AirCyber Silver : Exigences et Chemin depuis Bronze

Le niveau AirCyber Silver représente un saut qualitatif majeur dans la maturité cybersécurité d'une entreprise aéronautique. Si Bronze pose les fondations avec ses 44 mesures ANSSI et ses exigences sectorielles, Silver exige la construction d'un véritable Système de Management de la Sécurité de l'Information (SMSI) aligné sur ISO 27001, avec une couverture des risques systématique et documentée. En 2024, seulement 28 entreprises environ dans la filière aéronautique et spatiale française ont atteint ce niveau d'excellence — un chiffre qui illustre à la fois la difficulté du parcours et l'avantage concurrentiel distinctif que Silver procure. Cette exclusivité de fait ouvre des portes sur des marchés à forte valeur ajoutée : contrats de défense, projets spatiaux, programmes sensibles nécessitant une maturité cyber démontrée. Si votre entreprise a obtenu Bronze et cherche à capitaliser sur cet investissement pour accéder à ces marchés, ce guide vous fournit la feuille de route concrète pour réussir votre montée en niveau Silver dans les meilleures conditions.

Ce que Silver ajoute par rapport à Bronze

La différence fondamentale entre Bronze et Silver n'est pas seulement quantitative (plus de contrôles), elle est qualitative : Silver exige un changement de paradigme dans l'approche de la sécurité. Là où Bronze valide que des mesures techniques et organisationnelles existent, Silver vérifie que l'entreprise dispose d'un système de management opérationnel et amélioration continue.

Les apports structurels de Silver par rapport à Bronze :

• SMSI formalisé : périmètre défini, politique validée par la direction, processus documentés
• Analyse de risques formelle : méthodologie documentée (type ISO 27005 ou EBIOS RM), registre des risques mis à jour
• Plan de traitement des risques : priorisé, budgété, suivi par indicateurs
• Revue de direction annuelle : procès-verbal, indicateurs de performance sécurité (KPI)
• Audit interne : programme d'audit interne planifié et exécuté
• Gestion des non-conformités : processus d'identification, d'analyse des causes et de correction

Les 6 domaines supplémentaires à couvrir pour Silver vs Bronze

L'analyse comparative du questionnaire AirCyber identifie 6 domaines prioritaires qui distinguent Silver de Bronze :

1. Gouvernance et organisation de la sécurité : formalisation du RSSI (interne ou externalisé), comité de sécurité avec compte-rendu, budget sécurité tracé, reporting vers la direction générale.

2. Gestion documentaire formalisée : toutes les politiques Bronze deviennent des documents maîtrisés avec versions, approbations, diffusions contrôlées et révisions planifiées selon les guides ANSSI.

3. Gestion des risques structurée : passage d'une approche informelle à une analyse de risques méthodologique avec critères de vraisemblance/impact, cartographie des actifs critiques, et traitement formalisé.

4. Continuité d'activité avancée : le PCA simplifié de Bronze devient un plan complet avec tests de reprise (exercices annuels), RTO/RPO définis contractuellement, et procédures de crise documentées.

5. Relations fournisseurs et sous-traitants : extension des exigences de sécurité à votre propre chaîne d'approvisionnement, clauses contractuelles cyber, évaluation des prestataires critiques.

6. Métriques et amélioration continue : tableau de bord sécurité, indicateurs de performance (taux de vulnérabilités corrigées, délai de détection/réponse), revue périodique de l'efficacité des contrôles.

Durée et investissement réels

L'investissement pour atteindre Silver depuis Bronze est significatif. En prenant l'exemple d'une Entreprise de Mécanique de Structure (EMS) de 80 salariés avec un SI de taille moyenne :

• Conseil et accompagnement RSSI externe : 40 000 – 60 000 €
• Outils de sécurité supplémentaires (SIEM léger, EDR complet, scan de vulnérabilités) : 15 000 – 25 000 €/an
• Formation et sensibilisation renforcée : 5 000 – 10 000 €
• Audit Silver par assesseur accrédité BoostAerospace : 8 000 – 15 000 €
• Charge interne mobilisée : 20 – 40 jours/homme sur 12 mois

Total estimé : 70 000 – 110 000 €, soit environ ~100 000 € pour une EMS typique. La durée réaliste est de 10 à 14 mois depuis Bronze, en partant d'une base Bronze bien consolidée (minimum 6 mois après Bronze).

