À mesure que les opérations de drones s’intègrent de plus en plus dans des secteurs critiques tels que la sécurité publique, l’inspection des infrastructures, la logistique et la gestion des villes intelligentes, la cybersécurité et la résilience opérationnelle n’ont jamais été aussi importantes. La directive NIS 2 de l’Union européenne (UE 2022/2555), entrée en vigueur en janvier 2023 et devant être transposée dans le droit national d’ici le 17 octobre 2024, marque une évolution majeure de l’approche européenne du risque numérique et physique dans les secteurs essentiels et importants.

Dans cet article, nous explorons ce qu’est NIS 2, à qui elle s’applique, comment elle impacte les opérateurs de drones et les écosystèmes UAS, et comment AirHub soutient la conformité grâce à nos services de conseil et à notre plateforme logicielle.

Qu’est-ce que la directive NIS 2 ?

La directive NIS 2 est la suite de la directive initiale sur la sécurité des réseaux et de l’information (NIS), adoptée en 2016. Elle fixe des exigences de base en matière de cybersécurité et de résilience opérationnelle pour les entités essentielles et importantes dans toute l’UE, en élargissant le champ d’application et les mécanismes d’application par rapport à son prédécesseur.

Les principaux objectifs comprennent :

• Améliorer la cyberrésilience des infrastructures critiques et des services numériques

• Renforcer le signalement et la réponse aux incidents

• Mettre en place une gouvernance, une supervision et des sanctions plus strictes en cas de non-conformité

• Garantir la sécurité de la chaîne d’approvisionnement et des tiers

Qui doit se conformer ?

La directive s’applique à deux grandes catégories d’entités dans un large éventail de secteurs :

• Entités essentielles : notamment l’énergie, les transports, la santé, l’eau potable, les eaux usées, les infrastructures numériques, l’administration publique et l’espace.

• Entités importantes : notamment les services postaux et de messagerie, la gestion des déchets, les produits chimiques, la production alimentaire et les fabricants de produits critiques.

Les organisations publiques et privées peuvent toutes deux relever de la directive, selon leur taille et leur secteur.

Pour les opérateurs de drones et leur écosystème, cela signifie :

• Les agences publiques exploitant des drones pour les missions de maintien de l’ordre, de lutte contre les incendies, de contrôle des frontières et d’inspection des infrastructures seront probablement classées comme entités essentielles.

• Les entreprises privées impliquées dans l’inspection d’infrastructures critiques, la logistique ou les plateformes logicielles pour drones peuvent être considérées comme des entités importantes.

Le seuil concerne généralement les organisations de taille moyenne et grande (50 employés ou plus ou chiffre d’affaires supérieur à 10 M€), mais les micro et petites entreprises peuvent également relever de NIS2 si elles fournissent des services jugés essentiels ou si elles sont des fournisseurs technologiques clés.

Quel est l’impact de NIS 2 sur les opérations de drones ?

NIS 2 ne concerne pas seulement la sécurité informatique ; elle couvre tous les systèmes essentiels à la continuité du service, y compris les systèmes d’aéronefs sans équipage (UAS), les liaisons de communication, les services cloud, les logiciels de contrôle au sol et le stockage des données.

Pour les opérateurs de drones, NIS 2 introduit des exigences telles que :

1. Mesures de gestion des risques

• Liaisons de commande et de contrôle sécurisées (par exemple C2 chiffré via 4G/5G ou RF)

• Contrôle des accès pour les logiciels de drones et les pilotes à distance

• Sécurité physique des stations d’accueil pour drones ou des GCS

• Vérifications de la chaîne d’approvisionnement pour le matériel et les logiciels tiers

2. Gestion des incidents

• Capacité à détecter et signaler les incidents de sécurité (par exemple, violations de données, prise de contrôle de drones)

• Registres et pistes d’audit pour les missions de drones et les accès

3. Continuité d’activité et gestion de crise

• Sauvegarde des données opérationnelles (par exemple, journaux de vol, dossiers de maintenance)

