Introduction aux nouvelles réglementations aéronautiques
La numérisation croissante des activités aéronautiques a considérablement transformé la manière dont les informations sont gérées et protégées, affectant directement la sécurité de l’information et la réglementation sécurité vol. Dans un secteur où la moindre faille peut avoir des conséquences majeures sur la sécurité des vols et la conformité aéronautique, l’Agence de l’Union Européenne pour la Sécurité Aérienne (EASA) a édicté de nouvelles normes visant à renforcer la protection des systèmes d’information et des données sensibles. Tout cela s’inscrit pleinement dans la réglementation aéronautique en constante évolution.
Les récents règlements (UE) 2022/1645 et (UE) 2023/203 imposent à plusieurs types d’organismes (conception, production, maintenance, gestion du maintien de la navigabilité) la mise en place d’un système de management de la sécurité de l’information (SMSI) afin d’assurer la confidentialité, l’intégrité, l’authenticité et la disponibilité des réseaux et systèmes d’information. Ces nouveaux textes font partie intégrante de la législation aérienne et visent à préserver des normes aéronautiques élevées, tout en anticipant les menaces de cyberattaques pouvant compromettre la sécurité aérienne.
Vidéo explicative sur la partie IS
Pour en savoir plus sur cette évolution réglementaire, vous pouvez consulter la vidéo réalisée par OSAC Aviation & Sécurité :
Vidéo d’introduction « Partie IS » | OSAC vous décrypte les nouveaux règlements Information Security.
Contexte et enjeux de la sécurité de l’information
La numérisation croissante des activités aéronautiques engendre de nouveaux défis en matière de réglementation sécurité aérienne. Par exemple, une modification non maîtrisée de l’échéance de maintenance d’un aéronef dans un logiciel de gestion peut compromettre la sécurité des vols. Consciente de ces risques, l’EASA (European Union Aviation Safety Agency) – que l’on peut également appeler EASA réglementation dans le langage courant – exige des organismes concernés qu’ils identifient et évaluent les risques liés à la cybersécurité afin de prévenir tout incident pouvant impacter la certification aéronautique et la sécurité globale.
Du côté français, l’OSAC (Organisation pour la Sécurité de l’Aviation Civile) prévoit de mettre en place un dispositif de surveillance pertinent et d’accompagnement pour veiller à la bonne application de ces règlements. L’OSAC pourra notamment recourir à des partenaires experts en sécurité de l’information, et prendre en compte les besoins opérationnels des acteurs du secteur aéronautique pour assurer un niveau optimal de audit conformité aérienne.
Les nouveaux règlements de l’EASA
Règlement (UE) 2022/1645 : conception et production
Publié le 26 septembre 2022, le règlement (UE) 2022/1645 introduit la Partie IS.D.OR, destinée aux organismes de conception (Part-21 J) et de production (Part-21 G). Ils doivent mettre en place un système de management de la sécurité de l’information (SMSI) afin de gérer les risques associés à la cybersécurité et de se conformer aux exigences de la législation aérienne. La date limite de mise en conformité pour ces organismes est fixée au 16 octobre 2025.
Règlement (UE) 2023/203 : maintenance et navigabilité
Publié le 2 février 2023, le règlement (UE) 2023/203 complète la réglementation avec la Partie IS.I.OR, applicable aux organismes de maintenance (Part-145) et de gestion du maintien de la navigabilité (Part-CAMO), ainsi qu’avec la Partie IS.AR, dédiée aux autorités nationales (comme l’OSAC). Ces entités doivent elles aussi établir et maintenir un SMSI pour répondre aux impératifs de la réglementation sécurité vol. La date limite de mise en conformité pour ces organismes et pour les autorités est fixée au 22 février 2026.
Exclusions et exceptions
Certaines structures ne sont pas concernées par ces deux nouveaux règlements :
- Les organismes sous autorisation de production nationale Part-21F
- Les organismes pouvant effectuer des activités d’entretien et/ou de gestion de navigabilité Part-CAO
- Les organismes de formation Part-147
Ces exclusions reflètent la volonté de n’appliquer ces obligations qu’aux entités directement impliquées dans la conception, la production, la maintenance ou la gestion de la navigabilité, afin de maintenir des normes de sécurité vol adaptées aux risques.