Pourquoi viser Silver : avantage concurrentiel et marchés sensibles

L'avantage concurrentiel de Silver est direct et mesurable. Les entreprises certifiées Silver :

• Accèdent aux appels d'offres défense nécessitant un niveau de maturité cyber élevé
• Sont privilégiées sur les programmes spatiaux sensibles (CNES, ArianeGroup)
• Peuvent sous-traiter à d'autres entités Silver, créant des écosystèmes de confiance
• Disposent d'un avantage significatif pour obtenir ISO 27001 avec un effort incrémental minimal
• Démontrent une maturité cyber compatible avec les exigences NIS 2 pour les clients donneurs d'ordre

Feuille de route en 4 phases

Phase 1 — Consolidation Bronze (0-3 mois) : Avant de viser Silver, assurez-vous que votre Bronze est solide. Résolvez les non-conformités mineures de votre dernier audit, formalisez vos politiques de base, et nommez un RSSI (ou engagez un RSSI externalisé avec expertise AirCyber).

Phase 2 — Construction du SMSI (3-7 mois) : Mise en place de la gouvernance formelle, réalisation de l'analyse de risques ISO 27005, rédaction du Plan de Traitement des Risques, définition des KPI sécurité, et mise à jour documentaire en mode maîtrisé.

Phase 3 — Déploiement et test (7-10 mois) : Déploiement des contrôles identifiés dans le PTR, exercice de continuité d'activité, premier audit interne, correction des écarts, et pré-audit Silver avec l'assesseur pour identifier les gaps résiduels.

Phase 4 — Audit Silver et certification (10-14 mois) : Audit officiel par l'assesseur accrédité BoostAerospace, présentation du dossier au Comité de Labellisation, obtention du label Silver et communication auprès de vos clients donneurs d'ordre.

Qui devrait viser Silver ?

Silver n'est pas adapté à toutes les entreprises de la filière. Les critères qui indiquent qu'une entreprise est mûre pour Silver :

• Taille : entreprises de plus de 50 salariés avec un SI structuré
• CA : chiffre d'affaires supérieur à 5 M€ avec une part significative en aéronautique
• Contrats : accès à des marchés défense, spatiaux ou programmes classificatifs
• Ambition : roadmap vers ISO 27001 ou Gold AirCyber dans les 3 ans
• Bronze solide : au moins 12 mois de pratique Bronze sans non-conformités majeures

FAQ : AirCyber Silver

Peut-on maintenir Silver sans RSSI interne dédié ?

Oui, à condition de disposer d'un RSSI externalisé avec une mission formalisée et une présence suffisante (généralement 2 à 4 jours par mois minimum). L'assesseur vérifiera que la fonction RSSI est réellement exercée avec des comptes-rendus de réunion, des livrables tracés, et une disponibilité démontrée lors des incidents.

L'audit Silver peut-il être couplé avec l'audit ISO 27001 ?

C'est possible et de plus en plus pratiqué par les assesseurs qui disposent aussi de la qualification pour ISO 27001. Un audit combiné permet de mutualiser la préparation documentaire et de réduire la durée totale de 20 à 30%. Demandez spécifiquement cette option lors de votre sélection d'assesseur.

Que se passe-t-il si l'audit Silver révèle des non-conformités majeures ?

L'assesseur formule des non-conformités majeures et mineures. Pour les majeures, un plan d'action avec délai de correction (généralement 3 à 6 mois) est requis avant que la labellisation soit accordée. Il n'y a pas de "refus" définitif — le processus est itératif et l'accompagnement de l'assesseur peut se poursuivre jusqu'à la conformité.