AirCyber : Guide Complet pour la Certification BoostAerospace des Fournisseurs Aéronautiques (2026)

Dans un secteur aéronautique de plus en plus exposé aux cybermenaces, la sécurisation de la chaîne d'approvisionnement est devenue une priorité absolue pour les grands donneurs d'ordres. Le programme AirCyber, porté par la joint-venture BoostAerospace regroupant Airbus, Dassault Aviation, Safran et Thales, répond à cette exigence en proposant un référentiel de cybersécurité dédié aux fournisseurs du secteur. Conçu pour évaluer et certifier la maturité cyber des sous-traitants, AirCyber offre trois niveaux de certification — Bronze, Silver et Gold — adaptés à la taille et au niveau de maturité de chaque entreprise. Avec 233 membres inscrits au programme, dont des micro-entreprises, TPE, PME et ETI, AirCyber s'impose comme le standard incontournable pour tout fournisseur souhaitant démontrer sa fiabilité numérique auprès des OEM aéronautiques. Ce guide complet détaille le fonctionnement du programme, ses niveaux de certification, son processus d'obtention, ses tarifs et son articulation avec les autres référentiels internationaux, pour vous aider à bâtir une stratégie de certification efficace et reconnue.

Qu'est-ce que le programme AirCyber BoostAerospace ?

AirCyber est une initiative sectorielle lancée par BoostAerospace, une joint-venture créée par les quatre plus grands acteurs de l'industrie aéronautique et de défense française et européenne : Airbus, Dassault Aviation, Safran et Thales. Née du constat que les cyberattaques visant la chaîne d'approvisionnement représentent une menace croissante pour l'ensemble du secteur, cette démarche collaborative vise à élever le niveau de cybersécurité de l'ensemble de l'écosystème aéronautique.

Le principe est simple mais ambitieux : proposer aux fournisseurs et sous-traitants un référentiel commun, reconnu par tous les donneurs d'ordres, qui leur permette de démontrer leur maturité cyber sans avoir à multiplier les audits et certifications spécifiques à chaque client. Là où une PME devrait normalement se soumettre à des évaluations distinctes pour chacun de ses clients OEM, AirCyber centralise cette évaluation en un seul programme reconnu de manière transversale.

Le programme repose sur un questionnaire d'auto-évaluation structuré, articulé autour des bonnes pratiques de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) et aligné avec les grands référentiels internationaux. Il est géré par une plateforme dédiée qui accompagne les entreprises tout au long du processus, de l'inscription initiale jusqu'à l'obtention du badge de certification, en passant par le suivi continu du plan d'amélioration.

Concrètement, AirCyber propose trois services fondamentaux à ses membres : une évaluation continue de la maturité cyber, l'accès à un catalogue de solutions de cybersécurité de confiance sélectionnées pour le secteur, et un programme de sensibilisation des équipes. À cela s'ajoutent des ressources documentaires issues directement des OEM membres, permettant aux fournisseurs de comprendre précisément les attentes de leurs clients en matière de sécurité numérique.

L'adhésion au programme est ouverte à toutes les entreprises de la chaîne d'approvisionnement aéronautique, quelle que soit leur taille. Les 233 membres actuels illustrent cette diversité : 6 micro-entreprises, 183 TPE et PME, et 44 ETI ont rejoint le programme, témoignant de sa pertinence pour des organisations aux ressources très variées.

Les trois niveaux de certification AirCyber (Bronze, Silver, Gold)

Le programme AirCyber s'organise selon une progression à trois niveaux, permettant à chaque entreprise de se positionner en fonction de sa maturité cyber actuelle et des exigences de ses clients donneurs d'ordres. Cette graduation permet d'éviter l'effet "tout ou rien" souvent décourageant dans les démarches de certification, et d'engager toutes les entreprises, même celles partant de zéro.

Niveau Bronze : la fondation cyber indispensable

Le niveau Bronze constitue le point d'entrée du programme. Il est fondé sur les recommandations d'hygiène informatique de l'ANSSI et exige un score supérieur à 90% au questionnaire d'auto-évaluation. Ce premier niveau est conçu pour être accessible : le questionnaire couvre les pratiques essentielles de cybersécurité — gestion des mots de passe, mises à jour, sauvegardes, contrôle des accès — et peut être complété sans expertise technique pointue.

