Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Panne du système ETFMS (planification du contrôle aérien) - commentaire de Ian Aitchison, Senior Product Director – ITSM, Ivanti

avril 2018 par Ian Aitchison, Senior Product Director – ITSM, Ivanti

Contrairement à la panne de British Airways en 2017, on n’est pas forcément en présence d’un scénario de type « quelqu’un l’a éteint par erreur ». Les informations qui ont pour l’instant été communiquées évoquent une « panne système » qui aurait provoqué la défaillance du principal système mondial de planification du contrôle aérien. Ce qui signifie qu’il est, d’une façon ou d’une autre, tombé en panne ou devenu inutilisable, et qu’il est impossible de le redémarrer en toute sécurité. Espérons que cela est dû à des causes naturelles et accidentelles, pas à une attaque ciblée et délibérée.

En fait, cette panne pourrait ne pas être importante. Oui, le système ETFMS (Enhanced Tactical Flow Management System) est un système vital qui garantit que les avions sont correctement positionnés dans des créneaux horaires très limités, sans aucun risque ni danger. Mais il s’agit seulement d’une section automatisée du processus global : la technologie d’automatisation prend des décisions pour agir plus rapidement, sans attendre les humains, plus lents. Ce n’est pas nouveau : l’automatisation fait fonctionner nos vies. Comme cet outil est réellement essentiel au bon déroulement de tous les vols, il existe sûrement un système de sauvegarde/basculement de secours pour passer de façon transparente à un autre système en miroir, en cas de panne du système actif. De plus, il doit également exister un système manuel « de dernier recours », probablement à base de petites fiches portant des noms de vol manuscrits, rangées dans des casiers en plastique.

Mais l’important, dans la situation dont nous parlons, c’est qu’apparemment le système de secours n’a pas fonctionné. Soit l’action de basculement de système1 à système2 n’avait pas été testée et validée depuis longtemps, soit la succession des données et des événements a rendu le basculement impossible. Et cela signifie que l’équipe Opérations IT chargée du système ETFMS a échoué (elle n’a pas testé les processus vitaux de gestion de la continuité) ou bien que la gamme d’événements susceptibles de provoquer un basculement réussi n’incluait pas cette « panne système ».

En bref : soit « zut, on n’a pas fait de test ces derniers temps », soit « zut, on n’avait pas prévu ce cas de figure ».

Dans les deux cas, c’est une mauvaise nouvelle (et une bonne). Mauvaise, parce que cela met en évidence les erreurs de planification commises, mais bonne parce que cela nous rappelle que notre univers dépend entièrement de technologies automatisées très rapides et que la gestion de la continuité (récupération après sinistre et/ou basculement) est toujours plus incroyablement et indubitablement importante.

Pour les professionnels de l’IT, les principales leçons sont les suivantes :
1 – L’automatisation est partout.
2 – Les dispositifs de basculement/continuité sont indispensables dans tous les systèmes où la productivité et la sécurité sont importantes.
3 – Les plans de basculement/continuité sont inutiles s’ils ne sont pas testés régulièrement en tenant compte d’une très grande variété de situations différentes.
4 – Il faut toujours avoir un système manuel. Lorsque la sécurité est en jeu, c’est bien de travailler vite, mais un système lent vaut mieux que pas de système du tout !




Voir les articles précédents

    

Voir les articles suivants