Choisir son Assesseur AirCyber Accrédité : Guide Complet

Le choix de l'assesseur AirCyber est une décision aussi importante que la décision de se lancer dans la labellisation elle-même. L'assesseur accrédité par BoostAerospace n'est pas un simple auditeur qui valide des cases : c'est un partenaire qui connaît le référentiel dans ses moindres détails, comprend les spécificités de la filière aéronautique, et peut orienter votre préparation vers les points qui seront effectivement vérifiés lors de l'évaluation formelle. Un mauvais choix d'assesseur peut entraîner des dépassements de budget, des non-conformités évitables, ou une expérience d'audit difficile. À l'inverse, un assesseur expérimenté et bien aligné avec votre profil d'entreprise peut faire la différence entre un audit réussi du premier coup et un processus itératif coûteux. En 2024, la liste des assesseurs accrédités par BoostAerospace compte plusieurs dizaines d'organismes et de cabinets, avec des profils très différents en termes de taille, de spécialisation sectorielle et de positionnement tarifaire. Ce guide vous fournit les critères objectifs pour comparer et choisir l'assesseur le mieux adapté à votre situation.

Qu'est-ce qu'un assesseur AirCyber accrédité par BoostAerospace ?

Un assesseur AirCyber accrédité est un organisme ou un cabinet de conseil qui a été qualifié par BoostAerospace pour réaliser les évaluations AirCyber aux niveaux Bronze, Silver et/ou Gold. Cette accréditation implique :

• Une formation spécifique au référentiel AirCyber et à l'outil d'évaluation développé par Sopra Steria
• La maîtrise des guides ANSSI référencés dans le questionnaire Bronze
• Une accréditation formelle renouvelable par BoostAerospace, conditionnée à la qualité des évaluations réalisées
• Le respect d'un code déontologique garantissant l'indépendance de l'évaluation

L'assesseur remet son rapport d'évaluation au Comité de Labellisation AirCyber, qui est le seul organe habilité à délivrer le label. L'assesseur ne délivre pas lui-même la labellisation.

Assesseurs accrédités connus

Parmi les assesseurs les plus actifs dans l'écosystème AirCyber :

Advens : cabinet de conseil en cybersécurité français de référence, forte expérience secteur industriel et défense, présence nationale. Recommandé pour les PME avec une surface d'attaque complexe.

AFNOR Certification : organisme certificateur historique, profil institutionnel rassurant pour les relations clients grands comptes. Expertise multi-référentiel (ISO 27001 + AirCyber combinés).

Sopra Steria : développeur de l'outil d'évaluation AirCyber officiel, donc connaissance approfondie du référentiel de l'intérieur. Recommandé pour les grandes structures avec des SI complexes.

Autres partenaires accrédités : plusieurs ESN et cabinets spécialisés régionaux proposent des évaluations AirCyber avec des tarifs plus compétitifs pour les TPE/PME. Consultez la liste officielle sur le site BoostAerospace pour la liste complète et à jour.

Critères pour choisir son assesseur

1. Expérience sectorielle aéronautique : l'assesseur comprend-il les spécificités des systèmes PLM, ERP industriels, flux EDI aéro, données ITAR/EAR ? Un assesseur généraliste sans expérience aéro risque de passer à côté de non-conformités spécifiques ou, à l'inverse, d'être trop conservateur sur des pratiques sectorielles acceptées.

2. Niveau(x) d'accréditation : vérifiez que l'assesseur est accrédité pour le niveau que vous visez. Certains assesseurs sont uniquement Bronze, d'autres couvrent Bronze + Silver. Si vous planifiez d'évoluer vers Silver dans les 2 ans, choisir un assesseur accrédité Bronze + Silver permet la continuité.

3. Proximité géographique : les audits AirCyber incluent des visites sur site (inspection physique des locaux serveurs, postes de travail, salle de réunion). Un assesseur local réduit les frais de déplacement (souvent refacturés) et facilite les visites de suivi.

4. Tarif et structure de facturation : les tarifs varient de 5 000 € à 15 000 € pour Bronze selon la taille de l'entreprise et le niveau d'accompagnement inclus. Méfiez-vous des offres trop basses (< 3 500 €) qui peuvent cacher une prestation minimale, et des offres trop élevées sans justification claire.

5. Références clients vérifiables : demandez des références d'entreprises similaires à la vôtre (taille, secteur, activité) ayant obtenu la labellisation. Contactez ces références directement.

