En 2026, la cybersécurité n'est plus une option pour les sous-traitants de l'industrie aérospatiale : c'est une condition d'accès aux marchés. Airbus, Safran, Thales et les grands équipementiers de la filière ont durci leurs exigences envers leurs fournisseurs de rang 1 et de rang 2. Face à la recrudescence des cyberattaques visant la supply chain mondiale, les donneurs d'ordre imposent désormais des preuves formelles de maturité cybersécurité : certifications, audits, attestations de conformité. Les fournisseurs qui ne peuvent pas démontrer un niveau minimal de protection de leurs systèmes d'information risquent d'être écartés des appels d'offres, voire de se voir notifier une clause résolutoire dans leurs contrats en cours. AirCyber Bronze, ISO 27001, CMMC Level 2, SOC 2 : le paysage des certifications reconnues dans la supply chain aérospatiale s'est structuré et se précise. Ce guide fait le point sur les exigences 2026, les certifications attendues et les étapes pour les atteindre — que vous soyez une PME sous-traitante d'Airbus ou un ETI fournisseur de systèmes embarqués.

CONFORMITÉ AirCyber & ISO 27001 : Exigences Cyber Airbus Fournisseurs 2026 ÉTAPES / CONTRÔLES 1 Le contexte : pourquoi l'industrie… 2 Les 4 certifications reconnues dans la… 3 AirCyber vs ISO 27001 : quelle certification… 4 Les étapes clés pour obtenir la certification… 5 Ce que les donneurs d'ordre vérifient… EXIGENCES CLÉS la sécurité d'un réseau vaut ce que… la sécurité de la chaîne d'approvisi… BoostAerospace 44 mesures de sécurité 93 contrôles de sécurité ayinedjimi-consultants.fr

Le contexte : pourquoi l'industrie aérospatiale durcit ses exigences cyber

La supply chain aérospatiale représente une cible de premier choix pour les cyberattaquants étatiques et les groupes criminels organisés. Propriété intellectuelle sur les technologies de propulsion, plans de conception d'aéronefs, données ITAR sur les équipements à double usage civil-militaire : les sous-traitants du secteur détiennent des informations d'une valeur stratégique considérable, souvent sans disposer des ressources de sécurité des grands groupes qui les mandatent.

Le principe est bien établi dans la doctrine cyber : la sécurité d'un réseau vaut ce que vaut son maillon le plus faible. Les attaques les plus dévastatrices de ces dernières années ont suivi ce schéma — une PME sous-traitante moins bien protégée sert de porte d'entrée pour compromettre un écosystème entier. C'est précisément pour briser cette logique que les donneurs d'ordre aérospatiaux ont engagé une démarche systématique de qualification cyber de leurs fournisseurs.

EASA PART-IS : la sécurité de l'information dans l'aviation civile

Le règlement européen EASA PART-IS (IS.I.OR.230 et IS.II.OR.230) introduit des exigences formelles de gestion des risques liés à la sécurité de l'information dans l'aviation civile. Il s'applique aux organisations de conception, production, maintenance et exploitation d'aéronefs. La notion de supply chain y est explicitement traitée : les organismes agréés doivent désormais étendre leur périmètre de gestion des risques cyber à leurs prestataires et sous-traitants ayant accès à leurs systèmes ou à leurs données sensibles. Cette réglementation crée un effet de cascade : ce que l'organisme agréé doit faire, il doit s'assurer que ses fournisseurs le font aussi.

NIS 2 : la sécurité de la chaîne d'approvisionnement comme obligation légale

La directive européenne NIS 2, transposée en droit français par la loi du 7 juillet 2025, impose aux entités essentielles et importantes de mettre en œuvre des mesures de gestion des risques cyber incluant explicitement la sécurité de la chaîne d'approvisionnement (article 21, §2, point d). Les grands groupes aérospatiaux entrent dans la catégorie des entités essentielles. Ils sont donc légalement tenus de s'assurer que leurs fournisseurs respectent un niveau minimum de cybersécurité, et de pouvoir le documenter en cas de contrôle de l'ANSSI. Cette obligation réglementaire est l'un des principaux moteurs du durcissement des exigences contractuelles envers les sous-traitants.

La réalité des incidents sur la supply chain aérospatiale

Les incidents ne sont pas théoriques. Des sous-traitants de rang 2 et 3 de grandes filières aérospatiales ont été victimes de ransomwares ayant entraîné des arrêts de production, des compromissions de données techniques et des retards de livraison en cascade. Ces incidents illustrent concrètement pourquoi les donneurs d'ordre ne peuvent plus se contenter d'une confiance implicite : ils ont besoin de preuves objectives, normalisées et vérifiables que leurs partenaires gèrent sérieusement leur cybersécurité.

