Labellisation AirCyber — BoostAerospace

Accompagnement complet vers la labellisation AirCyber Bronze, Silver ou Gold du programme BoostAerospace. De l'audit de maturité initial à l'obtention du label.

Découvrir l'offre

Qu'est-ce que AirCyber ?

BoostAerospace est la plateforme digitale de la filière aérospatiale française, créée à l'initiative du GIFAS par les grands donneurs d'ordre — Airbus, Safran, Thales, Dassault Aviation et MBDA. Elle fédère l'ensemble de la supply chain aéronautique et défense.

AirCyber est le programme de cybersécurité de BoostAerospace. Il définit un référentiel d'exigences de sécurité que chaque fournisseur de la chaîne doit respecter pour obtenir un label (Bronze, Silver ou Gold). Ce label est devenu un prérequis contractuel pour de nombreux donneurs d'ordre du secteur.

Le référentiel couvre 5 domaines clés : gouvernance, protection, défense, résilience et conformité. Chaque niveau ajoute des exigences supplémentaires en profondeur et en maturité, permettant une montée en compétence progressive.

50+

Exigences Bronze

120+

Exigences Silver

200+

Exigences Gold

Domaines référentiel

Les 3 niveaux de labellisation

🥉

Bronze

Fondamental

► ~50 exigences de sécurité
► Durée : 2 à 4 mois
► Hygiène cyber de base
► Cible : PME / TPE de la supply chain

🥈

Silver

Avancé

► ~120 exigences de sécurité
► Durée : 4 à 8 mois
► Sécurité structurée et formalisée
► Cible : ETI / fournisseurs Tier 1-2

🥇

Gold

Expert

► ~200 exigences de sécurité
► Durée : 8 à 14 mois
► Maturité avancée, amélioration continue
► Cible : grands fournisseurs stratégiques

Critère	Bronze	Silver	Gold
Nombre d'exigences	~50	~120	~200
Durée moyenne	2-4 mois	4-8 mois	8-14 mois
Analyse de risques	Simplifiée	EBIOS RM	EBIOS RM avancée
Pentest	Optionnel	Recommandé	Obligatoire
PCA / PRA	Basique	Formalisé	Testé et audité
Cible type	PME / TPE	ETI / Tier 1-2	Grands fournisseurs

100%

de réussite aux audits

50+

entreprises accompagnées

3 mois

délai moyen Bronze

réserve majeure en 12 mois

"Ayi NEDJIMI a géré l'intégralité du processus. Son double profil conformité et technique a fait la différence." — DG, PME aéronautique Toulouse

Notre accompagnement

Audit de maturité initial

Évaluation de votre posture cyber actuelle par rapport au référentiel AirCyber. Identification des écarts et du niveau atteignable.

Socle documentaire complet

Rédaction de votre PSSI, PCA, PRA, chartes informatiques, procédures d'exploitation et l'ensemble des documents exigés.

Analyse de risques EBIOS RM

Conduite complète de la méthode EBIOS RM : ateliers, scénarios stratégiques et opérationnels, plan de traitement des risques.

Tests d'intrusion

Pentests infrastructure, Active Directory et applications web. Rapport détaillé avec preuves d'exploitation et recommandations priorisées.

Feuille de route SI

Roadmap d'amélioration sur 6, 12 et 18 mois. Priorisation des actions par impact et effort, jalons clés et indicateurs de suivi.

Gestion interactions BoostAerospace

Soumission des preuves sur la plateforme, réponse aux questions de l'évaluateur, gestion des réserves et suivi jusqu'à l'obtention du label.

Suivi des mises en place

Comités de pilotage réguliers, tableaux de bord, KPIs de conformité et reporting à la direction sur l'avancement du projet.

Formation et sensibilisation

Sessions de sensibilisation pour les collaborateurs, formation des équipes IT aux bonnes pratiques et aux procédures mises en place.

Notre double expertise : conformité + technique

Nous ne nous contentons pas de rédiger des documents de conformité. Nous auditons, testons et sécurisons concrètement votre SI. Chaque recommandation est accompagnée d'un mode opératoire technique de mise en œuvre.

