Depuis juin 2024, Safran — l'un des trois premiers groupes aéronautiques et de défense mondiaux, co-fondateur de BoostAerospace avec Airbus, Dassault Aviation et Thales — impose formellement la labellisation AirCyber Bronze à l'ensemble de ses fournisseurs directs dans le cadre de son programme de sécurisation de la supply chain SAFe (Safran Fournisseurs). Cette décision marque un tournant majeur pour la filière aéronautique française : pour la première fois, un donneur d'ordres de premier rang conditionne explicitement la poursuite des relations commerciales à l'obtention d'un label de cybersécurité, et non plus simplement à une auto-déclaration de conformité. Voici ce que cela signifie concrètement pour votre entreprise en tant que fournisseur, quels sont les risques réels en cas de non-conformité persistante, et quelles sont les trois actions immédiates à engager sans délai pour vous conformer à cette nouvelle exigence contractuelle.

À retenir

AirCyber Bronze est désormais une condition contractuelle chez Safran. Le contact officiel du programme est SafranCyberFournisseurs@safrangroup.com. Ne pas engager la démarche dans les délais impartis expose au risque de déréférencement et de perte de contrats. Des subventions couvrant jusqu'à 70 % des coûts sont disponibles.

Ce que signifie concrètement l'obligation Safran AirCyber Bronze

Le programme SAFe (Safran Fournisseurs) traduit la volonté du groupe de sécuriser l'ensemble de sa chaîne d'approvisionnement contre les cybermenaces. Avec plus de 12 000 fournisseurs dans 60 pays, Safran est conscient que sa propre sécurité dépend de celle de ses partenaires — une compromission chez un sous-traitant peut permettre à un attaquant d'atteindre les systèmes de Safran via un mouvement latéral.

Concrètement, l'obligation signifie que vos acheteurs Safran peuvent désormais vous demander à tout moment de justifier de votre niveau AirCyber. Le programme a été officiellement notifié aux fournisseurs par courrier en juin 2024, avec des délais de mise en conformité qui varient selon le niveau de criticité de votre fourniture. Le contact officiel pour toute question relative au programme est : SafranCyberFournisseurs@safrangroup.com.

Les fournisseurs sont généralement classés en trois catégories de criticité, déterminant les délais accordés : fournisseurs critiques (accès aux SI Safran, fournitures de sécurité) — délai court ; fournisseurs importants (composants majeurs) — délai intermédiaire ; fournisseurs standards — délai plus long. Si vous n'avez pas encore été notifié, contactez directement votre acheteur Safran ou le programme SAFe pour connaître votre classification.

Risques en cas de non-conformité

Les conséquences d'une non-conformité à l'obligation AirCyber Bronze chez Safran sont graduées mais potentiellement sévères.

Dans un premier temps, votre entreprise peut être placée en liste d'observation, avec un plan d'actions exigé et des visites de suivi. Si aucune démarche n'est engagée, le risque de déréférencement (exclusion du panel fournisseurs) est réel. Dans les appels d'offres, les entreprises non labellisées peuvent se voir disqualifiées au stade de la qualification fournisseur. Enfin, une cyberattaque touchant votre entreprise et se propageant à Safran pourrait engager votre responsabilité contractuelle si vous n'aviez pas respecté vos obligations de sécurité.

Il est important de noter que Safran n'est pas seul dans cette démarche. Airbus, Dassault Aviation et Thales — les trois autres fondateurs de BoostAerospace — ont tous intégré AirCyber dans leurs grilles d'évaluation fournisseurs et s'orientent vers des obligations similaires. Être labellisé Bronze protège donc vos relations commerciales avec l'ensemble de la filière, pas seulement avec Safran.

Les 3 étapes immédiates pour les fournisseurs Safran

Si vous êtes fournisseur Safran et n'avez pas encore engagé votre démarche AirCyber, voici les trois actions à mener en priorité absolue.

Étape 1 — Contactez le programme SAFe et clarifiez votre délai

Écrivez à SafranCyberFournisseurs@safrangroup.com en indiquant votre numéro de fournisseur et en demandant votre classification et le délai qui vous est accordé. Conservez toutes les communications écrites. Cette démarche proactive est bien perçue par les acheteurs Safran et peut vous accorder du temps supplémentaire.

Étape 2 — Réalisez l'auto-évaluation AirCyber

Accédez au portail BoostAerospace AirCyber et complétez le questionnaire d'auto-évaluation. Ce bilan initial vous donnera une image claire de votre niveau de maturité actuel et des écarts à combler. Planifiez cette auto-évaluation dans les deux semaines suivant la réception de votre notification Safran.

