Dans un monde où la sécurité aérienne repose de plus en plus sur des systèmes numériques, la réglementation PART-IS, introduite par l’EASA (European Union Aviation Safety Agency), marque un tournant décisif.  

Cette initiative s’inscrit dans un contexte de multiplication des normes, règlements et directives en cybersécurité, tels que NIS2 (Directive sur la sécurité des réseaux et des systèmes d’information), le Cyber Resilience Act (CRA) ou encore des régulations sectorielles spécifiques Ce cadre réglementaire en pleine expansion reflète la nécessité de sécuriser les infrastructures critiques et produits technologiques face à des menaces croissantes. 

Notre article explore la réglementation PART-IS, ses implications, son périmètre, les parties prenantes impliquées, les exigences essentielles et les démarches pour s’y conformer. 

Qu’est-ce que la PART-IS ? Pourquoi est-elle essentielle ? 

La PART-IS a été introduite pour renforcer la sûreté aéronautique en protégeant les systèmes d’information critiques dans l’aviation. Son objectif principal est de garantir que ces systèmes, qui incluent des technologies telles que les communications avioniques et la gestion du trafic aérien, soient résilients face aux cybermenaces pour garantir la continuité et la sûreté des opérations aériennes dans un secteur où toute défaillance peut entraîner des conséquences graves. En effet, avec l’intégration croissante des technologies numériques dans les opérations aéronautiques, des systèmes de navigation aux infrastructures au sol, la vulnérabilité du secteur aux cyberattaques a considérablement augmenté. 

En obligeant les acteurs de l’aviation à identifier et évaluer les vulnérabilités de leurs systèmes, la PART-IS constitue une réponse proactive aux défis actuels. 

Quels sont les systèmes concernés ? 

 La PART-IS s’applique à tous les systèmes numériques utilisés dans l’aviation civile. Cela inclut par exemple : 

• Les systèmes embarqués, tels que les Flight Management Systems (FMS) 
• Les infrastructures de gestion du trafic aérien (ATM) 
• Les systèmes de maintenance prédictives 
• Les outils informatiques d’enregistrement de travaux d’un organisme d’entretien
• Les outils informatiques de gestion et de suivi de navigabilité
• Les outils informatiques de masse et centrage
• Les EFB et tech log numériques
• Les outils informatiques de suivi des temps de vol, temps de services et repos
• Etc…

En raison de l’interconnexion croissante entre ces systèmes, une vulnérabilité dans un composant peut provoquer une réaction en chaîne à travers l’ensemble de l’écosystème aéronautique, mettant en péril la sécurité des opérations. 

Qui sont les parties prenantes ? 

 La mise en œuvre de la PART-IS repose sur une collaboration entre plusieurs parties prenantes. Les principaux acteurs concernés incluent : 

• Les opérateurs aériens, responsables de la sécurité des systèmes embarqués 
• Les fabricants, qui doivent intégrer des mesures de cybersécurité dès la conception des aéronefs et des équipements 
• Les prestataires de services de navigation aérienne, chargés de protéger les systèmes de gestion du trafic 
• Les autorités nationales, dont le rôle est de superviser et vérifier la conformité réglementaire 
• Les fournisseurs de service au sol  (organismes de maintenance, organismes de suivi de navigabilité, etc…)

La PART-IS sera obligatoire à partir d’octobre 2025 pour les organismes agréés par l’EASA, dans le cadre du règlement délégué (UE) 2022/1645, c’est-à-dire les organismes de production et de conception. Les organismes de maintenance dans le cadre du règlement délégué (UE) 2023/203 devront se mettre en conformité d’ici février 2026. 

Quelles sont les exigences de la PART-IS ? 

La réglementation PART-IS impose des principes fondamentaux pour garantir la sécurité des systèmes critiques. Les organisations concernées doivent adopter une approche rigoureuse pour répondre à ces exigences et assurer leur conformité. 

Gestion des risques (SMSI) 

Cette réglementation s’inscrit dans une démarche proactive visant à identifier, analyser et atténuer les risques qui pourraient compromettre la confidentialité, l’intégrité et la disponibilité des informations sensibles. En s’appuyant sur un cadre structuré tel que la norme ISO/IEC 27001, le SMSI devient un outil central pour établir des politiques de sécurité robustes, déployer des mesures techniques et organisationnelles adaptées, et sensibiliser les parties prenantes aux enjeux de la cybersécurité. 