Questions à poser lors du RFP (appel d'offres assesseur)

• Combien d'évaluations AirCyber Bronze avez-vous réalisées en 2023-2024 ? Quel est votre taux de réussite au premier audit ?
• Proposez-vous un pré-audit ou une évaluation à blanc avant l'audit formel ? À quel tarif ?
• Quelle est la composition de l'équipe d'évaluation ? Le lead assesseur aura-t-il une expérience directe dans mon secteur (EMS, équipementier, intégrateur) ?
• Combien de journées sur site sont prévues pour l'audit ? Quels systèmes et locaux seront inspectés ?
• Quel est votre délai de remise du rapport après l'audit ? Sous quel format ?
• En cas de non-conformités, proposez-vous un accompagnement au plan d'action inclus ou en option ?
• Êtes-vous accrédité pour Silver et Gold, et proposez-vous un accompagnement continu post-Bronze ?

Red flags à éviter

Certains signaux d'alarme doivent vous inciter à la prudence lors de la sélection :

• Garantie de résultat : aucun assesseur honnête ne peut garantir l'obtention du label — c'est le Comité de Labellisation qui décide
• Audit 100% à distance : Bronze requiert une inspection physique, un assesseur qui propose un audit entièrement distant contourne une exigence du référentiel
• Questionnaire pré-rempli : si l'assesseur vous propose de "vous aider à remplir" le questionnaire avant l'audit, c'est un conflit d'intérêts flagrant
• Délai irréaliste : promettre une labellisation Bronze en moins de 2 mois pour une entreprise sans base de sécurité existante est suspect
• Absence de références vérifiables : tout assesseur sérieux doit pouvoir fournir des références clients contactables

Lien vers la liste officielle

La liste officielle et à jour des assesseurs accrédités BoostAerospace est disponible directement sur le site BoostAerospace. Cette liste est mise à jour régulièrement et constitue la seule source faisant foi pour la validité de l'accréditation. Consultez également notre Centre de Ressources AirCyber pour des guides complémentaires sur la préparation à l'audit, et notre page service AirCyber pour découvrir comment nous accompagnons les entreprises dans leur parcours de labellisation.

FAQ : Assesseur AirCyber

Peut-on changer d'assesseur entre Bronze et Silver ?

Oui, changer d'assesseur est possible et parfois souhaitable si votre premier assesseur ne couvre pas le niveau Silver ou si la collaboration n'a pas été satisfaisante. Le nouvel assesseur a accès à l'historique de vos évaluations précédentes dans l'outil BoostAerospace. Cependant, une continuité avec le même assesseur est généralement plus efficace car il connaît déjà votre SI et vos points de progression.

L'assesseur peut-il aussi m'accompagner en amont de l'audit ?

Oui, et c'est même recommandé. La plupart des assesseurs proposent une mission d'accompagnement distincte de la mission d'audit : analyse de l'écart initial (gap analysis), accompagnement à la mise en conformité, pré-audit blanc. Ces missions sont facturées séparément et n'affectent pas l'indépendance de l'audit formel.

Combien de temps dure l'audit Bronze sur site ?

Un audit Bronze typique pour une PME de 20 à 100 salariés dure 1 à 2 jours sur site, précédés d'une revue documentaire à distance (1 à 3 semaines avant). Les entreprises plus grandes ou avec des SI plus complexes peuvent nécessiter 3 jours. L'assesseur définit la durée lors de la phase de cadrage.

Préparer son Organisation à l'Audit AirCyber : Dossier et Preuves

La réussite de l'audit AirCyber dépend en grande partie de la qualité du dossier de preuves préparé avant la visite de l'assesseur accrédité. Un dossier incomplet oblige l'assesseur à demander des compléments qui retardent la délivrance du label et peuvent générer des incompréhensions sur la maturité réelle de l'organisation. Préparer méthodiquement les preuves pour chacun des 66 critères du label AirCyber (niveau 1 : 25 critères, niveau 2 : 41 critères supplémentaires) est une étape cruciale de la démarche de labellisation.

Les catégories de preuves à rassembler pour l'audit AirCyber :

• Politiques et procédures documentées : politique de sécurité des systèmes d'information (PSSI) approuvée et datée par la direction, procédures de gestion des incidents de sécurité, politique de sauvegarde et de restauration, procédure de gestion des accès et des habilitations, politique de mise à jour des systèmes — chaque document doit être approuvé, daté et distribué aux personnels concernés
• Preuves techniques de mise en œuvre : captures d'écran et exports de configuration des solutions de sécurité déployées (antivirus, EDR, pare-feu, VPN, MFA), logs de journalisation centralisés montrant la rétention sur la durée requise, rapports de scan de vulnérabilités et de tests de pénétration récents, états de déploiement des mises à jour de sécurité
• Preuves de formation et sensibilisation : registres de participation aux sessions de sensibilisation à la cybersécurité (liste des présents avec signatures ou attestations numériques), supports de formation utilisés, résultats des tests de phishing simulé réalisés, attestations de formation spécifique pour les administrateurs et les équipes IT
• Preuves de continuité d'activité : PCA/PRA documenté et testé, résultats du dernier test de restauration des sauvegardes avec date, documentation des RTO/RPO définis et validés par la direction
• Registres et inventaires : inventaire des actifs informationnels avec classification par niveau de sensibilité, registre des accès privilégiés (comptes administrateurs), registre des incidents de sécurité des 12 derniers mois avec les mesures de remédiation associées