Volet Conformité

Nous prenons en charge l'intégralité de la dimension réglementaire et documentaire pour votre labellisation.

Gap analysis point par point contre le référentiel AirCyber (Bronze, Silver ou Gold)
Rédaction complète du socle documentaire : PSSI, PCA, PRA, chartes, procédures (16+ documents)
Analyse de risques EBIOS RM adaptée aux menaces spécifiques de la filière aérospatiale
Préparation des preuves d'audit et constitution du dossier de conformité
Interface BoostAerospace : soumission des preuves, réponse aux questions de l'évaluateur, gestion des réserves
Audit blanc de simulation avant l'évaluation officielle

Volet Technique

Nous intervenons directement sur votre infrastructure pour auditer, tester et sécuriser chaque composant de votre SI.

Tests d'intrusion (pentest) : infrastructure, Active Directory, applications web — rapport avec preuves d'exploitation et remédiations
Audit de sécurité : scan de vulnérabilités, revue de configuration, analyse d'architecture réseau
Conseil solutions : choix EDR/antivirus, SIEM, firewall, MFA, sauvegarde — recommandations adaptées à votre budget
Modes opératoires techniques : guides de durcissement personnalisés (AD, serveurs, postes, réseau, Microsoft 365)
Mise en œuvre concrète : nous ne livrons pas juste un rapport — nous accompagnons l'implémentation (configuration firewall, segmentation VLAN, déploiement EDR)
Feuille de route SI : roadmap d'amélioration 6-12-18 mois, budgétée, avec jalons mesurables et KPIs de suivi

Exemples de livrables techniques

Rapport de pentest avec preuves d'exploitation

Guide de durcissement Active Directory

Architecture réseau cible (segmentation VLAN)

Procédures de déploiement EDR/antivirus

Configuration firewall et règles de filtrage

Plan de déploiement des correctifs

Audit configuration Microsoft 365 / Entra ID

Scénarios de test de sauvegarde/restauration

Tableau de bord KPIs sécurité mensuel

Prestation clé en main

Tout est inclus — de l'audit initial à la certification BoostAerospace

Notre prestation couvre l'intégralité du parcours de labellisation AirCyber. Vous n'avez rien à sous-traiter, rien à chercher ailleurs. Nous gérons chaque étape jusqu'à l'obtention du label par l'évaluateur agréé BoostAerospace.

Audits techniques complets de votre SI

Nous auditons chaque brique de votre infrastructure pour identifier les écarts par rapport au référentiel AirCyber :

Active Directory / Entra ID — GPO, délégation, comptes à privilèges, Kerberos, ADCS

Microsoft 365 — Exchange Online, SharePoint, Teams, Conditional Access, DLP, Purview

Google Workspace — 2FA, OAuth apps, Drive sharing, Gmail SPF/DKIM/DMARC

Pentest rapide sites web — OWASP Top 10, injection, XSS, authentification, configuration serveur

Surface d'attaque externe — Exposition internet, sous-domaines, services ouverts, fuites de données

Infrastructure réseau — Segmentation, pare-feu, WiFi, VPN, chiffrement

Socle documentaire & gouvernance — tout est rédigé par nous

Politique de Sécurité du SI (PSSI)

Analyse de risques EBIOS RM

Charte informatique collaborateurs

Charte administrateurs systèmes

Cartographie complète du SI

Plan de Continuité d'Activité (PCA)

Plan de Reprise d'Activité (PRA)

Procédure de gestion des incidents

Procédure de gestion des accès

Procédure de gestion des correctifs

Politique de sauvegarde & restauration

Politique de mots de passe & MFA

Politique de chiffrement

Registre des actifs informationnels

Procédure de gestion des prestataires

Procédure de veille sécurité & CVE

Formation et sensibilisation — matériel inclus

Nous créons et animons les sessions de sensibilisation pour vos collaborateurs, avec du matériel pédagogique sur mesure :

Supports de formation personnalisés adaptés à votre secteur aérospatiale

Campagnes de phishing simulé avec rapport de résultats et recommandations

Quiz et évaluations pour mesurer la progression des équipes

Fiches réflexes à afficher — "Que faire en cas de phishing / incident"

