C’est en 2000, que Dominique Mineo a eu l’idée de modéliser les données de vol afin de les rendre plus compréhensibles et accessibles en créant la société CEFA Aviation. « Si l’on parle souvent de ces informations suite à un accident, on sait moins que les enregistrements des boîtes noires sont aussi utilisés de façon continue par les compagnies aériennes afin d’améliorer la sécurité des vols, assurer la maintenance des appareils ou encore renforcer la formation des pilotes dans un but d’amélioration de la sécurité des vols » explique Dominique Mineo. Depuis 20 ans, nous sommes spécialisés dans l’animation des données de vol. C’est à partir des informations techniques enregistrées dans la boîte noire que nous produisons des séquences d’actions, des animations, des vidéos reconstituant les vols de manière fidèle. Il est dès lors possible de revivre le vol virtuellement reconstitué et enrichi d’éléments de réalité virtuelle comme une vue des instruments du cockpit par exemple, pour passer en revue tous les événements qui l’ont jalonné. »
Le vol reconstitué et disponible sur tablette dès l’atterrissage
Fort de l’expertise accumulée, CEFA Aviation lance en 2017 une innovation de rupture qui va révolutionner le débriefing après vol. Cette solution offre aux personnels un outil d’expertise unique de préparation de vol et de debriefing. Ainsi, elle permet à chaque pilote d’analyser la totalité des paramètres de son vol quelques minutes après l’atterrissage à partir d’une simple tablette afin de s’auto-analyser objectivement et de pouvoir travailler les phases de son pilotage et des circonstances de vol. Ce qui leur permet de progresser plus rapidement, ou encore de partager leur propre expérience avec des pilotes moins expérimentés.
Cette dernière avancée possible par l’utilisation du cloud nécessite une protection ad hoc des données traitées par CEFA Aviation. Dans ce contexte, l’entreprise a donc décidé d’engager un processus de certification ISO 27001, norme internationale relative à la sécurité des systèmes d'information. Elle est accompagnée dans sa démarche par EBRC, acteur emblématique européen qui depuis 2000 a fait de la gestion de l’information sensible, de la sécurité des systèmes d’information et de la cyber-résilience sa mission. « Les données des boîtes noires peuvent en effet constituer une information sensible qui, en tombant dans de mauvaises mains, pourrait être utilisée pour nuire à la réputation d’une compagnie aérienne par exemple », explique Dominique Mineo.
Sécuriser chaque maillon de la chaîne
CEFA Aviation a pris conscience de l’enjeu. « Au cœur de la chaîne de sécurisation de l’information, il ne peut pas y avoir de maillon faible. Nous devons donc être en mesure d’apporter à nos clients les garanties d’une parfaite protection de leurs données. Avec une certification s’appuyant sur un référentiel international idéal pour une entreprise dont les clients sont répartis aux quatre coins du monde, nos interlocuteurs disposent d’une garantie probante, du sérieux et de la fiabilité de leur partenaire à qui elles confient leurs informations. Cela contribue fortement et simplement à établir un cadre de confiance qui simplifie et accélère les échanges au scellement des partenariats de service que nous établissons », assure Dominique Mineo.
La mise en œuvre d’une certification ISO 27001 implique pour l’entreprise de s’inscrire dans une démarche d’amélioration continue en matière de sécurisation des systèmes d’information et de traitement des données. Le référentiel, dans un premier temps, a permis à CEFA d’évaluer son niveau de maturité par rapport à l’ensemble des bonnes pratiques à mettre en place. Au-delà, il s’agit de formaliser les procédures garantissant la sécurité de l’information et des traitements et d’établir des points de contrôles qui pourront être régulièrement audités.
Amélioration continue de la sécurité
Dans sa volonté d’améliorer sa résilience, CEFA Aviation a aussi fait appel à EBRC en externalisant la fonction de Responsable de la Sécurité des Systèmes d'Information (RSSI). « CEFA Aviation souhaitait rapidement mettre en place la norme IS0 27001 et obtenir la certification sans impacter le développement de ses produits, explique Jean-Bernard Yata, Senior Consultant - CyberSecurity - Business Continuity - IS Strategist au sein d’EBRC. « CEFA a donc décidé de s’appuyer sur l’expérience et l’expertise d’EBRC. En effet EBRC (European Business Reliance Centre) est lui-même certifié ISO 27001 et ISO 22301 (entre autres) ce qui nous permet de partager un retour d’expérience factuel avec nos clients : « nous recommandons à nos clients ce que nous nous appliquons à nous-mêmes ». Le processus de certification couvre l’ensemble des fonctions de l’entreprise : les processus RH, avec l’établissement de chartes ou de documents établissant les responsabilités dans l’usage des données, la gouvernance, les aspects légaux et juridiques, ainsi que la refonte et le design sécurité de l’infrastructure informatique. »