Les 4 certifications reconnues dans la supply chain aérospatiale

Le marché de la certification cybersécurité compte plusieurs référentiels, mais tous ne se valent pas dans le contexte de la supply chain aérospatiale. Voici les quatre certifications les plus souvent mentionnées dans les exigences contractuelles des OEM et leurs caractéristiques comparées.

Certification Portée Qui est concerné Durée d'obtention Notre accompagnement
AirCyber Bronze Supply chain aérospatiale française PME/ETI fournisseurs Airbus, Safran, Thales 3 à 6 mois Voir notre offre AirCyber
ISO 27001 International, tous secteurs ETI, grands comptes, fournisseurs multi-secteurs 12 à 18 mois Voir notre offre ISO 27001
SOC 2 Type II Prestataires cloud et SaaS (marché US) Éditeurs logiciels, hébergeurs, fournisseurs SaaS 6 à 12 mois Non — hors périmètre industrie
CMMC Level 2 Défense américaine (DoD/CUI) Fournisseurs du Pentagone, acteurs ITAR-CUI 12 à 24 mois Sur demande (périmètre spécifique)

AirCyber Bronze : le socle de la supply chain aérospatiale française

Le programme AirCyber est une initiative de BoostAerospace, la plateforme collaborative des industriels de l'aérospatiale française. Il a été conçu en partenariat avec l'ANSSI pour répondre aux enjeux spécifiques du secteur : gestion des données techniques sensibles, continuité de la production en cas de cyberattaque, protection des informations ITAR et EAR. Le niveau Bronze s'appuie sur 44 mesures de sécurité organisées selon les axes fondamentaux de la cybersécurité : gouvernance, protection des systèmes, détection des incidents, réponse et rétablissement. C'est la certification de référence pour les PME et ETI sous-traitantes en France.

ISO 27001 : la norme internationale du management de la sécurité

La norme ISO/IEC 27001 définit les exigences d'un Système de Management de la Sécurité de l'Information (SMSI). Dans sa version 2022, elle s'articule autour de 93 contrôles de sécurité regroupés en 4 thèmes : organisationnels, humains, physiques et technologiques. La certification est délivrée par des organismes accrédités (Bureau Veritas, LRQA, BSI, etc.) après un audit en deux phases. Elle est valable 3 ans avec des audits de surveillance annuels. Sa reconnaissance internationale en fait un passeport pour les fournisseurs qui travaillent avec plusieurs donneurs d'ordre dans différents secteurs et pays.

SOC 2 Type II : pertinent pour les prestataires numériques, pas pour l'industrie physique

Le rapport SOC 2 Type II, émis selon les critères TSC (Trust Services Criteria) de l'AICPA américain, s'adresse aux prestataires de services cloud, aux éditeurs SaaS et aux hébergeurs. Il évalue la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la protection des données personnelles sur une période d'observation généralement de 6 à 12 mois. Pour un sous-traitant industriel aéronautique fournissant des pièces mécaniques, de l'assemblage ou de l'ingénierie, le SOC 2 n'est ni pertinent ni reconnu par les OEM. Il peut en revanche devenir exigible si le fournisseur héberge des données clients dans un système cloud ou développe des outils numériques pour ses clients.

CMMC Level 2 : obligatoire uniquement pour la défense américaine

Le Cybersecurity Maturity Model Certification (CMMC) Level 2 est imposé par le Département de la Défense américain (DoD) à tous les fournisseurs traitant des informations non classifiées contrôlées (CUI). Il s'appuie sur les 110 pratiques du NIST SP 800-171 et nécessite un audit par un C3PAO (Certified Third-Party Assessment Organization). Pour les fournisseurs aérospatiaux européens n'ayant pas d'activité aux États-Unis dans le domaine de la défense, le CMMC Level 2 n'est pas requis. Il devient en revanche incontournable dès lors qu'une entreprise française répond à des appels d'offres du Pentagone ou travaille sur des programmes sous contrôle ITAR-CUI.

AirCyber vs ISO 27001 : quelle certification choisir pour un fournisseur aéronautique ?

C'est la question que nous posent le plus souvent nos clients dirigeants de PME et ETI aérospatiales. La réponse dépend de votre taille, de vos clients cibles et de votre ambition à moyen terme — mais dans la plupart des cas, la stratégie optimale est de commencer par AirCyber Bronze et de progresser vers ISO 27001.