• Protocoles d’urgence en cas d’attaques cyber ou physiques sur l’infrastructure des drones

4. Sécurité dans la chaîne d’approvisionnement

• Veiller à ce que les sous-traitants et les fournisseurs de plateformes respectent également les normes de cybersécurité

5. Gouvernance et supervision

• Nomination de responsables de la sécurité ou de DPO (délégués à la protection des données)

• Veiller à une formation et à une sensibilisation régulières du personnel et des opérateurs

Logiciel AirHub : conçu avec la sécurité dès la conception

Chez AirHub, nous comprenons à quel point la sécurité des données est essentielle à votre opération de drones. Notre plateforme est développée pour s’aligner sur NIS 2 et sur les exigences plus larges de la norme ISO 27001.

Principales fonctionnalités qui contribuent à la conformité continue :

• Certifié ISO 27001 : Notre système de management de la sécurité de l’information est certifié, avec des politiques robustes couvrant le contrôle des accès, le chiffrement, les sauvegardes et la réponse aux incidents.

• Mode Données Sécurisé : Bloque toutes les données sortantes sauf vers nos serveurs ou ceux explicitement choisis par nos clients, idéal pour les opérations à haute sécurité et souveraines.

• Single Sign-On (SSO) : Nous imposons l’authentification SSO afin de simplifier l’accès sécurisé entre les équipes, en permettant une gestion cohérente des identités et des accès sans dépendre des modèles traditionnels de contrôle d’accès basé sur les rôles.

• Journalisation des vols et pistes d’audit : Stocke automatiquement les données des missions, les listes de contrôle et les validations afin de soutenir la traçabilité et les enquêtes.

• Politiques de rétention des données personnalisées : Garantissent que les données ne sont conservées que pendant la durée nécessaire.

Pour les agences de sécurité publique, les sociétés de sécurité ou les utilisateurs d’infrastructures critiques, AirHub peut être déployé dans des environnements sur site ou de cloud privé afin de répondre aux politiques internes de résidence des données et de conformité.

Conseil AirHub : accompagner votre préparation à NIS 2

Pour de nombreuses organisations, la première étape consiste à comprendre comment la directive s’applique à vos opérations de drones et quelles mesures pratiques doivent être mises en place. Notre équipe de conseil fournit un accompagnement sur mesure comprenant :

• Évaluations de préparation à NIS 2 pour les opérations de drones publiques et privées

• Analyses des écarts basées sur les exigences ISO 27001 et NIS 2

• Élaboration de politiques de cybersécurité pour les opérations de drones (y compris les liaisons C2, les systèmes de maintenance, les logiciels)

• Gestion des risques liés aux tiers et évaluation des fournisseurs de matériel/logiciel pour drones

• Intégration aux plans existants de sécurité de l’information et de continuité d’activité

Nous accompagnons à la fois les opérateurs de drones autonomes et les équipes intégrées (par exemple, les ports, les forces de police, les unités d’inspection) dans la définition de la conformité et la mise en œuvre de contrôles réalistes, efficaces et alignés sur les meilleures pratiques de l’aviation.

Réflexions finales

À mesure que la technologie des drones mûrit et s’intègre dans les opérations essentielles, notre approche du risque, de la résilience et de la conformité doit elle aussi évoluer. La directive NIS 2 n’est pas seulement une obligation légale ; c’est aussi une opportunité de renforcer la confiance, de protéger les services critiques et de pérenniser les opérations de drones face aux menaces cyber et opérationnelles.

Que vous soyez une agence gouvernementale utilisant des drones pour la sécurité publique ou une entreprise privée gérant des inspections d’infrastructures, c’est le moment de vous assurer que votre organisation est prête pour NIS 2.

Si vous souhaitez obtenir de l’aide pour évaluer votre conformité ou découvrir comment la plateforme AirHub peut contribuer à satisfaire vos obligations en matière de cybersécurité, n’hésitez pas à nous contacter.

Besoin d’aide pour la conformité NIS 2 de vos opérations de drones ?
Contactez info@airhub.nl pour parler à nos experts.