Choisir son Assesseur AirCyber Accrédité : Guide Complet

Le choix de l'assesseur AirCyber est une décision aussi importante que la décision de se lancer dans la labellisation elle-même. L'assesseur accrédité par BoostAerospace n'est pas un simple auditeur qui valide des cases : c'est un partenaire qui connaît le référentiel dans ses moindres détails, comprend les spécificités de la filière aéronautique, et peut orienter votre préparation vers les points qui seront effectivement vérifiés lors de l'évaluation formelle. Un mauvais choix d'assesseur peut entraîner des dépassements de budget, des non-conformités évitables, ou une expérience d'audit difficile. À l'inverse, un assesseur expérimenté et bien aligné avec votre profil d'entreprise peut faire la différence entre un audit réussi du premier coup et un processus itératif coûteux. En 2024, la liste des assesseurs accrédités par BoostAerospace compte plusieurs dizaines d'organismes et de cabinets, avec des profils très différents en termes de taille, de spécialisation sectorielle et de positionnement tarifaire. Ce guide vous fournit les critères objectifs pour comparer et choisir l'assesseur le mieux adapté à votre situation.

Qu'est-ce qu'un assesseur AirCyber accrédité par BoostAerospace ?

Un assesseur AirCyber accrédité est un organisme ou un cabinet de conseil qui a été qualifié par BoostAerospace pour réaliser les évaluations AirCyber aux niveaux Bronze, Silver et/ou Gold. Cette accréditation implique :

• Une formation spécifique au référentiel AirCyber et à l'outil d'évaluation développé par Sopra Steria
• La maîtrise des guides ANSSI référencés dans le questionnaire Bronze
• Une accréditation formelle renouvelable par BoostAerospace, conditionnée à la qualité des évaluations réalisées
• Le respect d'un code déontologique garantissant l'indépendance de l'évaluation

L'assesseur remet son rapport d'évaluation au Comité de Labellisation AirCyber, qui est le seul organe habilité à délivrer le label. L'assesseur ne délivre pas lui-même la labellisation.

Assesseurs accrédités connus

Parmi les assesseurs les plus actifs dans l'écosystème AirCyber :

Advens : cabinet de conseil en cybersécurité français de référence, forte expérience secteur industriel et défense, présence nationale. Recommandé pour les PME avec une surface d'attaque complexe.

AFNOR Certification : organisme certificateur historique, profil institutionnel rassurant pour les relations clients grands comptes. Expertise multi-référentiel (ISO 27001 + AirCyber combinés).

Sopra Steria : développeur de l'outil d'évaluation AirCyber officiel, donc connaissance approfondie du référentiel de l'intérieur. Recommandé pour les grandes structures avec des SI complexes.

Autres partenaires accrédités : plusieurs ESN et cabinets spécialisés régionaux proposent des évaluations AirCyber avec des tarifs plus compétitifs pour les TPE/PME. Consultez la liste officielle sur le site BoostAerospace pour la liste complète et à jour.

Critères pour choisir son assesseur

1. Expérience sectorielle aéronautique : l'assesseur comprend-il les spécificités des systèmes PLM, ERP industriels, flux EDI aéro, données ITAR/EAR ? Un assesseur généraliste sans expérience aéro risque de passer à côté de non-conformités spécifiques ou, à l'inverse, d'être trop conservateur sur des pratiques sectorielles acceptées.

2. Niveau(x) d'accréditation : vérifiez que l'assesseur est accrédité pour le niveau que vous visez. Certains assesseurs sont uniquement Bronze, d'autres couvrent Bronze + Silver. Si vous planifiez d'évoluer vers Silver dans les 2 ans, choisir un assesseur accrédité Bronze + Silver permet la continuité.

3. Proximité géographique : les audits AirCyber incluent des visites sur site (inspection physique des locaux serveurs, postes de travail, salle de réunion). Un assesseur local réduit les frais de déplacement (souvent refacturés) et facilite les visites de suivi.

