaque catastrophique sur le ciel du pays.

Le Bureau de l'Inspecteur général (OIG) du Department of Transportation a publié les conclusions au début du mois, à la suite d'un examen mené entre octobre 2024 et janvier 2026. L'audit a évalué l'ensemble des 45 systèmes informatiques à fort impact de la FAA au sein du National Airspace System (NAS), colonne vertébrale de l'aviation civile américaine, incluant les tours de contrôle, la navigation, les communications et les infrastructures aéroportuaires. Il s'agit de systèmes que le National Institute of Standards and Technology (NIST) classe comme présentant un risque sévère ou catastrophique en cas de compromission.

Les conclusions du rapport sont alarmantes.

{{AD}}

Le rapport de l'OIG indique que 15 des 45 systèmes de la FAA sont encore alignés sur des normes NIST obsolètes, et que la FAA n'avait pas pleinement mis en œuvre 1,836 des 16,245 contrôles de sécurité requis, 11.3 percent du total. Ces contrôles obligatoires couvrent les tests d'intrusion, la protection de la chaîne d'approvisionnement et la gestion des accès, les mécanismes mêmes destinés à tenir les acteurs hostiles à l'écart.

L'OIG a constaté que tous les systèmes soutenant l'automatisation, les communications, la navigation et les services météorologiques présentaient des vulnérabilités qui n'étaient pas signalées, suivies ni atténuées dans le système départemental, tandis que 14 des 17 systèmes de surveillance avaient le même problème. 

Pour aggraver les choses, la FAA a contourné entièrement l'infrastructure officielle de suivi de la cybersécurité du gouvernement. Plutôt que d'utiliser le système principal d'évaluation et de gestion de la cybersécurité du département, la FAA a utilisé un outil de suivi interne pour documenter et gérer les vulnérabilités, transférant manuellement les données dans le système fédéral, ce qui a entraîné des retards de signalement. L'OIG a été sans équivoque sur ce que cela signifie :

« La FAA ne fournit pas de transparence au reste du DOT. Le manque de transparence augmente le risque que la FAA et le Département ne soient pas en mesure d'identifier des menaces et des vulnérabilités communes ou d'assurer un suivi et un rapport complets des faiblesses informatiques. » 

L'audit a également révélé que la propre documentation de la FAA ne peut pas être considérée comme fiable. Les auditeurs ont indiqué que certains contrôles étaient signalés comme mis en œuvre alors même qu'ils ne satisfaisaient pas aux exigences, laissant les responsables sans informations fiables sur le fonctionnement effectif des mesures de protection. 

Les enjeux ne pourraient guère être plus élevés. En janvier 2023, un fichier de base de données corrompu dans le système Notice to Air Missions (NOTAM) a déclenché le premier arrêt au sol national depuis le 11 septembre 2001, retardant près de 10,000 vols. Bien que cette panne ait été causée par une erreur d'un sous-traitant plutôt que par une cyberattaque, l'audit montre clairement qu'une intrusion délibérée exploitant les lacunes documentées pourrait produire des conséquences d'égale ou de plus grande ampleur. 

{{REC}}

Ce n'est pas la première fois que l'OIG sonne l'alarme. Un audit de l'OIG en 2021 avait d'abord constaté que la FAA ne respectait pas les normes de sécurité NIST après avoir requalifié le NAS comme un système à fort impact. Une enquête distincte du Government Accountability Office en 2024 a estimé que 105 des 138 systèmes de contrôle du trafic aérien de la FAA étaient « insoutenables ». La tendance est claire, et la réponse a constamment été insuffisante.

La FAA a déclaré que les lacunes de gouvernance découlent de limitations de financement, de contraintes techniques et de complexités opérationnelles, notant que bon nombre de ses systèmes existants nécessiteraient des modifications techniques importantes ou des acquisitions entièrement nouvelles, entraînant des dépassements de coûts et des retards de calendrier. Pour les critiques, cette explication sonne creux au regard de l'ampleur du risque en jeu.

Sans correctifs, a averti l'OIG, « la FAA ne peut garantir que les mesures de protection requises sont en place pour protéger les systèmes d'une compromission, ce qui pourrait avoir un impact sévère sur le NAS et sur le public voyageur. » 

La FAA, pour sa part, a accepté sa responsabilité. « Sur la base de notre examen du projet de rapport, nous concourons avec les quatre recommandations telles qu'elles sont rédigées et prévoyons de les mettre en œuvre intégralement d'ici le 31 décembre 2026, » a déclaré la FAA en réponse à l'audit. 

Le Congrès s'est montré actif sur la question. Par le FAA Reauthorization Act of 2024, promulgué en mai 2024, le Congrès a accordé à la FAA l'autorité exclusive d'édicter des règles en matière de cybersécurité aérienne et a demandé à l'agence d'établir des processus de gestion des menaces cybernétiques pour le NAS. La FAA a depuis publié une enquête de marché sur la cybersécurité en mars 2026 pour identifier des fournisseurs susceptibles d'aider à moderniser la sécurité du NAS, dans le cadre de son engagement plus large de livrer un nouveau système de contrôle du trafic aérien d'ici la fin 2028. 

{{AD}}

Parmi les engagements les plus prospectifs de l'agence, la FAA prévoit également de migrer l'infrastructure de ses systèmes NAS, ATC et informatiques vers la cryptographie post-quantique, un concept centré sur la mitigation des attaques de futurs ordinateurs quantiques en adoptant de nouvelles méthodes de chiffrement. L'agence a formulé ce passage de manière nette dans sa propre demande de marché :

« Sans une sécurité résistante au quantique et crypto-agile, le NAS ne peut atteindre la fiabilité, les performances ni le leadership international requis dans les décennies à venir. »

La question centrale demeure de savoir si ces ambitions pourront être réalisées avant qu'un acteur malveillant n'exploite ce que l'OIG a déjà documenté, et pour les millions de passagers qui prennent chaque jour le ciel américain, cette question reste inconfortablement ouverte.