Guide AirCyber Bronze : Obtenir la Labellisation en 2026

La labellisation AirCyber Bronze est devenue en 2024 un prérequis incontournable pour tout sous-traitant aéronautique souhaitant maintenir ou développer ses contrats avec les grands donneurs d'ordres de la filière. Depuis que Safran a rendu obligatoire ce label pour l'ensemble de ses fournisseurs directs en juin 2024, la question n'est plus de savoir si votre entreprise doit s'y conformer, mais comment y parvenir dans les meilleures conditions et dans les délais impartis par vos acheteurs. Ce guide pratique détaille les cinq étapes clés du processus de labellisation, les 44 mesures de sécurité à satisfaire regroupées en huit domaines thématiques, les coûts réels constatés sur le terrain et les subventions mobilisables via France 2030, pour vous permettre d'aborder cette démarche avec méthode, rigueur et sérénité dès aujourd'hui.

Qu'est-ce qu'AirCyber Bronze et pourquoi c'est devenu obligatoire

AirCyber est le programme de cybersécurité de la filière aéronautique française, lancé en janvier 2019 par BoostAerospace — groupement créé en 2011 par Airbus, Dassault Aviation, Safran et Thales. Ce référentiel décline en trois niveaux progressifs (Bronze, Silver, Gold) les exigences de sécurité applicables aux entreprises de la supply chain aéronautique.

Le niveau Bronze constitue le socle de base : il s'appuie sur les 44 mesures du Guide d'Hygiène Informatique de l'ANSSI, enrichies de mesures spécifiques au secteur aéronautique (protection des données ITAR/EAR, gestion des accès aux systèmes de conception, etc.).

La dynamique d'obligation s'est accélérée depuis 2024. Safran a été le premier grand donneur d'ordres à rendre AirCyber Bronze formellement obligatoire pour l'ensemble de ses fournisseurs directs dans le cadre du programme SAFe, avec effet depuis juin 2024. Le contact officiel du programme est SafranCyberFournisseurs@safrangroup.com. Airbus, Dassault Aviation et Thales suivent une trajectoire similaire et intègrent progressivement AirCyber dans leurs exigences contractuelles. En septembre 2023, lors du congrès de Dublin, l'Aviation ISAC a officiellement reconnu AirCyber comme référentiel mondial de cybersécurité pour la filière aéronautique, signal fort de son importance croissante.

Aujourd'hui, sur les 430+ membres d'AirCyber, environ 33 % ont atteint le niveau Bronze, 28 entreprises le niveau Silver et seulement 6 % le niveau Gold — ce qui signifie que la grande majorité des entreprises concernées sont encore en cours de mise en conformité. Ne pas s'y engager rapidement, c'est prendre le risque d'être déréférencé.

Les 5 étapes du processus de labellisation AirCyber Bronze

Le parcours de labellisation est structuré en cinq phases successives, chacune requérant une préparation spécifique. Voici le déroulé type tel qu'il se pratique sur le terrain.

Étape 1 — Auto-évaluation initiale

Vous commencez par renseigner le questionnaire d'auto-évaluation disponible sur le portail BoostAerospace. Ce questionnaire couvre les 44 mesures ANSSI et les mesures sectorielles. Il vous donne un premier aperçu de votre niveau de maturité et identifie les écarts à combler. Cette phase dure généralement 1 à 2 semaines selon la taille de l'entreprise et la disponibilité des parties prenantes.

Étape 2 — Plan de remédiation

Sur la base des écarts identifiés, vous établissez un plan de remédiation priorisé. Chaque mesure non conforme est associée à une action corrective, un responsable, une échéance et une estimation de coût. Ce plan constitue votre feuille de route vers la labellisation et sera examiné par l'assesseur lors de l'audit.

Étape 3 — Mise en œuvre des mesures

C'est la phase la plus longue : vous déployez les solutions techniques et organisationnelles identifiées dans le plan de remédiation. Cela peut inclure la mise en place d'un EDR (Endpoint Detection and Response), le renforcement de la politique de mots de passe, la segmentation réseau, la mise en œuvre d'un plan de sauvegarde testé, ou la rédaction de la Politique de Sécurité des Systèmes d'Information (PSSI).