La réalisation du questionnaire Bronze ne demande généralement qu'une journée de travail, ce qui en fait une première étape très abordable pour des PME disposant de ressources limitées. Le score de 90% requis signifie que l'entreprise doit avoir adopté la grande majorité des bonnes pratiques élémentaires, sans pour autant exiger des dispositifs sophistiqués.

Ce niveau est particulièrement adapté aux TPE et PME qui débutent dans la structuration de leur démarche cybersécurité. Il constitue également le prérequis indispensable pour accéder aux niveaux supérieurs du programme.

Niveau Silver : la protection opérationnelle

Le niveau Silver franchit un cap supplémentaire en exigeant le déploiement effectif de solutions de protection cyber. Là où le Bronze valide l'adoption de bonnes pratiques organisationnelles, le Silver vérifie la mise en place de dispositifs techniques concrets : protection des postes de travail (endpoint protection), stratégie de sauvegarde testée et fonctionnelle, gestion des vulnérabilités, segmentation réseau, et autres mesures de protection proactive.

Ce niveau correspond à une entreprise qui a non seulement compris les enjeux cyber, mais qui a également investi dans des outils appropriés et les a correctement configurés. Il démontre une maturité opérationnelle réelle, au-delà des simples déclarations d'intention.

À ce jour, 9 entreprises membres ont obtenu la certification Silver, ce qui illustre que ce niveau est exigeant mais accessible à des organisations ayant investi sérieusement dans leur sécurité informatique.

Niveau Gold : l'excellence cyber de niveau OEM

Le niveau Gold représente l'excellence en matière de cybersécurité dans le contexte du programme AirCyber. Aligné sur les capacités attendues des OEM eux-mêmes, il requiert la mise en place de capacités avancées de détection et de remédiation des incidents, équivalentes à celles d'un SOC (Security Operations Center). Ce niveau implique une surveillance continue des systèmes, des processus de réponse aux incidents documentés et testés, et une capacité démontrée à détecter et neutraliser les menaces en temps réel.

Actuellement, une seule entreprise membre a atteint le niveau Gold, ce qui témoigne à la fois de son niveau d'exigence élevé et du long chemin de maturation qu'il représente pour la plupart des fournisseurs. Pour une PME ou une ETI, l'obtention du Gold constitue un véritable différenciateur compétitif.

Tableau comparatif des trois niveaux

Le processus de certification AirCyber étape par étape

Le programme AirCyber a été conçu pour être accessible et structuré, avec un processus clair qui guide les entreprises de l'inscription jusqu'à la certification. Comprendre chaque étape permet de mieux anticiper les efforts requis et de s'y préparer efficacement.

Étape 1 : L'inscription au programme

La première étape consiste à rejoindre officiellement le programme via la plateforme BoostAerospace. L'inscription est ouverte à tout fournisseur ou sous-traitant de la chaîne d'approvisionnement aéronautique, sans condition préalable de taille ou de chiffre d'affaires. Lors de l'inscription, l'entreprise renseigne ses informations générales (taille, secteur d'activité, systèmes d'information en place) et sélectionne le niveau de certification visé.

Cette étape marque le début de l'accès à la plateforme AirCyber et à ses ressources : catalogue de solutions, guides de bonnes pratiques, documentation OEM. C'est également à ce moment que l'entreprise choisit si elle souhaite être accompagnée par un prestataire expert ou réaliser la démarche en autonomie.

Étape 2 : Le questionnaire d'évaluation

Une fois inscrite, l'entreprise reçoit son questionnaire d'évaluation dans un délai maximum de trois mois. Ce questionnaire, adapté au niveau de certification visé, explore l'ensemble des dimensions de la cybersécurité de l'organisation : gouvernance, protection des actifs, gestion des accès, continuité d'activité, gestion des incidents, et plus encore.

Pour le niveau Bronze, le questionnaire peut être réalisé en autonomie par un responsable informatique ou dirigeant ayant une bonne connaissance de l'infrastructure de l'entreprise. Pour les niveaux Silver et Gold, la complexité technique du questionnaire rend l'accompagnement par un expert cybersécurité fortement recommandé, non pas pour "tricher" avec les réponses, mais pour s'assurer que les pratiques en place sont correctement documentées et décrites.

