Aéroport de Paris - Document de référence 2018

FACTEURS DE RISQUES 04 FACTEURS DE RISQUES

Risques liés à la sécurité aéroportuaire

IDENTIFICATION DU RISQUE

SUIVI ET GESTION DU RISQUE

En tant qu’exploitant d’aéroports, le Groupe ADP assure la sécurité aéroportuaire (notamment la maintenance, l’exploitation, l’aménagement, la surveillance…) des plates-formes dont il a la responsabilité. En France et en Union européenne, le groupe détient un certificat de sécurité aéroportuaire pour chacune de ses plates-formes. Depuis 2017, les certificats nationaux détenus par les Aéroports de Paris-Charles de Gaulle, Paris-Orly et Paris- Le Bourget ont été convertis en certificat européen de sécurité aéroportuaire 1 . Par ailleurs, en application des engagements pris dans le cadre de la certification européenne, un Compliance Monitoring Manager a été désigné au sein de la Direction des opérations aéroportuaires. Pour l’ensemble des plates-formes qui lui sont concédées dans des États tiers à l’Union européenne, le Groupe ADP met en place les meilleures pratiques, conformes aux standards internationaux de l’OACI.

La sécurité de l’aviation civile est une priorité du secteur du transport aérien. Les standards de sécurité sont établis à l’échelle mondiale sous l’égide de l’Organisation de l’aviation civile internationale (OACI). Ces mesures constituent les normes et pratiques recommandées de l’OACI que les États signataires de la convention de Chicago du 7 décembre 1944, s’engagent à mettre en œuvre. N’étant pas directement applicables, seule leur transposition dans le droit national des États leur confère une valeur réglementaire. Pour les aéroports situés dans l’Union européenne, le cadre juridique applicable est fixé par le droit communautaire et les règles de l’Agence européenne de la sécurité aérienne (AESA) qui reprend les normes et pratiques recommandées de l’OACI. Ces bases permettent l’établissement du certificat de sécurité aéroportuaire conformément aux dispositions du règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018. Pour les aéroports situés dans des États tiers à l’Union européenne, le Groupe ADP se soumet au processus de certification en vigueur localement. Le non-respect de ces normes est susceptible de mettre en cause la sécurité du transport aérien, d’empêcher l’exploitation des aéroports et d’engager la responsabilité du groupe. En outre, ces normes pourraient être renforcées mettant à la charge du Groupe ADP des obligations supplémentaires.

Risques management organisation Risques liés à la protection de l’information et à la cyber sécurité

IDENTIFICATION DU RISQUE

SUIVI ET GESTION DU RISQUE

Au regard des enjeux évoqués, les dispositifs de protection des informations et des systèmes d’information du groupe s’appuient sur : ® des politiques groupe relatives à la protection de l’information, à la protection des données personnelles et à la sécurité des systèmes d’information, chacune contribuant à la sécurité de l’information du Groupe ADP ; ® des organisations et des gouvernances dédiées avec notamment : ® un comité stratégique de la sécurité des systèmes d’information (C3SI) qui définit les orientations stratégiques en matière de Sécurité SI, ® un comité opérationnel de la sécurité des systèmes d’information (COSSI) qui valide les mesures à mettre en œuvre conformément aux orientations stratégiques SSI, ® un Responsable Sécurité Systèmes d’Information (RSSI) groupe qui coordonne ces instances : il représente également le groupe auprès des instances externes, ® un réseau de correspondants SSI dans chacune des entités du groupe. Le contexte évoqué a conduit le Groupe ADP à engager un certain nombre d’actions, dont notamment : ® un plan de sensibilisation majeur à destination des personnels du groupe, appelé Vigie Info ; ® un plan de mise en conformité du groupe au RGPD ayant conduit notamment à la nomination de Délégués à la protection des données (DPD) pour Aéroports de Paris et ses principales filiales 2 en 2018 ; ® un diagnostic de conformité aux obligations règlementaires de ses systèmes d’information critiques et la mise en œuvre des éventuelles actions correctives.

La protection de l’information et des systèmes d’information constitue un enjeu majeur pour le Groupe ADP. En effet, les risques de fuites ou d’altération d’information par négligence, acte de malveillance, ou encore d’intrusion des systèmes d’information peuvent avoir, s’ils se réalisent, un impact très important sur l’image, la notoriété, la robustesse opérationnelle et la performance du groupe. Les cyberattaques mondiales de forte ampleur de plus en plus fréquentes et sophistiquées, associées à la digitalisation croissante des activités du groupe et à une ouverture du système d’information à l’écosystème aéroportuaire, sont de nature à exposer à des risques accrus. Par ailleurs, les nouvelles obligations réglementaires, avec notamment l’entrée en vigueur en mai 2018 du nouveau règlement européen sur la protection des données (RGPD), ont amené le Groupe ADP à déployer des plans de mise en conformité.

1 Cf. règlement communautaire n° 139/2014 du 12 février 2014.

2 Hub One, ADP International, ADP Ingénierie.

26

AÉROPORTS DE PARIS ® DOCUMENT DE RÉFÉRENCE 2018