Étape 4 — Audit par un assesseur accrédité

Un assesseur accrédité AirCyber réalise l'audit sur site (et parfois à distance pour certaines vérifications). Il passe en revue les documents à préparer pour l'audit, interroge les équipes techniques et vérifie la mise en œuvre effective des mesures. L'audit dure généralement 1 à 2 jours pour une PME. À l'issue, l'assesseur produit un rapport détaillé avec un avis de conformité ou de non-conformité motivé.

Étape 5 — Délivrance du label

Si l'audit est positif, BoostAerospace délivre officiellement le label AirCyber Bronze, valable 2 ans. Le label est inscrit dans l'annuaire officiel AirCyber, accessible aux donneurs d'ordres pour vérification. En cas de non-conformité sur certaines mesures, un délai de remédiation peut être accordé avant un second passage.

Les 44 mesures ANSSI — Les 8 domaines couverts

Les 44 mesures du Guide d'Hygiène Informatique de l'ANSSI sont regroupées en huit domaines thématiques. Il est important de comprendre ce que chaque domaine implique concrètement pour une PME industrielle.

1. Politique de sécurité et organisation

Ce domaine exige la formalisation d'une PSSI (Politique de Sécurité des Systèmes d'Information) validée par la direction, la désignation d'un référent sécurité et la mise en place d'un processus de gestion des incidents. Il s'agit du fondement documentaire sans lequel aucune autre mesure ne peut être correctement évaluée.

2. Protection périmétrique

Filtrage des flux entrants et sortants via un pare-feu correctement configuré, séparation des réseaux administratif et de production, restriction des accès Internet aux seuls usages professionnels nécessaires. Cette mesure est souvent sous-estimée dans les PME industrielles qui ont des accès distants multiples non contrôlés.

3. Authentification et gestion des accès

Politique de mots de passe robuste (longueur, complexité, renouvellement), authentification à deux facteurs (MFA) pour les accès distants et les comptes administrateurs, gestion rigoureuse des départs et transferts de personnel. Le principe du moindre privilège doit être appliqué à tous les comptes.

4. Sécurité des postes de travail

Déploiement d'un antivirus ou EDR sur l'ensemble des postes, chiffrement des disques durs sur les postes nomades, inventaire exhaustif des actifs informatiques. Les clés USB doivent être contrôlées, et les postes non maîtrisés ne doivent pas accéder au réseau d'entreprise.

5. Gestion des mises à jour

Processus formalisé de gestion des correctifs pour les systèmes d'exploitation et les applications, avec des délais cibles (critique : sous 72h, important : sous 30 jours). Les systèmes en fin de support doivent être identifiés et un plan de migration établi.

6. Sauvegarde et continuité d'activité

Sauvegardes automatisées, chiffrées, avec copies hors ligne (air-gap) pour résister aux ransomwares. Les tests de restauration doivent être documentés et réalisés au moins une fois par an. Un PRA (Plan de Reprise d'Activité) doit définir les RTO et RPO cibles.

7. Journalisation et surveillance

Conservation des journaux d'événements (logs) pendant au moins 1 an pour les équipements critiques, mise en place d'alertes sur les événements suspects (connexions en dehors des heures ouvrées, volume inhabituel de données transférées). La journalisation est souvent le domaine le plus négligé dans les PME.

8. Sensibilisation des équipes

Formation annuelle obligatoire de l'ensemble du personnel aux bonnes pratiques de sécurité, avec exercices de phishing simulé et procédures claires pour signaler un incident. La sensibilisation doit être documentée (listes de présence, supports de formation).

Durée et coût réels de la labellisation

La durée effective du processus varie de 3 à 6 mois selon l'état de maturité initiale de l'entreprise et la disponibilité des ressources internes. Les entreprises ayant déjà une démarche ISO 27001 ou des pratiques ANSSI en place peuvent réduire ce délai à 2-3 mois.