Plans de remédiation & feuilles de route opérationnelles

Nous ne nous contentons pas de lister des non-conformités — nous livrons les modes opératoires complets d'installation et de mise en place de chaque solution recommandée :

Feuille de route priorisée — chaque action classée par criticité, effort et impact, avec calendrier 3-6-12 mois
Modes opératoires techniques détaillés — procédures pas-à-pas pour installer, configurer et durcir chaque solution (captures d'écran, commandes, fichiers de configuration)
Solutions du catalogue BoostAerospace — nous recommandons en priorité les solutions approuvées par le programme, en privilégiant les solutions open source pour maîtriser les coûts
Accompagnement à la mise en place — nous ne livrons pas juste un document, nous aidons à déployer concrètement chaque mesure dans votre environnement

Exemples de modes opératoires livrés : déploiement LAPS sur Active Directory, configuration MFA Entra ID, mise en place Wazuh (SIEM open source), durcissement pare-feu pfSense/OPNsense, configuration sauvegarde 3-2-1 avec Veeam ou Proxmox Backup Server, déploiement EDR CrowdStrike ou Wazuh agent, hardening GPO Windows, configuration SPF/DKIM/DMARC sur Exchange/Gmail.

Gestion complète des interactions BoostAerospace

Nous sommes votre interface unique avec BoostAerospace du premier jour jusqu'à l'obtention du label :

Soumission des preuves de conformité sur la plateforme

Réponse aux questions et demandes de l'évaluateur

Gestion des réserves et plans d'actions correctives

Présence le jour de l'audit de certification

Suivi post-certification et préparation du renouvellement

Reporting mensuel direction avec KPIs d'avancement

Socle documentaire livré

Politique de Sécurité du SI (PSSI)

Plan de Continuité d'Activité (PCA)

Plan de Reprise d'Activité (PRA)

Charte informatique utilisateurs

Charte administrateurs SI

Procédure de gestion des incidents

Procédure de gestion des accès

Procédure de gestion des sauvegardes

Procédure de gestion des mises à jour

Politique de classification des données

Registre des actifs informatiques

Cartographie des flux réseau

Analyse de risques EBIOS RM

Plan de sensibilisation annuel

Procédure de gestion des tiers / fournisseurs

Tableau de bord des indicateurs sécurité

Processus en 7 étapes

Cadrage et diagnostic initial

Entretien de cadrage, compréhension de votre activité, de votre SI et de vos enjeux aéronautiques. Définition du périmètre et du niveau visé (Bronze, Silver, Gold).

Audit de maturité

Évaluation point par point de votre conformité au référentiel AirCyber. Scoring détaillé par domaine, identification des écarts et des points de non-conformité.

Feuille de route et planification

Élaboration de la roadmap de mise en conformité : actions priorisées, responsables, délais, jalons clés. Validation avec la direction et les équipes IT.

Production documentaire

Rédaction de l'intégralité du socle documentaire : PSSI, PCA, PRA, chartes, procédures. Chaque document est adapté à votre contexte métier et validé avec vos équipes.

Mise en œuvre technique

Déploiement des mesures techniques : durcissement, segmentation réseau, MFA, chiffrement, journalisation. Tests d'intrusion si requis par le niveau visé.

Soumission BoostAerospace

Préparation et soumission du dossier complet sur la plateforme. Téléversement des preuves, réponse aux questions de l'évaluateur, gestion des réserves éventuelles.

Obtention du label et suivi

Validation finale et obtention du label AirCyber. Mise en place d'un plan de maintien en conformité et préparation du renouvellement ou de la montée en niveau.

Cas client

PME aéronautique — de 0 à Bronze en 3 mois

Retour d'expérience anonymisé d'un sous-traitant Tier 3 Airbus basé à Toulouse.

PME — 45 salariés

Toulouse, Haute-Garonne

Sous-traitant Tier 3 Airbus

Aucune politique de sécurité existante

Le défi

Obtenir la labellisation AirCyber Bronze en 3 mois pour conserver un marché stratégique avec Airbus, alors que l'entreprise partait de zéro en matière de cybersécurité.