AirCyber : l'entrée de gamme accessible et sectorielle

AirCyber Bronze a été pensé pour les réalités des PME industrielles : des exigences proportionnées à la taille de l'entreprise, une terminologie familière aux acteurs de la filière, et un processus d'obtention en 3 à 6 mois. Les 44 mesures ANSSI couvrent les fondamentaux sans exiger d'emblée un SMSI complet. C'est un objectif atteignable pour une entreprise de 20 à 200 salariés sans DSI dédiée, à condition de disposer d'un accompagnement structuré. La certification est directement reconnue par les acheteurs d'Airbus, Safran et Thales dans leurs questionnaires de qualification fournisseurs.

ISO 27001 : la reconnaissance internationale qui ouvre tous les marchés

ISO 27001 représente un investissement plus important — en temps (12 à 18 mois), en ressources humaines et en budget — mais offre en retour une reconnaissance bien plus large. Elle est exigée ou valorisée dans l'aérospatial, la défense, l'automobile (TISAX y fait référence), la santé, la banque-assurance et les marchés publics sensibles. Pour un fournisseur qui ambitionne de diversifier sa base clients ou de répondre à des appels d'offres européens voire mondiaux, ISO 27001 est le bon choix stratégique. Elle impose notamment la mise en place d'un SMSI documenté, d'une analyse de risques formelle et d'un cycle d'amélioration continue — des atouts qui vont bien au-delà de la seule conformité réglementaire.

Peut-on faire les deux ? Oui, avec de vraies synergies

La stratégie que nous recommandons à nos clients aérospatiaux est la suivante : commencer par AirCyber Bronze pour répondre aux exigences immédiates des donneurs d'ordre, puis capitaliser sur cet effort pour engager la démarche ISO 27001. Les deux référentiels partagent de nombreux contrôles : gestion des accès, politique de sécurité, gestion des incidents, continuité d'activité, sécurité des tiers. Un client qui obtient AirCyber Bronze avec notre accompagnement est généralement à 40-50% du chemin vers ISO 27001. Le surcoût marginal pour enchaîner les deux certifications est nettement inférieur à les aborder séparément.

Pour les entreprises de rang 1 ayant déjà une maturité organisationnelle, l'approche inverse est possible : viser directement ISO 27001, puis passer AirCyber Silver quasi simultanément grâce aux acquis du SMSI. Quelle que soit la trajectoire, notre équipe vous aide à définir la séquence optimale lors du diagnostic initial gratuit.

Les étapes clés pour obtenir la certification AirCyber Bronze

Le chemin vers AirCyber Bronze est balisé et structuré. Voici les grandes étapes du parcours de certification tel que défini par BoostAerospace.

Étape 1 : l'autoévaluation sur le portail BoostAerospace

La démarche commence par une autoévaluation en ligne sur la plateforme BoostAerospace. L'entreprise répond à un questionnaire couvrant les 44 mesures de sécurité et obtient un score de maturité par domaine. Cette étape est cruciale car elle révèle les écarts entre la situation actuelle et les exigences du label. Sans accompagnement, cette autoévaluation peut conduire à sous-estimer ou surestimer son niveau réel — deux écueils qui pénalisent la suite du processus. Nous recommandons de réaliser cette autoévaluation en atelier avec notre équipe, afin d'interpréter correctement les critères et d'établir une feuille de route réaliste.

Étape 2 : le plan d'action sur les 44 mesures ANSSI

À partir des écarts identifiés, un plan d'action priorisé est construit. Les 44 mesures couvrent notamment : la gouvernance de la sécurité (politique PSSI, rôles et responsabilités), la protection des postes de travail et des serveurs, la gestion des mots de passe et des accès privilégiés, la sécurité des réseaux et des interconnexions, la gestion des mises à jour et des correctifs de sécurité, la sauvegarde et la restauration des données, la sensibilisation et la formation des utilisateurs, ainsi que la gestion des incidents et la continuité d'activité. Certaines mesures sont des quick wins réalisables en quelques jours ; d'autres nécessitent des projets de plusieurs semaines. La clé est de prioriser en fonction du poids de chaque mesure dans l'évaluation finale.

Étape 3 : l'audit par un assesseur accrédité

Une fois les mesures mises en œuvre et documentées, l'entreprise fait appel à un assesseur accrédité par BoostAerospace pour réaliser l'audit de certification. L'assesseur vérifie la conformité de chaque mesure à la fois sur le plan documentaire (politiques, procédures, preuves) et sur le plan technique (configurations, tests, journaux). L'audit peut se dérouler en présentiel ou en distanciel selon la taille et la configuration de l'entreprise. Il débouche sur un rapport d'évaluation et, si le score atteint le seuil requis, sur l'attribution du label Bronze.