Sur le plan financier, le coût du diagnostic initial est d'environ 8 800 € HT, dont 50 % peut être subventionné via le dispositif France Relance, ramenant le coût réel à environ 4 400 € HT. La mise en œuvre des mesures techniques et organisationnelles représente ensuite un investissement variable selon les écarts constatés, généralement entre 5 000 et 30 000 € HT pour une PME de 20 à 100 personnes.

Les dispositifs France 2030 Cyber PME permettent d'obtenir jusqu'à 70 % des dépenses de sécurisation couvertes, pour des montants allant de 30 000 à 80 000 € par entreprise (sous conditions de CA inférieur à 90 M€). Des aides régionales complémentaires existent également via Aerospace Valley (Nouvelle-Aquitaine/Occitanie) et Normandie AeroEspace. Pour les détails sur les financements disponibles pour les PME aéronautiques, consultez notre guide dédié.

Comment choisir son assesseur accrédité AirCyber

Le choix de l'assesseur accrédité est une étape stratégique souvent sous-estimée. L'assesseur n'est pas seulement un auditeur : il peut aussi jouer un rôle de conseil dans la phase de préparation. Voici les critères à privilégier.

L'accréditation officielle est le prérequis absolu : vérifiez que l'assesseur figure bien dans l'annuaire officiel des assesseurs AirCyber sur le portail BoostAerospace. Ensuite, évaluez son expérience sectorielle : un assesseur ayant audité des entreprises de taille et de métier comparables aux vôtres sera plus pertinent dans son évaluation et ses recommandations.

La disponibilité et la réactivité sont également importantes : dans le contexte actuel de forte demande, certains assesseurs sont bookés 3 à 4 mois à l'avance. Anticipez ce délai dans votre planning. Enfin, comparez les modalités d'accompagnement proposées : certains assesseurs offrent des phases de pré-audit et de coaching qui augmentent significativement le taux de succès au premier passage.

Notre équipe d'accompagnement AirCyber peut vous aider à identifier les assesseurs adaptés à votre profil et à coordonner l'ensemble de la démarche, depuis l'auto-évaluation jusqu'à la délivrance du label. Retrouvez l'ensemble des ressources AirCyber dans notre centre de ressources AirCyber.

Pour aller plus loin dans votre démarche de conformité, la certification ISO 27001 constitue une étape naturelle après le niveau AirCyber Silver, partageant de nombreuses mesures en commun.

FAQ — Questions fréquentes sur AirCyber Bronze

Mon entreprise est très petite (moins de 10 salariés). Suis-je vraiment concerné par AirCyber Bronze ?

Oui. AirCyber s'applique à tous les sous-traitants de la supply chain aéronautique, quelle que soit leur taille. Safran ne prévoit pas d'exemption pour les TPE. Toutefois, les mesures sont dimensionnées pour être applicables même dans de petites structures : certaines mesures documentaires peuvent être plus légères, et l'accompagnement mutualisé via des groupements d'entreprises (UIMM, GIFAS) est possible pour réduire les coûts.

Quelle est la différence entre AirCyber Bronze et la certification ISO 27001 ?

AirCyber Bronze est plus accessible et moins coûteux que l'ISO 27001. Il se concentre sur 44 mesures concrètes, sans exiger un SMSI (Système de Management de la Sécurité de l'Information) complet. L'ISO 27001 est une norme internationale plus exigeante, couvrant environ 93 contrôles organisés en processus. AirCyber Silver s'aligne sur la couverture ISO 27001 et constitue souvent une étape préparatoire vers cette certification.

Le label AirCyber Bronze est-il reconnu en dehors de l'aéronautique ?

AirCyber est spécifiquement conçu pour la filière aéronautique et défense. Depuis la reconnaissance par l'Aviation ISAC en septembre 2023, sa portée internationale s'étend progressivement. Il n'est pas directement reconnu dans d'autres secteurs comme l'automobile (qui utilise TISAX) ou la santé (HDS), mais les bonnes pratiques qu'il induit sont transposables à tout cadre de gestion de la sécurité.