Exigences de conformité et délais
Obligations pour les organismes concernés
Les organismes soumis au règlement (UE) 2022/1645 (Part-21J et Part-21G) doivent impérativement être conformes au plus tard le 16 octobre 2025. Quant aux organismes relevant du règlement (UE) 2023/203 (Part-145 et Part-CAMO), ils ont jusqu’au 22 février 2026 pour se mettre en conformité. Dans tous les cas, la notion de sécurité de l’information telle que définie par l’EASA inclut la préservation de la confidentialité, de l’intégrité, de l’authenticité et de la disponibilité des réseaux et systèmes d’information.
Les exigences de conformité impliquent également une évaluation continue des menaces et la mise en place de procédures pour prévenir, détecter et répondre aux incidents. Il s’agit d’un enjeu majeur pour la réglementation sécurité aérienne et plus largement pour la certification aéronautique, car la fiabilité des processus numériques est désormais étroitement liée à la sécurité des vols.
6TM Partners : votre partenaire pour la conformité
Expertise en standards ISO (9100, 27001, 27701) et règlements PART 145, 21
6TM Partners, reconnu pour son expertise dans les standards ISO 27001, 27701 et les règlementations PART 145 (règlement EASA pour les organismes de maintenance pour les aéronefs et éléments d’aéronef), PART 21 (règlement EASA pour les organismes de production pour les aéronefs et éléments d’aéronef) est en mesure d’accompagner efficacement les entreprises concernées par ces nouvelles obligations de conformité aéronautique.
Grâce à sa connaissance approfondie des normes et règlements aéronautiques, 6TM Partners propose un service complet allant de l’audit des systèmes existants jusqu’à la mise en œuvre pratique du SMSI, en passant par la formation des équipes. Cette approche garantit une certification reconnue dans le secteur aéronautique et un audit de conformité en adéquation avec les exigences réglementaires les plus récentes.
Accompagnement et formation
Pour répondre aux défis de la réglementation aéronautique et assurer une conformité optimale, 6TM Partners met à disposition des prestations d’accompagnement et de formation. Elles incluent :
- Une assistance à la mise en place de politiques de sécurité et de plans de continuité d’activité.
- Un soutien pour l’élaboration d’un système de management de la sécurité de l’information conforme aux exigences de l’EASA.
- Des sessions de sensibilisation et de formation dédiées aux équipes en charge de la cybersécurité et de la maintenance
Ces actions de formation sont essentielles pour garantir que chaque acteur, depuis le personnel technique jusqu’aux décideurs, ait une parfaite compréhension des enjeux et respecte les meilleures pratiques en matière de sécurité vol.
Parallèle entre ISO 27001 et les exigences PART IS
L’une des clés pour bien appréhender la réglementation aéronautique en matière de sécurité de l’information est de comprendre la synergie entre le cadre PART IS (introduit par les règlements (UE) 2022/1645 et 2023/203) et la norme ISO 27001. En effet, ces deux approches partagent une structure et des principes communs : management du risque, amélioration continue, et intégration dans la culture d’entreprise.
D’un côté, l’ISO 27001 fournit un référentiel internationalement reconnu pour la mise en place d’un système de management de la sécurité de l’information. De l’autre, PART IS ajoute des exigences spécifiques au secteur aéronautique, tenant compte des risques critiques pour la sécurité des vols. Cette complémentarité permet aux organismes de bâtir une défense solide tout en répondant précisément aux impératifs de réglementation sécurité vol.
Pour approfondir ces aspects, vous pouvez consulter ces deux ressources internes :
- ISO 27002:2022, un avant-goût de la prochaine version de l’ISO 27001 – un article qui détaille les évolutions clés de la norme ISO 27002 et offre des perspectives sur la future mouture de l’ISO 27001.
- Les risques d’un projet ISO 27001 – un focus sur les défis et obstacles fréquemment rencontrés lors de la mise en place d’un SMSI, ainsi que les moyens de les surmonter.
En s’appuyant sur ces deux cadres, les entreprises peuvent non seulement respecter les nouvelles exigences de conformité aérienne édictées par l’EASA, mais aussi consolider leur système de sécurité de l’information pour gagner en efficacité opérationnelle et en robustesse face aux menaces cyber.
Conclusion : assurer la sécurité aérienne
La réglementation aéronautique évolue afin de prendre en compte les menaces liées à la transformation numérique. Les règlements (UE) 2022/1645 et (UE) 2023/203 introduisent des obligations claires pour les organismes de conception, de production, de maintenance et de gestion du maintien de la navigabilité, ainsi que pour les autorités nationales. Ils soulignent l’importance de la sécurité de l’information pour préserver la sécurité des vols, maintenir des normes aéronautiques élevées et éviter tout incident majeur.