Chronologie du projet

Semaine 1-2 Phase 1

Audit de maturité initial

Évaluation complète de l'existant. Score initial : 18/100. Identification de 47 écarts par rapport au référentiel Bronze.

Semaine 3-5 Phase 2

Création du socle documentaire

Rédaction PSSI, politique de sauvegarde, procédure de gestion des incidents, charte informatique, PCA simplifié. 12 documents livrés.

Semaine 5-8 Phase 3

Hardening infrastructure & pentest

Déploiement MFA, segmentation réseau, EDR, sauvegardes 3-2-1, journalisation centralisée. Test d'intrusion interne et externe réalisé.

Semaine 9 Phase 4

Formation & sensibilisation

Formation direction + équipes techniques. Campagne de phishing simulée. Sensibilisation de l'ensemble des 45 collaborateurs.

Semaine 11 Succès

Évaluation officielle — Bronze obtenu

Score final : 87/100. Zéro réserve à l'évaluation. Marché Airbus conservé.

18 → 87

Score AirCyber

11 sem.

Durée du projet

Réserves à l'audit

Documents livrés

Voir les ressources gratuites liées

« Ayi NEDJIMI a géré l'intégralité du processus, de la rédaction de notre PSSI jusqu'à l'évaluation officielle. Son double profil conformité et technique a fait la différence : il ne se contente pas de remplir des cases, il sécurise réellement l'infrastructure. »

DG

Directeur Général

PME aéronautique, Toulouse (45 salariés)

100%

de réussite

à l'évaluation officielle

50+

entreprises

accompagnées sur AirCyber

réserve majeure

sur les 12 derniers mois

3 mois

délai moyen

pour obtenir Bronze

Programme reconnu par

Résilience

PCA/PRA, sauvegardes, exercices de reprise. Garantir la continuité de votre activité même après un incident majeur.

Bronze

Sauvegardes locale + externe, PCA simplifié documenté

Silver

Sauvegarde 3-2-1 testée, PRA formalisé, exercice annuel

Gold

Sauvegardes immutables, DR automatisé, exercices semestriels

Comparatif

AirCyber vs ISO 27001 vs NIS2 vs TISAX

Comprenez les différences entre les principaux référentiels de cybersécurité pour choisir la bonne stratégie de conformité.

Critère	AirCyber	ISO 27001	NIS2	TISAX
Secteur cible	Aéronautique & Défense	Tous secteurs	Secteurs essentiels & importants	Automobile
Obligatoire ?	Exigé par donneurs d'ordres	Volontaire	Réglementaire (UE)	Exigé par constructeurs auto
Base référentielle	NIST CSF adapté aéro	Annexe A (93 mesures)	Directive européenne	VDA ISA (basé ISO 27001)
Niveaux	Bronze / Silver / Gold	Certifié ou non	Entité essentielle / importante	AL1 / AL2 / AL3
Durée certification	3 à 12 mois	6 à 18 mois	Conformité continue	3 à 9 mois
Coût indicatif	10 000 - 80 000 EUR	30 000 - 150 000 EUR	Variable (amendes si non-conforme)	15 000 - 60 000 EUR
Reconnu par	GIFAS, Airbus, Safran, Thales	International (accréditation)	Union Européenne	VW, BMW, Daimler, etc.
Compatibilité	Tremplin vers ISO 27001	Compatible tous réf.	Complémentaire ISO 27001	Proche ISO 27001

Le saviez-vous ? La labellisation AirCyber peut servir de tremplin vers ISO 27001. Les entreprises ayant obtenu Silver couvrent déjà environ 60% des exigences de l'Annexe A.

Profils ciblés

Qui est concerné par AirCyber ?

Toute entreprise de la supply chain aéronautique peut être concernée. Identifiez votre profil ci-dessous.

Sous-traitant rang 2-3 Airbus

Taille typique20-200 salariés

Niveau viséBronze / Silver

Défi principal : formaliser les pratiques existantes et structurer la documentation sans ressource dédiée cybersécurité.