Étape 4 : le label Bronze et la progression vers Silver

Le label AirCyber Bronze est valable 3 ans. Il est renouvelable par une nouvelle évaluation avant son expiration. Durant cette période, l'entreprise peut décider de progresser vers le niveau Silver, qui exige des mesures de sécurité plus avancées et un SMSI plus structuré. Cette progression est naturelle et s'inscrit dans une logique d'amélioration continue qui prépare également le terrain pour ISO 27001. Notre accompagnement inclut un suivi post-certification pour vous aider à maintenir et à faire évoluer votre niveau de conformité entre deux audits. Découvrez notre programme d'accompagnement AirCyber.

Ce que les donneurs d'ordre vérifient réellement

Obtenir la certification ne suffit pas : encore faut-il comprendre ce que les acheteurs d'Airbus, Safran ou Thales vérifient concrètement lorsqu'ils examinent vos qualifications cybersécurité.

La validité de la certification

Le premier critère est aussi le plus évident : la certification doit être en cours de validité. Un label AirCyber Bronze expiré ou une norme ISO 27001 dont le certificat n'a pas été renouvelé n'ont aucune valeur dans un dossier de qualification. Les acheteurs vérifient la date d'expiration et peuvent demander le certificat original ou la référence sur le registre BoostAerospace. Mettre en place un processus de surveillance de la date d'expiration et lancer la procédure de renouvellement au moins 6 mois avant l'échéance est une bonne pratique que nous intégrons systématiquement dans nos accompagnements.

La couverture du périmètre certifié

Le périmètre de la certification doit couvrir les activités, les systèmes et les sites en lien avec l'activité réalisée pour le donneur d'ordre. Une certification ISO 27001 limitée au seul département informatique alors que la production est hors périmètre ne répondra pas aux exigences si c'est précisément la production qui est en jeu. Lors de la définition du périmètre de certification, il est donc essentiel d'anticiper les exigences contractuelles de vos clients cibles et d'inclure les entités, processus et systèmes pertinents.

Les audits contractuels complémentaires

La certification ne dispense pas systématiquement des audits contractuels que certains donneurs d'ordre se réservent le droit de réaliser. Ces audits peuvent prendre la forme de questionnaires de sécurité approfondis (type TISAX ou questionnaires maison), de visites de site ou d'audits techniques ciblés. La certification est un signal fort de maturité, mais elle n'élimine pas la relation de confiance à construire avec l'acheteur. Notre accompagnement prépare nos clients à ces deux types de contrôles : la certification formelle et les audits contractuels ad hoc.

CMMC : uniquement pour les activités DoD américain

Un point d'attention important pour les fournisseurs européens : CMMC Level 2 n'est pas une exigence généralisée dans la supply chain civile européenne. Elle devient obligatoire uniquement si votre entreprise répond à des appels d'offres du Département de la Défense américain ou si elle traite des informations CUI dans le cadre de contrats soumis au DFARS (Defense Federal Acquisition Regulation Supplement). Si vous n'avez pas d'activité DoD, vous pouvez vous concentrer sur AirCyber et ISO 27001 sans vous soucier de CMMC dans un premier temps.

Notre accompagnement : de zéro à certifié

Nous accompagnons les sous-traitants aérospatiaux — fournisseurs Airbus, Safran, Thales et autres OEM — dans leur parcours de certification cybersécurité depuis le diagnostic initial jusqu'à la remise du certificat. Notre méthodologie est éprouvée : 100% de nos clients atteignent la certification visée au premier essai.

Diagnostic initial gratuit : identifier les écarts réels

Nous commençons par un diagnostic de maturité cybersécurité gratuit, réalisé en atelier avec votre équipe dirigeante et technique. Ce diagnostic cartographie votre situation actuelle au regard des référentiels cibles (AirCyber et/ou ISO 27001) et identifie précisément les écarts à combler. Il produit un rapport priorisé qui distingue les quick wins (mesures rapidement implémentables avec un fort impact sur le score) des chantiers structurants qui nécessitent un projet dédié.

Plan de mise en conformité priorisé

Sur la base du diagnostic, nous construisons avec vous un plan de mise en conformité réaliste et priorisé, avec un calendrier, des responsables désignés et des jalons mesurables. Nous distinguons les actions que votre équipe peut réaliser en autonomie avec nos gabarits et nos guides, de celles qui nécessitent notre intervention directe (configuration technique, rédaction de politiques, formation).

