La réglementation EASA Part-IS impose la MFA au secteur aéronautique de l’UE

Le secteur aéronautique européen est soumis à une pression croissante pour mettre en œuvre une authentification forte et une surveillance continue. Voici comment UserLock peut aider.

Publié le 23 décembre 2025
UserLock's MFA helps an Airbus Tier 1 supplier meet security requirements

En tant qu’élément clé des infrastructures critiques de l’UE, le secteur aéronautique est soumis à une pression croissante pour renforcer sa cybersécurité. Pour y répondre, l’Agence de la sécurité aérienne de l’Union européenne (EASA) a introduit la Part-IS, un ensemble obligatoire de réglementations en matière de cybersécurité, avec deux échéances de mise en œuvre : octobre 2025 et février 2026. Voici comment l’authentification multifacteur (MFA) de UserLock peut aider les organisations du secteur aéronautique.

Qu’est-ce que la Part-IS ?

L’EASA structure sa réglementation aéronautique en « Parts », le sigle « IS » faisant référence à la sécurité de l’information.

Bien que la Part-IS soit nouvelle, elle s’appuie sur des normes existantes telles que l’ISO 27001, la directive NIS2, ainsi que sur des cadres de cybersécurité issus du NIST et de l’EASA elle-même.

Pour les organisations du secteur aéronautique, la Part-IS représente un enjeu majeur. Il s’agit non seulement du premier ensemble de règles unifiées de l’UE spécifiquement dédiées à la cybersécurité aéronautique, mais aussi d’un cadre dont la conformité devrait devenir une condition pour faire des affaires avec des acteurs majeurs comme Airbus.

Pourquoi la Part-IS est importante

L’aviation moderne repose sur des systèmes numériques, qu’il s’agisse des logiciels de cockpit, du contrôle aérien ou de la maintenance. Mais les infrastructures aéronautiques sont complexes, composées de systèmes obsolètes et de chaînes d’approvisionnement longues et peu sécurisées. L’ensemble de ces facteurs fait du secteur une cible de grande valeur pour les attaquants.

Les menaces incluent les attaques par déni de service, l’usurpation de signaux de navigation, les compromissions logicielles de la chaîne d’approvisionnement et les ransomwares. Selon Thales, entre janvier 2024 et avril 2025, le secteur a subi au moins 27 attaques par ransomware.

  • 600 % d’attaques par ransomware en plus d’une année sur l’autre

  • 70 % des attaques exploitaient des faiblesses d’authentification

  • La vulnérabilité la plus exploitée était la compromission des identifiants

Le niveau de perturbation que ces attaques peuvent provoquer est immense.

Que demande la Part-IS aux organisations ?

S’inspirant de cadres de cybersécurité tels que le NIST, la réponse de la Part-IS aux faiblesses courantes qui rendent les ransomwares possibles n’est pas prescriptive. Plutôt que d’imposer des technologies spécifiques, elle exige que les organisations abordent la cybersécurité sous l’angle de la gestion des risques.

Mettre en œuvre une authentification forte et le principe du moindre privilège

Un thème récurrent est l’importance de maîtriser l’authentification. Il n’est donc pas surprenant que la Part-IS insiste sur la nécessité de l’authentification multifacteur (MFA), d’une gestion complète des mots de passe et de l’application du principe du moindre privilège à l’ensemble des utilisateurs.

Centraliser l’IAM

Les comptes à privilèges, régulièrement ciblés par les attaquants, constituent une autre préoccupation majeure. La Part-IS recommande de contrer ce risque en mettant en place une gestion centralisée des identités et des accès (IAM), avec une journalisation centralisée et une surveillance des accès.

Sécuriser l’accès des tiers

Étant donné que les entreprises du secteur aéronautique font souvent partie de chaînes d’approvisionnement complexes impliquant de nombreux partenaires et prestataires, la Part-IS souligne la nécessité de sécuriser soigneusement tout accès accordé à des tiers.

Pourquoi la mise en œuvre de la Part-IS est complexe

Il peut être tentant de penser que les organisations peuvent résoudre ces problématiques en migrant vers le cloud et en transférant une partie de la responsabilité de la sécurité aux fournisseurs de services.

Dans l’aviation, rien n’est plus éloigné de la réalité. La plupart des organisations continueront, par nécessité, à utiliser de nombreuses applications sur site et héritées, ce qui signifie qu’elles devront sécuriser des réseaux hybrides de plus en plus complexes pendant encore de nombreuses années.

De plus, certains fournisseurs peuvent être tenus, pour des raisons réglementaires, de conserver des données critiques et de la propriété intellectuelle sur site.