L'organisation d'un espace partagé sécurisé (SharePoint, espace Nextcloud chiffré) regroupant l'ensemble des preuves classées par critère AirCyber facilite la collaboration entre les différentes équipes qui contribuent à la préparation de l'audit et permet à l'assesseur d'accéder efficacement aux documents pendant l'audit. Certains assesseurs proposent un pré-audit documentaire à distance avant la visite physique, permettant de valider la complétude du dossier et d'identifier les points de vigilance avant le jour de l'audit formel.

Maintien du Label AirCyber : Surveillance Continue et Renouvellement

L'obtention du label AirCyber n'est pas une fin en soi mais le début d'un processus de maintien de la conformité dans le temps. Le label est accordé pour une durée de trois ans avec un audit de surveillance intermédiaire à mi-parcours, et doit être renouvelé par un nouvel audit complet à l'échéance. Une organisation qui obtient le label mais ne maintient pas les pratiques évaluées verra sa posture de sécurité se dégrader et risque de ne pas passer l'audit de renouvellement.

Les actions de maintien du niveau AirCyber entre les audits :

• Revue annuelle de la PSSI : mettre à jour la Politique de Sécurité des Systèmes d'Information au minimum une fois par an, en intégrant les évolutions de l'environnement de menace, les changements dans l'organisation et les leçons apprises des incidents de l'année écoulée ; documenter formellement la revue avec la signature de la direction
• Gestion des mises à jour de sécurité : maintenir un processus formalisé et documenté d'application des correctifs de sécurité sur l'ensemble du périmètre, avec des délais d'application définis selon la criticité des vulnérabilités et une traçabilité permettant de démontrer le respect de ces délais lors de l'audit
• Tests de restauration des sauvegardes : effectuer des tests de restauration complète au minimum une fois par an et documenter les résultats, en vérifiant que les données restituées sont intègres et que les délais de restauration respectent les RTO définis dans le PRA
• Sensibilisation continue : maintenir un programme de sensibilisation actif tout au long de l'année (pas uniquement lors de la préparation des audits) avec des sessions régulières, des newsletters de sécurité, des exercices de phishing simulé et des mécanismes de signalement facilement accessibles aux utilisateurs
• Veille sur l'évolution du référentiel : suivre les évolutions du référentiel AirCyber publiées par le Groupement des Industries Françaises Aéronautiques et Spatiales (GIFAS), qui peut enrichir ou modifier les critères d'évaluation entre les cycles d'audit, nécessitant une adaptation des pratiques et de la documentation

La désignation d'un responsable cybersécurité dédié ou d'un RSSI (interne ou externalisé) comme pilote du maintien du label AirCyber est fortement recommandée. Ce responsable assure la cohérence des actions de maintien, coordonne les différentes parties prenantes internes, gère la relation avec l'assesseur lors des communications intermédiaires, et alerte la direction en cas de dérive par rapport aux critères du label qui nécessiterait des actions correctives avant l'audit de surveillance.

AirCyber et Chaîne d'Approvisionnement : Impact sur les Relations Fournisseurs

Le label AirCyber a un impact croissant sur les relations commerciales dans la filière aéronautique et de défense française. Les donneurs d'ordres majeurs (Airbus, Safran, Thales, Dassault Aviation) intègrent de plus en plus les critères de cybersécurité dans leurs cahiers des charges fournisseurs, et le label AirCyber devient progressivement un prérequis ou un critère de sélection dans les appels d'offres de la filière. Une ETI ou PME aéronautique sans label AirCyber risque de se voir exclue de certains marchés ou de faire face à des audits de sécurité plus intrusifs de la part de ses clients.

Pour les sous-traitants de rangs 2 et 3 de la filière aéronautique, l'obtention du label AirCyber constitue un investissement stratégique qui sert simultanément plusieurs objectifs : démontrer la maturité cybersécurité aux clients existants et prospects, se différencier de la concurrence dans les appels d'offres où la sécurité est un critère évalué, réduire le risque d'être identifié comme le maillon faible d'une chaîne d'approvisionnement ciblée par des attaquants cherchant à pénétrer un donneur d'ordre mieux protégé via ses sous-traitants, et préparer les équipes à des exigences de conformité plus strictes qui ne feront que se renforcer avec la mise en œuvre de NIS 2 et la directive sur la résilience des entités critiques (CER) au niveau européen. L'assesseur AirCyber, en tant que partenaire de confiance connaissant le secteur, peut conseiller l'organisation sur la roadmap à suivre pour non seulement obtenir le label mais construire une culture de cybersécurité durable adaptée aux spécificités des environnements de production industrielle aéronautique.