Étape 3 : Le rapport de maturité

À l'issue du questionnaire, l'entreprise reçoit un rapport de maturité détaillé. Ce document, généré par la plateforme AirCyber, analyse les réponses fournies et produit une évaluation structurée des points forts et des axes d'amélioration. Il identifie les écarts par rapport aux exigences du niveau visé et, le cas échéant, des niveaux supérieurs.

Le rapport de maturité est un outil précieux en lui-même, indépendamment de la certification. Il fournit une photographie claire de l'état cyber de l'entreprise, avec des priorités d'action concrètes. Certaines entreprises utilisent ce rapport comme point de départ pour construire leur feuille de route cybersécurité, même avant d'avoir atteint le score requis pour la certification.

Étape 4 : Le plan d'actions et le suivi

Si l'entreprise n'atteint pas immédiatement le score requis pour le niveau visé, elle entre dans une phase de suivi du plan d'actions. La plateforme AirCyber propose des ressources pour adresser les points faibles identifiés, notamment via son catalogue de solutions de cybersécurité de confiance, sélectionnées pour leur adéquation avec les besoins des fournisseurs aéronautiques.

Le suivi n'est pas ponctuel mais continu : l'évaluation de la maturité cyber s'effectue de manière régulière, permettant à l'entreprise de mesurer sa progression et d'actualiser son score au fur et à mesure de la mise en œuvre des mesures correctives.

Étape 5 : L'obtention et le maintien du badge

Une fois le score requis atteint, l'entreprise obtient son badge de certification AirCyber au niveau correspondant. Ce badge est reconnu officiellement par Airbus, Dassault Aviation, Safran et Thales, ce qui représente une reconnaissance immédiate auprès des principaux donneurs d'ordres du secteur aéronautique.

La certification n'est pas définitive : elle doit être maintenue par un renouvellement annuel, qui permet de s'assurer que le niveau de sécurité est préservé dans la durée et que l'entreprise progresse continuellement. Ce renouvellement annuel a un coût très modeste (800 euros par an), bien inférieur à l'investissement initial.

Tarifs et financement : AirCyber accessible grâce à France Relance

L'un des atouts majeurs du programme AirCyber réside dans son accessibilité financière, rendue encore plus favorable grâce au soutien du plan France Relance. Les tarifs ont été calibrés pour ne pas constituer un obstacle à l'entrée pour les PME et les TPE.

Structure tarifaire

Pour les entreprises dont le chiffre d'affaires est inférieur à 90 millions d'euros — ce qui correspond à l'immense majorité des fournisseurs aéronautiques de la chaîne de sous-traitance — le programme AirCyber s'établit comme suit :

• Frais d'inscription (NRC - Non Récurrent) : 4 100 euros pour la première année, couvrant l'accès à la plateforme, le questionnaire d'évaluation, le rapport de maturité et le suivi du plan d'actions.
• Frais de renouvellement (RC - Récurrent) : 800 euros par an pour maintenir la certification et accéder aux mises à jour du programme.

Ce tarif est particulièrement compétitif au regard de la valeur apportée : une certification reconnue par les plus grands donneurs d'ordres aéronautiques mondiaux, une évaluation complète de la maturité cyber, et l'accès à un écosystème de ressources et de solutions de confiance.

Le financement France Relance : un levier exceptionnel

Le plan France Relance, dans son volet cybersécurité, prend en charge 100% des frais d'inscription jusqu'à hauteur de 4 100 euros. Concrètement, cela signifie que pour les entreprises éligibles, la première année du programme AirCyber peut être entièrement gratuite. Cette opportunité de financement est exceptionnelle et doit être saisie avant l'épuisement des enveloppes disponibles.

Pour bénéficier de ce financement, les entreprises doivent satisfaire aux critères d'éligibilité du plan France Relance et suivre la procédure de demande appropriée. Un accompagnement expert permet de maximiser les chances d'obtenir ce financement et de réduire les démarches administratives associées.

Il convient de noter que les frais de renouvellement annuels (800 euros) ne sont pas couverts par ce dispositif. Cependant, leur montant modeste les rend accessibles sans financement externe pour la grande majorité des entreprises concernées.

