Victime d’une panne le 3 avril, le principal système mondial de planification du contrôle aérien (ETFMS ou Enhanced Tactical Flow Management System) est reparti. Pour Eurocontrol, l’organisation européenne pour la sécurité de la navigation aérienne, ce n’est pas une cyberattaque, mais un problème technique lié à un test.
L’organisation européenne pour la sécurité de la navigation aérienne a été victime le 3 avril d’une panne du système ETFMS ou Enhanced Tactical Flow Management System, qui gère jusqu’à 36 000 vols par jour. L’incident a officiellement pris fin le 4 avril à 18h00 UTC, avec un retour à la normale suite à des “tests internes intensifs et en coopération avec les compagnies aériennes, les aéroports et les organismes du contrôle aérien en Europe et au-delà”. Eurocontrol mène dorénavant l’enquête. “Actuellement, nous menons une enquête complète sur la panne”, indique-il dans un communiqué “afin d’identifier toutes les améliorations nécessaires et de les mettre en œuvre.” Eurocontrol indique que l’événement déclencheur de la panne “a été identifié et des mesures ont été mises en place pour éviter toute récurrence”. Il s’agit d’un lien “incorrect” entre le “test d’une nouvelle version du logiciel” et le “système d’exploitation en direct” qui “a conduit à la suppression de tous les plans de vol actuels sur le système en direct”. avant d’ajouter “Nous sommes convaincus qu’il n’y a pas eu d’interférence extérieure”. Eurocontrol écarte donc l’hypothèse d’une cyberattaque.
Des erreurs de planification ?
“Les informations qui ont pour l’instant été communiquées évoquent une « panne système » qui aurait provoqué la défaillance du principal système mondial de planification du contrôle aérien. Ce qui signifie qu’il est, d’une façon ou d’une autre, tombé en panne ou devenu inutilisable, et qu’il est impossible de le redémarrer en toute sécurité”, évoque Ian Aitchison, Senior Product Director ITSM chez Ivanti. Pour lui, “il existe sûrement un système de sauvegarde/basculement de secours pour passer de façon transparente à un autre système en miroir, en cas de panne du système actif. De plus, il doit également exister un système manuel « de dernier recours », probablement à base de petites fiches portant des noms de vol manuscrits, rangées dans des casiers en plastique.” Or apparemment “le système de secours n’a pas fonctionné”. “Soit l’action de basculement de système1 à système2 n’avait pas été testée et validée depuis longtemps, soit la succession des données et des événements a rendu le basculement impossible. Et cela signifie que l’équipe Opérations IT chargée du système ETFMS a échoué (elle n’a pas testé les processus vitaux de gestion de la continuité) ou bien que la gamme d’événements susceptibles de provoquer un basculement réussi n’incluait pas cette « panne système ».” Cela met en évidence selon lui les erreurs de planification commises.