La gestion des risques, pilier fondamental de cette approche, permet de prioriser les efforts en fonction des vulnérabilités identifiées, tout en assurant une amélioration continue grâce au cycle PDCA (Plan-Do-Check-Act). La réglementation impose aux opérateurs et entités de l’aviation civile de se doter d’une gouvernance de la sécurité de l’information solide, alignée sur les meilleures pratiques.  

Evaluation des risques 

Les organisations doivent établir une méthodologie structurée pour identifier, analyser et mitiger les risques cyber associés à leurs systèmes d’information. Cela inclut la réalisation d’analyses de vulnérabilité, l’évaluation des impacts en cas de compromission et la mise en œuvre de contrôles adaptés. 

Surveillance continue 

La surveillance en temps réel des systèmes est indispensable pour détecter et répondre rapidement aux incidents de sécurité. Cela nécessite l’utilisation d’outils avancés et la mise en place de protocoles de réponse aux incidents. Tous les incidents doivent être signalés rapidement et accompagnés d’un plan de réponse clair pour limiter leur impact. 

Formation et sensibilisation 

Le personnel doit être formé aux meilleures pratiques en matière de cybersécurité pour réduire les risques liés aux erreurs humaines. Des programmes de sensibilisation réguliers sont essentiels pour maintenir un niveau de vigilance élevé. 

Audits et documentation 

La conformité à la PART-IS est vérifiée à travers des audits réguliers menés par l’EASA ou des autorités nationales. Les organisations doivent ainsi maintenir une documentation complète couvrant les politiques de sécurité, les procédures mises en œuvre et les incidents rencontrés. 

Quelles sont les étapes clés pour démarrer votre conformité ?  

La mise en conformité avec la PART-IS offre une opportunité stratégique pour les entreprises de renforcer la sécurité de leurs systèmes critiques et de moderniser leurs pratiques. 

La date limite de mise en conformité étant fixée à octobre 2025 pour à minima une partie du périmètre, c’est le moment idéal pour entamer la démarche de mise en conformité. 

Pour y parvenir, nous accompagnons actuellement nos clients sur 3 activités principales :  

• Tout d’abord, il est essentiel de définir avec précision le périmètre concerné, en s’appuyant notamment sur celui des agréments délivrés par l’EASA, afin de cadrer efficacement les efforts.  
• Ensuite, la rédaction d’un Système de Management de la Sécurité de l’Information (SMSI) permettra de structurer les politiques et processus nécessaires à une gestion proactive des risques.  
• Enfin, réaliser les premières analyses de risques pour identifier les vulnérabilités et établir des plans d’action adaptés.  

Ces étapes posent les bases d’une stratégie solide et pérenne en matière de sécurité de l’information qui faudra par la suite faire vivre et évoluer dans l’esprit du processus d’amélioration continue prôné par PART-IS. 

AEROMISSIONS is pleased and proud to announce that it has obtained the QUALIOPI certification from Bureau Veritas.

 Quality certification was issued under the categories of training actions within the aerospace industry.

 Obtaining this certification is further proof of the investment of our teams for the satisfaction of our customers and the quality of our training services, which meet the requirements of the National Quality Standard published by the France requirements.

 The QUALIOPI certification allows us to:

• To attest to the quality of the process implemented by the training organizations contributing to the development of skills.
• Better accessibility of the training offer to client companies and learners.

 This certification is therefore important, even essential, for any training organization in order to guarantee the quality of its training services and services as part of the process of customer satisfaction.

It requires regular surveillance audits (14 to 22 months) after obtaining QUALIOPI certification.

 QUALIOPI certification: what are the advantages?

 For a candidate for training, the QUALIOPI certification allows:

• To be reassured about the professionalism of the chosen training organization
• To be able to claim financial support
• Simpler management of your professional career, especially in the context of the CPF

For an employer, the QUALIOPI certification allows:

•  To be reassured about the professionalism of the training provider chosen for its employees
•  To be able to claim financial support
•  To simplify and guide the training procedures for its employees

 AEROMISSIONS undertakes to:

•  Offer its learners an environment entirely dedicated to training
•  Supporting people with disabilities in their training and/or orientation journey
•  Select trainers for their business expertise, their added value in training and their knowledge of companies
•  Set up all the pedagogical, technical and supervisory means with all its teams

 AEROMISSIONS is committed to this QUALIOPI certification process, which testifies to our strong desire to constantly improve the efficiency of our organization, the quality of our training and services.