Le retour sur investissement de la certification

Au-delà du financement, il est important de considérer la certification AirCyber comme un investissement à fort retour. Une entreprise certifiée démontre sa fiabilité cyber à ses clients OEM, ce qui peut avoir un impact direct sur les décisions d'attribution de marchés. Dans un secteur où la cybersécurité de la chaîne d'approvisionnement est devenue un critère de qualification, ne pas avoir de certification AirCyber peut à terme constituer un désavantage concurrentiel significatif.

AirCyber vs ISO 27001 : quelle stratégie adopter ?

La question de l'articulation entre AirCyber et ISO 27001 est fréquemment posée par les fournisseurs aéronautiques qui cherchent à structurer leur démarche cybersécurité. Ces deux référentiels ne sont pas concurrents mais complémentaires, et leur combinaison représente souvent la stratégie optimale. Cependant, l'ordre dans lequel les aborder fait toute la différence.

Pourquoi commencer par AirCyber ?

Pour un fournisseur aéronautique, AirCyber doit être la première étape de la démarche, avant ISO 27001. Les raisons sont multiples et convergent vers un argument central : la reconnaissance immédiate auprès des OEM aéronautiques.

Premièrement, l'effort requis est sans commune mesure. L'évaluation AirCyber Bronze demande environ une journée de travail pour compléter le questionnaire, quand une certification ISO 27001 nécessite plusieurs semaines, voire plusieurs mois d'audit approfondi. Pour une PME aux ressources limitées, la différence est considérable.

Deuxièmement, la reconnaissance sectorielle est immédiate. Dès l'obtention du badge Bronze, l'entreprise est reconnue par Airbus, Dassault Aviation, Safran et Thales. L'ISO 27001, bien que prestigieuse et universellement reconnue, n'offre pas cette reconnaissance sectorielle spécifique auprès des OEM aéronautiques — du moins pas de manière aussi directe et formalisée.

Troisièmement, AirCyber prépare efficacement à ISO 27001. La démarche AirCyber structure l'approche cyber de l'entreprise, identifie les points faibles et met en place des bonnes pratiques qui constituent une base solide pour une certification ISO 27001 ultérieure. Les deux démarches partagent de nombreux domaines communs (gestion des risques, continuité d'activité, sécurité des accès), et le travail réalisé pour AirCyber n'est pas perdu lorsqu'on s'engage vers l'ISO 27001.

La complémentarité des deux certifications

À moyen terme, une entreprise aéronautique mature devrait viser les deux certifications. L'ISO 27001 apporte une reconnaissance internationale tous secteurs confondus, un cadre de management de la sécurité de l'information (SMSI) robuste et une crédibilité auprès d'un spectre plus large de clients potentiels. AirCyber apporte la reconnaissance spécifique au secteur aéronautique et la visibilité dans l'écosystème BoostAerospace.

Pour les entreprises qui travaillent à la fois dans l'aéronautique et dans d'autres secteurs réglementés (défense, spatial, énergie), la stratégie AirCyber + ISO 27001 offre une couverture optimale. Pour celles qui sont exclusivement dans l'aéronautique civile, AirCyber seul peut suffire dans un premier temps.

Il convient également de mentionner la conformité NIS 2, dont les exigences peuvent se recouper partiellement avec AirCyber pour les entreprises considérées comme "entités importantes" ou "entités essentielles" au sens de la directive européenne. Une stratégie globale de conformité doit prendre en compte l'ensemble de ces référentiels pour éviter les efforts redondants.

Tableau comparatif AirCyber vs ISO 27001

Pour approfondir la démarche ISO 27001, vous pouvez consulter notre page dédiée à l'accompagnement ISO 27001, qui détaille comment articuler cette certification avec votre stratégie de conformité globale.

Équivalences avec les référentiels internationaux

L'un des aspects les plus stratégiques du programme AirCyber est son alignement soigneusement construit avec les principaux référentiels de cybersécurité reconnus internationalement. Cet alignement n'est pas anecdotique : il signifie que le travail réalisé pour obtenir une certification AirCyber n'est pas un effort isolé, mais s'inscrit dans une démarche de conformité plus large.

NIST Cybersecurity Framework v1.1

Le NIST Cybersecurity Framework (CSF), développé par le National Institute of Standards and Technology américain, est la référence internationale en matière de gestion du risque cyber pour les infrastructures critiques. AirCyber est aligné avec la version 1.1 de ce framework, organisé autour de cinq fonctions : Identify (Identifier), Protect (Protéger), Detect (Détecter), Respond (Répondre) et Recover (Récupérer).

