Cybersécurité aéronautique : mise en œuvre de la Part-IS, une nouvelle étape de conformité à horizon 2026

L’évolution constante du numérique dans l’aéronautique, associée à la complexification des menaces cyber, appelle un renforcement progressif des exigences en matière de sécurité des systèmes d’information. C’est dans ce contexte que l’Agence européenne pour la sécurité aérienne (AESA – EASA) a adopté deux textes structurants : le règlement délégué (UE) n° 2022/1645 et le règlement d’exécution (UE) n° 2023/203, qui établissent le cadre réglementaire connu sous le nom de Part-IS.

Ce cadre est destiné à structurer la protection des systèmes et réseaux critiques, condition essentielle à la résilience du secteur aérien face aux risques cyber. Il est entré en vigueur le 16 octobre 2025 pour les entités visées par le règlement 2022/1645, telles que les organismes de conception, de production, les exploitants d’aérodromes ou les prestataires de services de gestion des aires de trafic. Pour les entités relevant du règlement 2023/203 (article 2) — notamment les organismes de maintenance, CAMO, ATO, transporteurs aériens, organismes de formation agréés, centres de formation des contrôleurs aériens, ou encore l’EASA elle-même — l’entrée en vigueur est fixée au 22 février 2026.

La Part-IS impose aux entités concernées de déployer un système de gestion de la sécurité de l’information (SGSI), structuré autour d’une approche fondée sur les risques, afin d’assurer la protection, la disponibilité et la traçabilité des données critiques à la sécurité aérienne.

Le dispositif repose sur des piliers structurants : gouvernance de la sécurité, documentation rigoureuse, gestion des risques, surveillance des incidents et sensibilisation des personnels. Il s’inscrit dans une dynamique de convergence avec la directive NIS2 (Directive (UE) n° 2022/2555), qui a pour objectif de renforcer la cybersécurité des services essentiels dans les secteurs stratégiques européens, dont l’aérien.

La mise en conformité avec la Part-IS implique une mobilisation transversale des fonctions juridiques, techniques et opérationnelles. Les exigences détaillées dans les annexes des règlements établissant le cadre de la Part-IS (Part-IS.D.OR, Part-IS.AR, Part-IS.I.OR) couvrent notamment :

l’identification et la gestion des risques liés à la sécurité de l’information, y compris l’évaluation des vulnérabilités susceptibles d’engendrer des risques inacceptables ;

la mise en œuvre et la mise à jour continue d’un SGSI adaptée aux spécificités de chaque opérateur ;
la détection et la gestion des incidents, avec des obligations de signalement aux autorités compétentes ;
le contrôle des activités externalisées, qui doivent rester conformes au cadre Part-IS ;
la gestion des accès et la fiabilité du personnel, en lien avec une politique de sécurité clairement définie ;
l’archivage et la traçabilité documentaire, avec des obligations de conservation et de mise à disposition des documents pertinents (contrats, rapports d’incidents, évaluations de risques, etc.).

 

La Part-IS inscrit l’amélioration continue au cœur de sa logique : les opérateurs doivent évaluer périodiquement leur SGSI et corriger toute défaillance pour maintenir un niveau de sécurité conforme et maîtrisé.

Pour les entités également soumises à la directive NIS2, une approche coordonnée est recommandée afin d’éviter les redondances et d’optimiser les efforts de conformité, notamment en matière de gouvernance, de reporting et de gestion des risques.

En somme, la réglementation Part-IS marque une évolution majeure vers une cybersécurité intégrée dans le secteur aéronautique. Elle impose une anticipation rigoureuse des échéances et appelle à une transformation des modèles de gouvernance, dans une optique de résilience et de performance. Les mois à venir seront décisifs pour les opérateurs, qui devront conjuguer exigence réglementaire et agilité opérationnelle.