Étape 3 — Lancez votre plan de remédiation et cherchez des financements

Sur la base de l'auto-évaluation, établissez un plan de remédiation priorisé et identifiez les financements disponibles. Le diagnostic AirCyber coûte environ 8 800 € HT, subventionnable à 50 % via France Relance. France 2030 Cyber PME permet d'obtenir jusqu'à 70 % des dépenses de sécurisation. Consultez notre article détaillé sur les financements AirCyber disponibles pour les PME.

Quelle aide est disponible pour se conformer

La filière aéronautique a mis en place plusieurs dispositifs d'aide pour faciliter la mise en conformité des PME. Le GIFAS (Groupement des Industries Françaises Aéronautiques et Spatiales) et l'UIMM proposent des accompagnements mutualisés permettant à plusieurs PME de partager les coûts d'un assesseur ou d'une formation.

Les clusters régionaux — Aerospace Valley (Nouvelle-Aquitaine/Occitanie) et Normandie AeroEspace — organisent régulièrement des sessions collectives d'information et de préparation à AirCyber. Ces événements sont souvent gratuits pour les membres et permettent de rencontrer des assesseurs accrédités.

Notre équipe propose un accompagnement AirCyber spécifiquement adapté aux fournisseurs Safran, avec une connaissance approfondie des exigences SAFe et des délais à respecter. Retrouvez toutes nos ressources dans le centre de ressources AirCyber, incluant le guide complet de la labellisation Bronze.

Pour préparer votre audit, consultez la checklist des 44 mesures ANSSI et la liste des documents obligatoires pour l'audit.

Le référentiel Guide d'Hygiène Informatique de l'ANSSI est téléchargeable gratuitement et constitue la base technique des 44 mesures Bronze.

Airbus, Dassault, Thales : vers une obligation similaire ?

La question est sur toutes les lèvres dans la supply chain. La réponse courte est : oui, c'est une tendance de fond irréversible. Airbus a intégré AirCyber dans son programme AirSupply de qualification fournisseurs. Dassault Aviation évalue ses fournisseurs sur la base du référentiel AirCyber depuis 2022. Thales pousse ses fournisseurs vers AirCyber dans le cadre de son programme Cyber@TS.

Depuis la reconnaissance d'AirCyber comme référentiel mondial par l'Aviation ISAC en septembre 2023 à Dublin, la pression internationale s'ajoute à la pression domestique. Les donneurs d'ordres américains (Boeing, Lockheed Martin, Raytheon) commencent à référencer AirCyber comme équivalent au CMMC (Cybersecurity Maturity Model Certification) américain pour leurs fournisseurs européens.

FAQ — AirCyber Bronze et obligation Safran

Mon entreprise a 12 salariés, suis-je vraiment concerné par l'obligation Safran ?

Oui. L'obligation Safran s'applique à tous les fournisseurs directs, quelle que soit leur taille. Il n'existe pas d'exemption pour les TPE ou les microentreprises. Cependant, les mesures AirCyber Bronze sont dimensionnées pour être accessibles même aux très petites entreprises, et les financements disponibles (France Relance, France 2030) s'appliquent aux entreprises jusqu'à 90 M€ de CA, donc couvrent la quasi-totalité des fournisseurs concernés.

Quel délai réaliste pour obtenir le Bronze si je commence aujourd'hui ?

En partant de zéro, le processus complet prend de 3 à 6 mois : auto-évaluation (2 semaines), plan de remédiation (1 à 2 semaines), mise en œuvre des mesures (2 à 4 mois), puis audit par l'assesseur (planning à anticiper car les assesseurs sont souvent bookés 4 à 8 semaines à l'avance). Si votre entreprise a déjà une démarche de sécurité en place (ISO 27001, PSSI existante, etc.), ce délai peut être réduit à 2 à 3 mois.

Que se passe-t-il si je ne l'obtiens pas avant le délai Safran ?

Si vous êtes engagé dans la démarche et pouvez le prouver (auto-évaluation réalisée, plan de remédiation formalisé, assesseur mandaté), Safran accordera généralement un délai supplémentaire. Ce qui est rédhibitoire, c'est l'absence totale de démarche. Dans ce cas, le risque de déréférencement dans les prochains appels d'offres est réel. Communiquez proactivement avec votre acheteur Safran et le programme SAFe pour montrer votre engagement.

Besoin d'un accompagnement AirCyber ?

Expert certifié — audit, remédiation, préparation à l'évaluation Bronze/Silver/Gold.

Découvrir notre accompagnement AirCyber →