Modèles PSSI et Politiques de Sécurité pour AirCyber Bronze

La documentation de sécurité constitue l'un des volets les plus chronophages — et les plus souvent sous-estimés — du parcours de labellisation AirCyber Bronze. L'assesseur accrédité BoostAerospace vérifie non seulement l'existence de chaque politique de sécurité, mais aussi leur caractère opérationnel et approprié à la taille et à l'activité de l'entreprise. Une politique copiée-collée depuis internet sans adaptation sera immédiatement identifiée comme non-conforme. Les 5 politiques de sécurité obligatoires pour Bronze forment un ensemble cohérent qui couvre la gouvernance, la gestion des accès, le comportement des utilisateurs, la réponse aux incidents et la continuité d'activité. Ce guide détaille pour chacune la structure recommandée, le contenu minimal attendu par l'assesseur, et les pièges à éviter lors de la rédaction. Vous y trouverez aussi des conseils pratiques pour adapter rapidement un modèle existant à votre contexte spécifique, que vous soyez un équipementier de 20 salariés ou un intégrateur de 200 personnes. La qualité de cette documentation conditionne directement le bon déroulement de l'audit et la rapidité d'obtention du label.

Politique 1 — PSSI (Politique de Sécurité des Systèmes d'Information)

La PSSI est le document chapeau qui définit les ambitions, les principes et le cadre organisationnel de la sécurité dans votre entreprise. Pour AirCyber Bronze, elle doit couvrir 6 sections obligatoires :

Section 1 — Contexte et enjeux : description de l'activité, périmètre du SI concerné, enjeux métier liés à la sécurité (données clients, propriété intellectuelle, continuité de production). Longueur recommandée : 1 à 2 pages.

Section 2 — Principes directeurs : les 5 à 8 principes fondamentaux de sécurité retenus par la direction (confidentialité, intégrité, disponibilité, conformité réglementaire). Ces principes doivent être signés par le Directeur Général — c'est un point de contrôle clé.

Section 3 — Organisation et responsabilités : organigramme de la sécurité (RSSI, responsable technique, correspondants métier), rôles et responsabilités définis, délégations formalisées.

Section 4 — Classification des informations : niveaux de sensibilité (Public / Interne / Confidentiel / Très Confidentiel), règles de traitement par niveau, exemples concrets adaptés à l'activité aéronautique (données CAO, plans de fabrication, données ITAR).

Section 5 — Cadre de conformité : référentiels applicables (Guide d'hygiène ANSSI, AirCyber, RGPD, NIS 2), articulation avec les exigences contractuelles clients.

Section 6 — Révision et mise à jour : fréquence de révision (annuelle minimum), conditions de révision exceptionnelle (incident majeur, changement SI significatif), processus d'approbation et de diffusion.

Point de contrôle assesseur : La PSSI doit porter une date de dernière révision de moins de 12 mois, une signature de la direction, et être diffusée à l'ensemble du personnel (preuve de diffusion exigée).

Politique 2 — Politique de gestion des mots de passe

La politique de mots de passe est l'une des plus vérifiées techniquement par l'assesseur, car il confronte le document avec la configuration réelle des systèmes (Active Directory, applications métier). Le contenu minimal requis :

• Complexité minimale : 12 caractères minimum (16 recommandés), majuscules/minuscules/chiffres/caractères spéciaux
• Durée de validité : 90 jours pour les comptes standard, 60 jours pour les comptes administrateurs
• Historique : interdiction de réutiliser les 10 derniers mots de passe
• Authentification multi-facteurs (MFA) : obligatoire pour les accès distants, comptes privilégiés, messagerie
• Gestionnaire de mots de passe : usage recommandé ou imposé pour les mots de passe complexes
• Comptes de service : mots de passe distincts, rotation semestrielle, inventaire tenu à jour

Point de contrôle assesseur : L'assesseur demandera une démonstration de la configuration AD (longueur minimale, complexité, historique) et vérifiera que le MFA est effectivement activé sur les accès VPN et messagerie — pas seulement décrit dans la politique.

Politique 3 — Charte utilisateur des systèmes d'information

La charte utilisateur SI régit le comportement acceptable des employés sur le système d'information. Pour AirCyber Bronze, elle doit aborder :

• Usages autorisés et interdits des équipements informatiques (personnel vs. professionnel)
• Règles d'utilisation d'internet, messagerie et réseaux sociaux depuis les équipements de l'entreprise
• Interdiction d'installation de logiciels non autorisés
• Signalement des incidents et comportements suspects
• Règles sur le travail nomade et le BYOD (Bring Your Own Device)
• Conséquences disciplinaires en cas de violation

Point de contrôle assesseur : La charte doit être signée par chaque employé (attestation de prise de connaissance) et mise à jour lors de chaque modification majeure des conditions d'utilisation. Conservez les preuves de signature (numérique ou papier).