Accompagnement à la rédaction des politiques de sécurité

AirCyber et ISO 27001 exigent une documentation robuste : Politique de Sécurité des Systèmes d'Information (PSSI), Plan de Continuité d'Activité (PCA), Plan de Reprise Informatique (PRI), procédures de gestion des incidents, charte utilisateurs, politique de gestion des accès. Nous disposons de gabarits sectoriels adaptés au contexte aérospatial, que nous customisons pour votre entreprise. Cette documentation n'est pas de la paperasserie : c'est la preuve tangible que votre organisation a réfléchi à ces sujets et sait comment réagir en cas d'incident.

Préparation à l'audit et assistance lors de l'évaluation

Avant l'audit de certification, nous organisons un audit blanc qui simule les conditions réelles de l'évaluation. Cet exercice permet d'identifier les derniers écarts, de préparer vos équipes aux questions de l'assesseur et de consolider le dossier de preuves. Le jour de l'audit, nous pouvons être présents pour faciliter les échanges avec l'assesseur accrédité et répondre aux éventuelles demandes de précision technique.

Que votre objectif soit AirCyber Bronze pour répondre à une exigence contractuelle urgente, ou ISO 27001 pour consolider votre positionnement à long terme, notre équipe vous accompagne à chaque étape. Prenez contact pour démarrer votre diagnostic AirCyber ou votre parcours ISO 27001.

À retenir

  • EASA PART-IS et NIS 2 rendent la sécurité de la supply chain aérospatiale obligatoire, pas seulement recommandée.
  • AirCyber Bronze est la certification de référence pour les fournisseurs français d'Airbus, Safran et Thales.
  • ISO 27001 offre une reconnaissance internationale et est complémentaire à AirCyber.
  • SOC 2 Type II et CMMC Level 2 sont hors scope pour la plupart des fournisseurs civils européens.
  • Un accompagnement structuré permet d'atteindre AirCyber Bronze en 3 à 6 mois, ISO 27001 en 12 à 18 mois.
  • 100% de nos clients atteignent la certification au premier essai.

AirCyber est-il obligatoire pour travailler avec Airbus ?

AirCyber n'est pas encore formellement obligatoire au sens légal pour l'ensemble des fournisseurs Airbus. Cependant, depuis 2025-2026, de nombreux appels d'offres intègrent AirCyber Bronze comme critère de qualification ou comme exigence contractuelle dans les clauses cybersécurité. Ne pas disposer de la certification expose à un risque croissant de disqualification, notamment pour les marchés sensibles ou les projets impliquant des données ITAR/CUI. La tendance est clairement à la généralisation de cette exigence dans les années qui viennent.

Quelle est la différence entre AirCyber Bronze et AirCyber Silver ?

AirCyber Bronze repose sur 44 mesures de sécurité fondamentales définies par l'ANSSI. C'est le niveau d'entrée du programme BoostAerospace, accessible aux PME et ETI en 3 à 6 mois. AirCyber Silver va plus loin : il exige la mise en œuvre de mesures avancées, un SMSI documenté et une surveillance active des systèmes. La Silver est généralement ciblée par les fournisseurs de rang 1 ou les entreprises qui s'engagent ensuite vers ISO 27001. Les deux niveaux sont valables 3 ans. La Silver constitue également une reconnaissance forte de maturité cyber qui peut valoriser l'entreprise dans les négociations contractuelles avec les OEM.

Un fournisseur déjà certifié ISO 27001 doit-il quand même faire AirCyber ?

ISO 27001 et AirCyber répondent à des logiques différentes. ISO 27001 est une norme internationale généraliste de management de la sécurité de l'information. AirCyber est spécifiquement conçu pour la supply chain aérospatiale et utilise la terminologie et les référentiels propres au secteur. Un donneur d'ordre aéronautique peut exiger AirCyber même si vous êtes ISO 27001, car la certification sectorielle rassure sur votre connaissance des enjeux spécifiques de l'aérospatial. Dans les faits, les entreprises ISO 27001 obtiennent AirCyber Silver beaucoup plus rapidement grâce aux synergies de contrôles — les efforts de mise en conformité ne sont pas à refaire de zéro.

Combien coûte la certification AirCyber Bronze pour une PME ?

Le coût total d'une certification AirCyber Bronze pour une PME comprend plusieurs postes : les frais d'inscription sur le portail BoostAerospace (quelques centaines d'euros), les frais d'audit par un assesseur accrédité (généralement entre 3 000 et 8 000 euros selon la taille de l'entreprise et le périmètre), et les coûts de mise en conformité (correctifs techniques, documentation, formation des équipes). Un accompagnement externe permet d'optimiser l'ensemble de ces coûts en priorisant les actions à fort impact et en évitant les erreurs coûteuses lors de l'évaluation. Contactez-nous pour obtenir une estimation personnalisée basée sur votre diagnostic initial gratuit.