Fournisseur Safran / Thales

Taille typique50-500 salariés

Niveau viséSilver / Gold

Défi principal : gérer des exigences multi-donneurs d'ordres et des données classifiées défense avec des contraintes strictes.

Prestataire IT filière défense

Taille typique10-100 salariés

Niveau viséSilver

Défi principal : prouver sa maturité cyber alors que l'IT est le coeur de métier. Les clients attendent l'exemplarité.

Bureau d'études aéronautique

Taille typique10-80 salariés

Niveau viséBronze / Silver

Défi principal : protéger la propriété intellectuelle (plans, maquettes 3D) et les données techniques confidentielles des donneurs d'ordres.

Société de maintenance MRO

Taille typique50-300 salariés

Niveau viséBronze / Silver

Défi principal : sécuriser les systèmes OT de l'atelier tout en maintenant la disponibilité opérationnelle 24/7.

Vous ne vous retrouvez pas dans ces profils ?

Glossaire

Mini-glossaire AirCyber

Les termes essentiels pour comprendre l'écosystème AirCyber et la labellisation.

Groupement des Industries Françaises Aéronautiques et Spatiales. Organisation professionnelle qui fédère plus de 400 entreprises de la filière. Le GIFAS est à l'origine de l'initiative AirCyber via BoostAerospace.

Plateforme collaborative numérique créée par Airbus, Dassault Aviation, Safran et Thales. BoostAerospace opère le programme AirCyber et héberge la plateforme d'évaluation en ligne.

Politique de Sécurité des Systèmes d'Information. Document fondateur qui définit la stratégie de sécurité de l'entreprise, les rôles et responsabilités, les règles de sécurité applicables. Exigée dès le niveau Bronze.

Plan de Continuité d'Activité / Plan de Reprise d'Activité. Le PCA définit comment maintenir les activités critiques en cas de sinistre. Le PRA détaille les procédures de restauration des systèmes et données après un incident.

Expression des Besoins et Identification des Objectifs de Sécurité — Risk Manager. Méthode d'analyse de risques de l'ANSSI, recommandée pour les niveaux Silver et Gold. Elle structure l'identification et le traitement des risques cyber.

Ensemble structuré d'exigences de sécurité qui sert de base à l'évaluation AirCyber. Le référentiel est organisé en 5 domaines (NIST CSF) et définit les mesures attendues pour chaque niveau Bronze, Silver et Gold.

Organisme tiers autorisé par BoostAerospace à conduire les évaluations officielles AirCyber. L'évaluateur vérifie la conformité au référentiel par des audits documentaires et techniques, et attribue le niveau de labellisation.

Analyse d'écarts. Audit initial qui compare l'état actuel de sécurité de l'entreprise avec les exigences du niveau AirCyber visé. Permet de quantifier le travail à réaliser et d'établir un plan d'action priorisé.

Ensemble des documents de sécurité exigés : PSSI, procédures opérationnelles, chartes, politiques thématiques (sauvegarde, accès, incidents...). Le socle documentaire est la colonne vertébrale de toute démarche de labellisation.

National Institute of Standards and Technology — Cybersecurity Framework. Cadre de référence américain structuré en 5 fonctions (Identify, Protect, Detect, Respond, Recover) qui sert de base au référentiel AirCyber.

Technique

Exigences techniques par niveau

Aperçu détaillé des mesures techniques attendues pour chaque niveau de labellisation AirCyber.

Mesure technique	Bronze	Silver	Gold
Antivirus / EDR	Basique	EDR managé	EDR + XDR
MFA	Email critique	Tous les accès	FIDO2 / Passwordless
Sauvegarde	Locale + externe	3-2-1 testé	Immutable + DR
Chiffrement	Postes nomades	Données sensibles	Full disk + transit + repos
Journalisation	Événements critiques	Centralisée (syslog)	SIEM + corrélation
Segmentation réseau	Pare-feu périmétrique	VLAN + ACL	Micro-segmentation
Gestion des correctifs	Manuel	Automatisé < 30j	< 72h critiques
Tests d'intrusion	Non requis	Annuel	Semestriel + continu
Gestion des incidents	Procédure basique	SOC interne/externe	SOC 24/7 + CERT
Sensibilisation	1x/an	2x/an + phishing	Continue + métriques

Retour d'expérience

Les 10 non-conformités que nous corrigeons le plus souvent

Voici les écarts que nous rencontrons systématiquement lors de nos audits initiaux. Combien vous concernent ?