Comment UserLock aide les organisations à répondre à la Part-IS

UserLock a été conçu pour répondre à ces enjeux pour les organisations qui doivent conserver des applications et des données critiques sur site.

  • La principale fonction de UserLock est d’être une solution IAM permettant d’étendre les capacités de Windows Active Directory (AD) grâce à des politiques MFA flexibles et granulaires, sécurisant l’ensemble des utilisateurs.

    Cela offre un moyen simple de mettre en œuvre les contrôles d’authentification recommandés par la Part-IS dans un environnement sur site.

  • UserLock permet d’appliquer la MFA Active Directory à un large éventail de types de sessions, notamment la connexion Windows, le Bureau à distance (RDP, RD Gateway, RemoteApp), IIS, les VPN, la connexion Windows hors ligne, hors domaine, ainsi que les applications SaaS.

    La Part-IS exige que les organisations mettent en œuvre la MFA sur tous les types de connexions, à tout moment.

  • UserLock prend en charge les contrôles d'accès contextuels, incluant le rôle AD, l’emplacement ou l’adresse IP de la machine, l’heure et le type de connexion. Il permet également aux administrateurs de gérer les usages non sécurisés des connexions simultanées.

    L’accès contextuel permet aux organisations d’ajouter une couche supplémentaire de contrôle d’accès en complément de la MFA.

  • L’activité peut être surveillée en temps réel ainsi que via des audits rétrospectifs des connexions utilisateurs.

    La capacité d’analyser l’accès des utilisateurs dans le temps constitue un contrôle essentiel pour des cadres tels que la Part-IS.

Les contrôles d’accès UserLock aident à détecter les connexions suspectes, un élément critique pour identifier les attaques internes ou la compromission de mots de passe.

De nombreuses cyberattaques réussies reposent sur le détournement de comptes utilisateurs légitimes. Les détecter en temps réel est essentiel pour empêcher une compromission plus large.

Parce que UserLock repose sur la sécurité du domaine AD, les organisations peuvent commencer à l’utiliser simplement, sans avoir à créer de nouvelles politiques à partir de zéro.

Les réseaux sont déjà suffisamment complexes. UserLock est simple à déployer et fonctionne à partir d’un seul serveur, évitant ainsi une gestion lourde et chronophage.

Part-IS : une évolution indispensable

Pour le secteur aéronautique de l’UE, la Part-IS représente un changement majeur des attentes, affectant toute organisation souhaitant travailler avec de grandes multinationales telles qu’Airbus.

Par le passé, le secteur devait se contenter de recommandations issues de différents cadres et réglementations, appliquées de manière plus ou moins interprétative. La Part-IS rend ces exigences beaucoup plus explicites et apporte une clarté bienvenue.

Au cœur de cette évolution se trouve l’obligation de porter une attention particulière à l’authentification et de considérer ses faiblesses comme des risques métier plutôt que comme de simples contraintes techniques.

Cependant, dans les réseaux hybrides mêlant sur site et cloud, la gestion de l’authentification pose des défis spécifiques. Les infrastructures sensibles qui gouvernent l’authentification doivent rester sur site pour des raisons de sécurité, de souveraineté des données et de conformité réglementaire.

  • Le problème est que l’application de technologies telles que la MFA et la gestion des privilèges dans ces environnements nécessite souvent des middlewares complexes, coûteux et difficiles à administrer.

  • UserLock, à l’inverse, offre aux organisations un chemin plus simple vers une meilleure sécurité, en intégrant des fonctionnalités avancées telles que la MFA, le contrôle des comptes utilisateurs, la gestion des privilèges et l’authentification unique (SSO) au sein d’un système unifié. Surtout, il constitue une voie plus simple vers la conformité à la Part-IS.

Lorsque la sécurité est coûteuse et complexe, il existe toujours un risque qu’elle ne soit pas mise en œuvre assez rapidement. Plutôt que de migrer vers une nouvelle plateforme d’authentification, les organisations peuvent continuer à utiliser l’infrastructure AD et les politiques qu’elles ont déjà en place.

XFacebookLinkedIn
francois-amigorena-headshot

François Amigorena

fondateur et PDG, IS Decisions

François Amigorena est le fondateur et PDG d’IS Decisions, une société de logiciels internationale spécialisée dans la gestion des accès et l’authentification multifacteur (MFA) pour Microsoft Windows et Active Directory. Il publie régulièrement des articles sur des sujets tels que l’architecture Zero Trust, les menaces internes, les politiques de mots de passe et la sensibilisation des utilisateurs à la sécurité.