Pour les fournisseurs aéronautiques qui travaillent également avec des clients américains ou des contractants de défense américains, cette équivalence est particulièrement précieuse. Elle signifie que la certification AirCyber contribue à la conformité NIST CSF, et vice versa.

CMMC v2 (Cybersecurity Maturity Model Certification)

Le CMMC est le modèle de certification de maturité cybersécurité imposé par le Département de la Défense américain (DoD) à ses fournisseurs. Sa version 2, applicable depuis 2023, est un prérequis pour tout fournisseur souhaitant travailler sur des contrats de défense américains. L'alignement entre AirCyber et CMMC v2 est particulièrement pertinent pour les ETI et grandes entreprises aéronautiques françaises qui opèrent dans le secteur de la défense transatlantique.

CIS Controls v8

Les CIS Controls (Center for Internet Security) constituent un ensemble de bonnes pratiques priorisées, reconnues dans le monde entier pour leur pragmatisme et leur efficacité. La version 8, qui regroupe 18 contrôles essentiels, est parfaitement cohérente avec les exigences AirCyber. Les entreprises qui suivent les CIS Controls disposent d'une base solide pour progresser rapidement dans le programme AirCyber.

Guide d'Hygiène Informatique de l'ANSSI

Fondement même du niveau Bronze AirCyber, le Guide d'Hygiène Informatique de l'ANSSI représente les 42 règles essentielles de sécurité des systèmes d'information édictées par l'agence française. AirCyber Bronze s'appuie directement sur ce guide, ce qui signifie que tout travail de mise en conformité avec les recommandations ANSSI contribue directement à l'obtention du niveau Bronze.

UK Cyber Essentials Plus

Le programme Cyber Essentials Plus, développé par le National Cyber Security Centre britannique, est l'équivalent outre-Manche du niveau Bronze AirCyber. Cette équivalence est stratégique pour les fournisseurs aéronautiques français travaillant avec des clients britanniques (BAE Systems, Rolls-Royce, etc.), car une certification AirCyber facilite grandement l'obtention du Cyber Essentials Plus.

ISO 27001 et IEC 62443

L'alignement avec ISO 27001 (management de la sécurité de l'information) et IEC 62443 (cybersécurité des systèmes d'automatisation et de contrôle industriels) est particulièrement important pour les entreprises intégrant des systèmes industriels connectés dans leur production. IEC 62443 est notamment pertinente pour les sous-traitants de rang 2 et 3 qui opèrent des ateliers avec des équipements industriels connectés (machines-outils à commande numérique, SCADA, etc.).

Cette carte d'équivalences multi-référentiels fait d'AirCyber un investissement à très fort effet de levier : en structurant sa démarche autour d'AirCyber, une entreprise construit simultanément les fondations de sa conformité à l'ensemble de ces référentiels, réduisant considérablement les efforts futurs.

Retours d'expérience : 233 entreprises déjà membres du programme

Avec 233 membres inscrits au programme AirCyber, la base d'expérience accumulée est suffisamment significative pour identifier des tendances et des enseignements utiles à toute entreprise qui envisage de rejoindre le programme.

Un profil de membres très diversifié

La répartition des 233 membres est révélatrice de la capacité du programme à toucher toutes les strates de la chaîne d'approvisionnement : 6 micro-entreprises (moins de 10 salariés), 183 TPE et PME (entre 10 et 249 salariés), et 44 ETI (entre 250 et 4 999 salariés). Cette diversité démontre que le programme AirCyber n'est pas réservé aux grandes structures disposant de DSI étoffées, mais est véritablement accessible aux organisations de toute taille.

Parmi ces 233 membres, 41 ont atteint un niveau de certification : 31 au niveau Bronze, 9 au niveau Silver, et 1 au niveau Gold. Ce taux de certification de 17,6% illustre que le processus, bien que structuré et exigeant, est clairement atteignable, et que la majorité des membres sont encore en cours de progression vers leur certification.

