Mercredi dernier, aucun avion n’a pu survoler la Suisse pendant plusieurs heures. «Clear the sky!», a-t-on pu entendre résonner partout dans la centrale de sécurité aérienne. À cause d’une panne de Skyguide, une centaine de vols ont dû être détournés, voire annulés, ou ont décollé avec du retard. C’était le chaos dans les aéroports suisses, où des milliers de passagers sont restés bloqués pendant des heures.
L’élément déclencheur? Un bug du commutateur de réseau, un composant matériel fondamental. Sauf que les commutateurs de secours n’ont pas pris la relève. Skyguide ne sait toujours pas pourquoi le système n’a pas fonctionné.
Les redondances assurent la sécurité
Un réseau moderne est considéré comme solide lorsqu’il présente des redondances, c’est-à-dire des composants techniques en plusieurs exemplaires. Lors d’un fonctionnement normal, les unités «superflues» sont destinées à remplacer les composants défaillants. Les commutateurs du réseau doivent être reliés non seulement aux ordinateurs, mais aussi entre eux. Ces éléments fondamentaux sont conçus de manière à détecter les pannes d’un autre composant et pouvoir prendre le relais de la pièce défectueuse.
Pour éviter que plusieurs appareils ne présentent les mêmes défauts, les produits de différents fabricants sont utilisés. Il est également possible d’ajouter des systèmes de contrôle qui vérifient en permanence les applications du réseau. Mais ces précautions ont un coût. «Plus la redondance d’un système est élevée, plus les coûts des composants, de la maintenance et de l’entretien le sont aussi», explique Laurent Vanbever, professeur associé en systèmes connectés à l’École polytechnique fédérale de Zurich (EPFZ).
Première erreur dans le système depuis cinq ans
Revenons au cas particulier de la panne de mercredi dernier. Le commutateur de réseau défectueux de Skyguide avait trois commutateurs de secours. L’un d’entre eux avait envoyé un avertissement la veille au soir, révèle Klaus Meier, le Chief Information Officer de Skyguide, à Blick. «Mais ce n’était pas inquiétant, commente-t-il, car les deux autres interrupteurs fonctionnaient normalement.» Or, à la suite d’un deuxième message d’erreur envoyé le lendemain matin, le flux de données s’est subitement arrêté sans être redirigé vers l’un des commutateurs de secours. Même si ceux-ci fonctionnaient sans problème.
Le système s’est alors effondré. «Nous ne comprenons pas, poursuit Klaus Meier. Les appareils fonctionnent ensemble depuis cinq ans et il n’y a jamais eu d’erreur!» Tous les commutateurs de réseau sont du même fabricant. On recherche la cause à plein régime, souligne le formateur en chef. «Dans de nombreux cas, nous utilisons différents fournisseurs afin d’augmenter la redondance, éclaire-t-il. Les commutateurs de réseau sont certes indispensables dans leur fonction, mais leur construction est relativement simple. Les composants ne diffèrent donc pas beaucoup d’un fabricant à l’autre.»
Pour le reste du réseau, on veille davantage à répartir les risques. L’entreprise opère avec trois lignes totalement indépendantes physiquement les unes des autres, qui relient les centrales de Genève et de Dübendorf (ZH). Pour la transmission des informations, on mise sur différentes technologies – du double réseau IP pour les données numériques au réseau analogique de secours.
Dernier contrôle de sécurité en avril
L’Office fédéral de l’aviation civile (OFAC) contrôle régulièrement la sécurité des systèmes informatiques de Skyguide. Le dernier examen a eu lieu en avril, assure à Blick l’autorité compétente. «Les systèmes informatiques des services de la navigation aérienne Skyguide satisfont aux normes internationales et nationales, ainsi qu’aux exigences réglementaires», affirme-t-elle par écrit.
Le fait qu’il puisse malgré tout toujours y avoir des pannes s’explique par la grande complexité des réseaux modernes, appuie Laurent Vanbever. «Le système le plus redondant peut connaître une interruption. Cela ne peut pas être évité.» La priorité reste pour l'instant que Skyguide trouve la cause de cet arrêt soudain et puisse l’éviter à l’avenir grâce à des systèmes de contrôle appropriés.
La société travaille dans un domaine extrêmement délicat. Certains enjeux peuvent être extrêmement cruciaux et parfois être des questions de vie ou de mort: «La fiabilité de l’infrastructure du réseau est décisive pour la sécurité d’êtres humains», assène l’informaticien. Le système doit donc répondre aux normes de sécurité les plus élevées.
(Adaptation par Lauriane Pipoz)