4. Tarif et structure de facturation : les tarifs varient de 5 000 € à 15 000 € pour Bronze selon la taille de l'entreprise et le niveau d'accompagnement inclus. Méfiez-vous des offres trop basses (< 3 500 €) qui peuvent cacher une prestation minimale, et des offres trop élevées sans justification claire.

5. Références clients vérifiables : demandez des références d'entreprises similaires à la vôtre (taille, secteur, activité) ayant obtenu la labellisation. Contactez ces références directement.

Questions à poser lors du RFP (appel d'offres assesseur)

• Combien d'évaluations AirCyber Bronze avez-vous réalisées en 2023-2024 ? Quel est votre taux de réussite au premier audit ?
• Proposez-vous un pré-audit ou une évaluation à blanc avant l'audit formel ? À quel tarif ?
• Quelle est la composition de l'équipe d'évaluation ? Le lead assesseur aura-t-il une expérience directe dans mon secteur (EMS, équipementier, intégrateur) ?
• Combien de journées sur site sont prévues pour l'audit ? Quels systèmes et locaux seront inspectés ?
• Quel est votre délai de remise du rapport après l'audit ? Sous quel format ?
• En cas de non-conformités, proposez-vous un accompagnement au plan d'action inclus ou en option ?
• Êtes-vous accrédité pour Silver et Gold, et proposez-vous un accompagnement continu post-Bronze ?

Red flags à éviter

Certains signaux d'alarme doivent vous inciter à la prudence lors de la sélection :

• Garantie de résultat : aucun assesseur honnête ne peut garantir l'obtention du label — c'est le Comité de Labellisation qui décide
• Audit 100% à distance : Bronze requiert une inspection physique, un assesseur qui propose un audit entièrement distant contourne une exigence du référentiel
• Questionnaire pré-rempli : si l'assesseur vous propose de "vous aider à remplir" le questionnaire avant l'audit, c'est un conflit d'intérêts flagrant
• Délai irréaliste : promettre une labellisation Bronze en moins de 2 mois pour une entreprise sans base de sécurité existante est suspect
• Absence de références vérifiables : tout assesseur sérieux doit pouvoir fournir des références clients contactables

Lien vers la liste officielle

La liste officielle et à jour des assesseurs accrédités BoostAerospace est disponible directement sur le site BoostAerospace. Cette liste est mise à jour régulièrement et constitue la seule source faisant foi pour la validité de l'accréditation. Consultez également notre Centre de Ressources AirCyber pour des guides complémentaires sur la préparation à l'audit, et notre page service AirCyber pour découvrir comment nous accompagnons les entreprises dans leur parcours de labellisation.

FAQ : Assesseur AirCyber

Peut-on changer d'assesseur entre Bronze et Silver ?

Oui, changer d'assesseur est possible et parfois souhaitable si votre premier assesseur ne couvre pas le niveau Silver ou si la collaboration n'a pas été satisfaisante. Le nouvel assesseur a accès à l'historique de vos évaluations précédentes dans l'outil BoostAerospace. Cependant, une continuité avec le même assesseur est généralement plus efficace car il connaît déjà votre SI et vos points de progression.

L'assesseur peut-il aussi m'accompagner en amont de l'audit ?

Oui, et c'est même recommandé. La plupart des assesseurs proposent une mission d'accompagnement distincte de la mission d'audit : analyse de l'écart initial (gap analysis), accompagnement à la mise en conformité, pré-audit blanc. Ces missions sont facturées séparément et n'affectent pas l'indépendance de l'audit formel.

Combien de temps dure l'audit Bronze sur site ?

Un audit Bronze typique pour une PME de 20 à 100 salariés dure 1 à 2 jours sur site, précédés d'une revue documentaire à distance (1 à 3 semaines avant). Les entreprises plus grandes ou avec des SI plus complexes peuvent nécessiter 3 jours. L'assesseur définit la durée lors de la phase de cadrage.