Les défis les plus fréquents rencontrés par les PME

Les retours d'expérience des membres révèlent plusieurs défis récurrents. Le premier est la documentation des pratiques existantes : de nombreuses PME ont des pratiques de sécurité informelles mais efficaces, qui ne sont pas formalisées. Le questionnaire AirCyber oblige à les documenter, ce qui est un exercice bénéfique mais parfois chronophage.

Le deuxième défi est la gestion des mises à jour. L'hygiène ANSSI exige un processus rigoureux de gestion des correctifs sur l'ensemble du parc informatique, ce qui suppose une cartographie précise des actifs et des procédures claires. Pour des PME sans DSI dédiée, cette exigence peut nécessiter un accompagnement externe.

Le troisième défi concerne la sensibilisation des équipes. AirCyber intègre des exigences sur la formation des collaborateurs aux risques cyber, notamment au phishing et aux bonnes pratiques générales. Mettre en place un programme de sensibilisation récurrent est souvent un point d'amélioration identifié dans les rapports de maturité.

Les bénéfices concrets rapportés

Au-delà de la reconnaissance OEM, les membres qui ont complété leur certification AirCyber rapportent plusieurs bénéfices opérationnels concrets. La démarche a souvent été l'occasion de réaliser un inventaire complet des actifs informatiques, de rationaliser les politiques de mots de passe, et de tester pour la première fois les procédures de restauration des sauvegardes. Ces améliorations ont une valeur intrinsèque, indépendamment du badge obtenu.

Les entreprises certifiées rapportent également une plus grande sérénité dans leurs réponses aux questionnaires de leurs clients. Plutôt que de remplir ad hoc des formulaires de sécurité au fil des appels d'offres, elles peuvent désormais référencer leur certification AirCyber, simplifiant considérablement ces interactions.

Pourquoi faire appel à un expert pour votre certification AirCyber ?

Si le programme AirCyber Bronze est techniquement réalisable en autonomie pour une entreprise disposant d'un responsable informatique compétent, l'accompagnement par un expert cybersécurité spécialisé présente des avantages significatifs qui se traduisent souvent par un retour sur investissement mesurable.

L'objectivité de l'évaluation initiale

Le principal risque de l'auto-évaluation est le biais inconscient. Un responsable informatique qui a lui-même mis en place les pratiques qu'il évalue aura naturellement tendance à en surestimer la robustesse. Un expert externe apporte un regard objectif et critique, fondé sur l'expérience d'audits multiples dans des contextes similaires. Il saura identifier les angles morts et les pratiques qui paraissent solides en apparence mais présentent des failles réelles.

L'optimisation du score et de la progression

Un accompagnement expert ne consiste pas à "gonfler" artificiellement les réponses au questionnaire, mais à s'assurer que les pratiques réellement en place sont correctement documentées et présentées. Il est fréquent qu'une entreprise ait de bonnes pratiques informelles qui ne sont simplement pas formalisées : un expert saura les identifier et aider à les documenter correctement, sans mentir mais en valorisant l'existant à sa juste valeur.

Par ailleurs, lorsqu'un écart est identifié, l'expert peut recommander les mesures correctives les plus efficaces et les moins coûteuses, en tenant compte des contraintes spécifiques de l'entreprise. Cette optimisation du plan d'actions est souvent l'un des apports les plus appréciés de l'accompagnement.

La maîtrise des équivalences référentiels

Un expert cybersécurité familier des différents référentiels internationaux peut identifier les synergies entre AirCyber, ISO 27001, NIS 2 et les autres frameworks pertinents pour l'entreprise. Cette vision globale permet de mutualiser les efforts et d'éviter de travailler deux fois sur les mêmes sujets en cloisonnant les démarches.

Le montage du dossier de financement

La constitution d'un dossier de financement France Relance pour couvrir les frais AirCyber nécessite une connaissance précise des critères d'éligibilité et des démarches administratives. Un expert accompagnateur peut prendre en charge cette partie du processus, maximisant les chances d'obtenir le financement et libérant l'entreprise de démarches administratives chronophages.

La préparation des niveaux supérieurs

Enfin, un accompagnement dès le niveau Bronze permet d'anticiper la progression vers les niveaux Silver et Gold. En construisant une feuille de route cyber cohérente dès le départ, l'entreprise évite de devoir reprendre à zéro ses pratiques à chaque niveau et optimise son investissement global dans le programme.

FAQ — Questions fréquentes sur AirCyber et la certification BoostAerospace