Coût et ROI de la Labellisation AirCyber : Analyse pour les PME

L'investissement associé à la démarche de labellisation AirCyber comprend plusieurs composantes qu'il convient d'anticiper et de budgéter correctement pour éviter les mauvaises surprises : le coût de l'accompagnement préparatoire (consultant ou RSSI externalisé pour l'analyse des écarts et la mise en conformité), le coût de l'audit réalisé par l'assesseur accrédité (variable selon la taille et la complexité de l'organisation, typiquement entre 5 000 et 20 000€ pour une PME aéronautique standard), les investissements techniques nécessaires pour atteindre les critères non encore satisfaits (solutions de sécurité, outils de sauvegarde, infrastructure de gestion des accès), et le coût récurrent du maintien du label (temps interne, abonnements aux solutions de sécurité, formations annuelles).

Le retour sur investissement de la labellisation AirCyber s'évalue sur plusieurs dimensions : préservation ou gain de marchés clients dans la filière (l'impact commercial d'un marché perdu faute de label peut largement dépasser le coût de la labellisation), réduction des primes d'assurance cyber (certains assureurs accordent des réductions significatives aux organisations labellisées), diminution du risque de compromission grâce aux contrôles mis en place (un seul incident de ransomware en production coûte en moyenne plusieurs centaines de milliers d'euros à une PME industrielle), et bénéfices organisationnels indirects (meilleure structuration des processus IT, amélioration de la continuité d'activité, renforcement de la confiance des collaborateurs dans les outils de l'entreprise). Pour la plupart des PME de la filière aéronautique, le calcul de ROI de la labellisation AirCyber est positif sur un horizon de 2 à 3 ans.

Questions Clés à Poser à un Assesseur AirCyber Potentiel

La sélection d'un assesseur AirCyber accrédité est une décision stratégique qui mérite une due diligence approfondie. Au-delà de la vérification de l'accréditation sur la liste officielle du GIFAS, l'organisation doit s'assurer que l'assesseur dispose de l'expertise sectorielle et de la capacité opérationnelle pour conduire l'audit dans les délais souhaités avec la qualité requise.

Les questions essentielles à poser lors de la sélection d'un assesseur AirCyber : Combien d'audits AirCyber avez-vous réalisés au cours des 12 derniers mois, et quel est votre taux de succès des organisations auditées au premier passage ? Quelles sont vos références dans notre sous-secteur (aéronautique civile, défense, spatiale, MRO) ? Quelle est votre méthodologie pour la phase d'analyse des écarts pré-audit ? Votre équipe d'audit comprend-elle des spécialistes en OT/systèmes industriels si nous avons des équipements de production connectés dans le périmètre ? Comment gérez-vous les cas où des non-conformités critiques sont découvertes lors de l'audit — proposez-vous un accompagnement à la remédiation, ou est-ce une prestation séparée ? Quelle est votre politique en cas d'échec à l'audit — dans quel délai pouvons-nous repasser un audit de rattrapage ? Les réponses à ces questions permettront de choisir l'assesseur le mieux aligné avec les besoins spécifiques de l'organisation et d'établir une relation de travail constructive qui maximise les chances d'obtention du label dès la première tentative d'audit.

Périmètre d'Audit AirCyber : Définir les Frontières du Système d'Information Audité

La définition précise du périmètre du système d'information soumis à l'audit AirCyber est une étape préliminaire critique qui conditionne l'ensemble de la démarche. Un périmètre trop large complexifie l'audit et augmente les coûts sans nécessairement apporter de valeur supplémentaire, tandis qu'un périmètre trop restreint peut exclure des systèmes critiques pour la sécurité de l'organisation, créant des risques résiduels non évalués qui pourraient être exploités par des attaquants.

Les principes de définition du périmètre AirCyber pour les entreprises aéronautiques incluent : l'identification de tous les systèmes qui traitent, stockent ou transmettent des données sensibles liées aux activités aéronautiques et de défense (propriété intellectuelle, plans, données de certification, données contractuelles avec les donneurs d'ordres), la prise en compte des interconnexions avec les systèmes des clients et partenaires via des réseaux EDI, des portails fournisseurs ou des accès VPN dédiés, l'inclusion des systèmes OT (SCADA, automates, machines-outils à commande numérique) si ceux-ci sont interconnectés avec le réseau IT ou gèrent des processus de production liés aux composants aéronautiques, et la documentation claire des frontières du périmètre avec les systèmes exclus et les justifications de leur exclusion. Cette délimitation précise est validée avec l'assesseur lors de la phase de cadrage qui précède l'audit formel, garantissant que les deux parties partagent la même compréhension du périmètre évalué.