Réglementation de l’UE sur la sécurité de l’information (Partie IS)

Service navigation

Recherche

Context sidebar

Réglementation de l’UE sur la sécurité de l’information (Partie IS)

La Partie IS établit des normes contraignantes qui visent à renforcer la cybersécurité du transport aérien et à protéger les acteurs de l’aviation contre les cybermenaces.

La Partie IS est un extension des normes de sûreté de l’Agence de l’Union européenne pour la sécurité aérienne (AESA) et s’adresse aux compagnies aériennes, aux exploitants d’aéroports, aux services de la navigation aérienne et autres acteurs du secteur aérien ainsi qu’aux autorités de l’aviation. Ces normes sont régies par le règlement délégué (UE) 2022/1645 et le règlement d’exécution (UE) 2023/203.  

Que recouvre la Partie IS ?

La réglementation exige des acteurs du secteur aérien qu’ils mettent en œuvre des mesures de sécurité de l’information propres à garantir la protection des systèmes et réseaux informatiques. Les entreprises et les autorités sont tenues de mettre en place des mesures techniques et organisationnelles destinées à limiter au maximum les risques de cyberattaques et à améliorer la résilience. En font partie des mesures comme le cryptage, les contrôles d’accès ainsi que la mise à jour et l’entretien réguliers des systèmes informatiques.

Les organismes de l’aviation civile sont par ailleurs tenus de mettre en place un système de gestion de la sécurité de l’information (SGSI), qui peut par exemple s'inspirer à la norme ISO/IEC 27001. Le SGSI doit permettre aux entreprises de gérer les menaces de manière systématique et proactive, c’est-à-dire de détecter les événements liés à la sécurité de l’information, de s’en prémunir et d’y réagir et de garantir le rétablissement après incident. Cette démarche implique également de définir les compétences et responsabilités nécessaires, d’identifier et d’évaluer des risques liés à la sécurité l'information, d’élaborer des mesures en rapport, de former le personnel et de veiller au bon respect des exigences.

Champ d’application et entrée en vigueur de la Partie IS

La Partie IS entre en vigueur le 16 octobre 2025 pour les exploitants d’aéroport, les services de gestion des aires de trafic et les organismes de production et de conception. Elle s’appliquera à partir du 22 février 2026 aux transporteurs aériens, aux organismes de maintenance, aux organismes de gestion du maintien de la navigabilité (CAMO), aux organismes de formation agréés (ATO), aux centres aéromédicaux du personnel navigant, aux exploitants de simulateurs d’entraînement au vol, aux organismes de formation des contrôleurs de la circulation aérienne (ATCO TO), aux centres aéromédicaux ATCO, aux organismes du service de la navigation aérienne, aux prestataires de services U-space et aux autorités de surveillance compétentes, y compris l’AESA.

Répercussions de la Partie IS sur les transporteurs aériens, les autorités et plus généralement sur la secteur de l’aviation civile

La Partie IS devrait avoir des effets positifs sur les dispositifs de cybersécurité du secteur aérien même si cela implique des investissements non négligeables dans les moyens techniques et dans du personnel qualifié. La réglementation demande aux entreprises et organismes de l’aviation de hiérarchiser les mesures de sécurité et d’adapter en permanence leurs infrastructures et processus informatiques en fonction des impératifs de la sécurité numérique. Les autorités nationales et l’AESA ont pour mission de surveiller la bonne application des nouvelles prescriptions en auditant les organismes à intervalles réguliers. Bref, la Partie IS augmente la résilience de l’aviation civile face aux cyberattaques et renforce la confiance du public dans la sûreté de l’aviation.

Coordination et collaboration au niveau européen et service de l’OFAC compétent pour la sécurité de l’information

La nouvelle réglementation européenne suppose une étroite collaboration entre l’AESA, les autorités de surveillance nationales et les entreprises de l’aviation, le but étant de faciliter le partage d’informations et la coordination lors d’incidents aux effets potentiellement transfrontières tout en permettant au secteur européen de l'aviation d’accroître sa résilience ainsi que sa réactivité face aux nouvelles cybermenaces qui pourraient apparaître.

L’OFAC a créé le 1er août 2024 une nouvelle unité spécialisée dans la sécurité de l’information aux fins de la mise en œuvre de la Partie IS. Elle est rattachée à la section Mesures de sûreté, elle-même partie de la division Sécurité des infrastructures. Son personnel déploie son activité à l’échelle des divisions et assiste les inspecteurs dans leurs activités pour ce qui a trait aux exigences en matière de sécurité de l'information.

Bases légales

Règlement délégué UE 2022/1645

Règlement d'exécution UE 2023/203

Documents

FOCA GM/INFO - Information Security (PDF, 1 MB, 01.04.2025)

Guidelines - ISO 27001 add-on (PDF, 1 MB, 11.06.2025)

Guidelines - Part-IS derogation (PDF, 462 kB, 11.06.2025)

FOCA Asset Inventory Template (XLSM, 75 kB, 11.06.2025)

FOCA Risk Assessment Template (XLSX, 50 kB, 11.06.2025)

FOCA Part-IS Compliance Matrix (XLSX, 30 kB, 11.06.2025)

Links

Office fédéral de la cybersécurité (OFCS)

EASA Cyber Security

EASA Cyber Security Community Network

EASA FAQ Information Security (Part-IS)

Evènements

Part-IS Info Event Presentation (PDF, 4 MB, 11.06.2025)

Contact spécialisé
Dernière modification 11.06.2025

Début de la page

Contact

Office fédéral de l'aviation civile 

Mesures de sûreté

Sécurité de l'information

 

cybersecurity@bazl.admin.ch

Imprimer contact

https://www.bazl.admin.ch/content/bazl/fr/home/flugbetrieb/mesures-de-surete--security-/cybersecurity/part-is.html