En s’appuyant sur des partenaires spécialisés tels que 6TM Partners, les organismes peuvent se conformer aux exigences de cette législation aérienne, tout en optimisant leur posture de sécurité globale. Il s’agit d’un enjeu stratégique pour l’ensemble du secteur aéronautique, qui doit veiller à conserver la confiance du public et des autorités.
En définitive, l’adoption d’un système de management de la sécurité de l’information représente la pierre angulaire d’une démarche proactive et pérenne, permettant de conjuguer exigences de conformité aérienne, réglementation sécurité vol et anticipation de l’ensemble des menaces cyber qui pèsent sur l’industrie. Face à l’évolution constante des technologies et des vecteurs d’attaque, cette approche garantit la pérennité et la solidité du secteur aéronautique.
Contexte et signification du sujet
La numérisation croissante des activités aéronautiques a introduit des défis majeurs en matière de sécurité de l’information, notamment face aux cyberattaques. Ces enjeux sont cruciaux pour la sécurité des vols et la conformité réglementaire des entreprises du secteur. Les nouvelles réglementations de l’EASA, telles que les règlements (UE) 2022/1645 et 2023/203, visent à renforcer la résilience des systèmes d’information aéronautiques, soulignant l’importance stratégique de la sécurité de l’information dans le cadre global de la sécurité aérienne.
Points clés et portée de l’article
L’article met en lumière les nouvelles exigences réglementaires introduites par l’EASA, notamment l’obligation pour les organismes de conception, de production, de maintenance et de gestion de navigabilité de mettre en place des systèmes de management de la sécurité de l’information (SMSI). Il détaille les échéances de conformité, les exclusions spécifiques et les implications stratégiques pour les entreprises. Les exemples concrets, comme l’implémentation chez Airbus, illustrent les bonnes pratiques et les défis liés à la mise en œuvre de ces normes.
Notre vision et perspectives de 6TM Partners
Chez 6TM Partners, nous considérons ces nouvelles réglementations comme une opportunité stratégique pour les entreprises de renforcer leur posture de sécurité et leur résilience face aux cybermenaces. Nous recommandons une approche structurée et proactive pour la mise en conformité, incluant des audits approfondis, des formations ciblées et l’adoption des meilleures pratiques sectorielles. En nous appuyant sur notre expertise en standards ISO 27001 et règlementaire Aéronautique, nous proposons des solutions sur mesure pour accompagner les entreprises dans cette transition, tout en maximisant leur compétitivité et leur conformité à long terme.
Tableau récapitulatif :
| Section | Description |
| Contexte | Présentation des enjeux liés à la numérisation des activités aéronautiques et des défis en matière de sécurité de l’information, avec un focus sur les nouvelles réglementations de l’EASA. |
| Points clés | Détails des règlements (UE) 2022/1645 et 2023/203, des obligations pour les organismes concernés, des exclusions spécifiques et des échéances de conformité. |
| Conclusion | Importance stratégique de la mise en conformité avec les nouvelles normes pour renforcer la sécurité aérienne et protéger les systèmes d’information contre les cybermenaces. |
FAQ
Les règlements (UE) 2022/1645 et 2023/203 imposent la mise en place de systèmes de management de la sécurité de l’information (SMSI) pour renforcer la résilience des systèmes d’information aéronautiques.
Les organismes de conception et de production doivent se conformer d’ici le 16 octobre 2025, tandis que les organismes de maintenance et de gestion de navigabilité ont jusqu’au 22 février 2026.
Les organismes sous autorisation de production nationale Part-21F (petit organisme sans système qualité produisant des matériels technologiquement simples et en faible quantité), ceux effectuant des activités Part-CAO (organisme chargé de tâches combinées de navigabilité est un organisme pouvant effectuer les activités d’entretien et/ou de gestion de navigabilité) et les organismes de formation Part-147 (organismes de formation aéronautique de base et de type d’aéronef) ne sont pas concernés par ces exigences.
6TM Partners propose des audits, des formations et un accompagnement sur mesure pour garantir une mise en œuvre efficace des SMSI, en s’appuyant sur des standards tels qu’ISO 27001.