Politique 4 — Procédure de gestion des incidents de sécurité

Cette procédure décrit le processus de bout en bout depuis la détection d'un incident jusqu'à la clôture et le retour d'expérience. Structure recommandée pour AirCyber Bronze :

Phase 1 — Détection et qualification : canaux de remontée (email dédié, numéro d'astreinte), critères de qualification (incident mineur / majeur / critique), premiers réflexes (isolation d'un poste compromis, préservation des preuves).

Phase 2 — Réponse et confinement : responsable de la gestion de crise, actions techniques immédiates (blocage d'accès, sauvegarde forensique), communication interne (qui prévenir, comment).

Phase 3 — Notification : obligation de notification au CERT Aviation pour les incidents significatifs, notification à l'ANSSI si entité NIS 2 assujettie, information des clients si données compromises (RGPD 72h).

Phase 4 — Retour d'expérience : rapport post-incident obligatoire, identification des causes racines, plan d'action corrective, partage des enseignements en interne.

Point de contrôle assesseur : L'assesseur demande le registre des incidents des 12 derniers mois. Même en l'absence d'incident majeur, les incidents mineurs (tentatives de phishing, mises à jour bloquées) doivent être tracés. Un registre vide est considéré comme suspect.

Politique 5 — Plan de Continuité d'Activité (PCA/PRA simplifié)

Le PCA/PRA simplifié pour AirCyber Bronze n'exige pas le niveau de sophistication d'un PCA ISO 22301, mais doit couvrir les scénarios critiques pour l'activité aéronautique :

• Inventaire des actifs critiques : systèmes et données dont l'indisponibilité bloque la production ou les livraisons
• RTO/RPO définis : durée maximale d'indisponibilité acceptable et perte de données maximale tolérable par système
• Procédures de reprise : étapes documentées pour restaurer chaque système critique depuis les sauvegardes
• Tests annuels : au moins un test de restauration par an avec résultats documentés
• Contacts de crise : liste des prestataires clés (hébergeur, MSP, éditeurs), astreintes internes

Point de contrôle assesseur : Les preuves de tests (rapport de restauration, compte-rendu d'exercice) sont exigées. Un PCA jamais testé est une non-conformité. Planifiez un test de restauration dans les 3 mois précédant votre audit.

Conseils pour adapter rapidement un modèle existant

Si vous partez d'un modèle générique (ANSSI, CNIL, template secteur), voici les adaptations prioritaires :

• Remplacez toutes les références génériques par le nom réel de votre entreprise et vos systèmes
• Adaptez les exemples de données sensibles à votre activité (plans CAO, données ITAR, données clients aéro)
• Intégrez les outils réellement utilisés (AD, messagerie, ERP, PLM) avec leurs configurations actuelles
• Ajoutez les contacts réels (RSSI, DSI, DG) avec coordonnées vérifiées
• Faites valider le contenu par les utilisateurs concernés avant signature de la direction

Pour aller plus loin, consultez notre service d'accompagnement AirCyber et notre Centre de Ressources AirCyber qui propose des modèles pré-adaptés à la filière aéronautique.

FAQ : Politiques de sécurité AirCyber Bronze

Les 5 politiques doivent-elles être dans des documents séparés ou peuvent-elles être regroupées ?

Les deux formats sont acceptés par les assesseurs. Un document unique structuré en chapitres facilite la maintenance et la cohérence. Cependant, pour la charte utilisateur, un document séparé est souvent préférable car il doit être signé individuellement par chaque employé — un document intégré dans la PSSI complète serait difficile à faire signer de manière ciblée.

Faut-il traduire les politiques si l'entreprise a des employés non-francophones ?

Si votre personnel inclut des employés ne maîtrisant pas le français, la traduction de la charte utilisateur est nécessaire pour que la signature soit valide (consentement éclairé). Pour les autres politiques, la version française suffit dès lors que les responsables concernés (RSSI, DSI) maîtrisent le français.

À quelle fréquence les politiques doivent-elles être révisées pour maintenir la labellisation Bronze ?

Une révision annuelle est le minimum requis, même si aucune modification substantielle n'est apportée. La révision doit être formellement documentée (date, auteur, motif, validation direction) même si la conclusion est "aucun changement nécessaire". Des révisions intermédiaires sont attendues en cas d'incident majeur, de changement important du SI, ou d'évolution réglementaire significative.