Absence de MFA sur les accès critiques

Les comptes administrateurs et messagerie ne sont protégés que par un mot de passe simple, sans second facteur d'authentification.

Sauvegardes non testées depuis plus de 6 mois

Les sauvegardes existent sur le papier mais aucun test de restauration n'a été réalisé pour vérifier leur intégrité.

Comptes admin partagés sans traçabilité

Plusieurs personnes utilisent le même compte administrateur, rendant impossible l'imputation des actions en cas d'incident.

Pas de PSSI formalisée ni approuvée par la direction

Aucun document officiel ne définit la stratégie de sécurité. La direction n'a pas formellement validé les règles de sécurité.

Absence de journalisation centralisée

Les logs restent dispersés sur chaque équipement sans centralisation, rendant toute investigation post-incident impossible.

Correctifs critiques non appliqués depuis plus de 90 jours

Des vulnérabilités connues et exploitées restent présentes sur les serveurs et postes de travail faute de processus de patch management.

Pas de segmentation réseau (réseau à plat)

Tous les équipements communiquent sur le même réseau. Un ransomware peut se propager latéralement sans aucune barrière.

Mots de passe faibles autorisés (< 12 caractères)

Aucune politique de complexité n'est imposée par l'Active Directory ou les systèmes d'authentification.

Absence de procédure de gestion des incidents

Aucun processus défini pour détecter, qualifier, contenir et communiquer en cas d'incident de sécurité.

WiFi invité sur le même réseau que la production

Les visiteurs accèdent au même SSID et VLAN que les postes de travail et serveurs de production de l'entreprise.

Vous vous reconnaissez dans 3 points ou plus ? Il est temps d'agir.

Recommandations

Stack technique recommandée

Nos recommandations d'outils adaptées à la taille de votre entreprise et à votre budget.

PME < 50 salariés

Budget limité — Priorité efficacité/coût

Protection endpoint Windows Defender

Sauvegarde Veeam Community

Pare-feu pfSense

SIEM / Monitoring Wazuh

Gestion parc NinjaRMM

Cible : Bronze

Recommandé

ETI 50-500 salariés

Budget modéré — Équilibre performance/coût

Protection endpoint CrowdStrike Falcon Go

Sauvegarde Veeam Enterprise

Pare-feu Fortinet

SIEM / Monitoring Elastic SIEM

Gestion parc ManageEngine

Cible : Silver

Grand groupe 500+

Budget conséquent — Performance maximale

Protection endpoint CrowdStrike Falcon Complete

Sauvegarde Commvault

Pare-feu Palo Alto

SIEM / Monitoring Splunk Enterprise

Gestion parc ServiceNow

Cible : Gold

Ces recommandations sont indicatives. Nous adaptons la stack technique à votre contexte, vos contraintes et vos outils existants.

Auto-évaluation

Évaluez votre niveau AirCyber

Répondez à 10 questions pour estimer votre maturité cyber actuelle. Résultat instantané.

Avez-vous une PSSI formalisée et approuvée ?

Utilisez-vous le MFA pour les accès administrateurs ?

Vos sauvegardes sont-elles testées régulièrement ?

Avez-vous un inventaire à jour de vos actifs IT ?

Disposez-vous d'une procédure de gestion des incidents ?

Vos correctifs critiques sont-ils appliqués sous 30 jours ?

Avez-vous un plan de continuité d'activité (PCA) ?

La journalisation est-elle centralisée et conservée plus de 6 mois ?

Vos collaborateurs sont-ils sensibilisés à la cybersécurité ?

Avez-vous réalisé un test d'intrusion dans les 12 derniers mois ?

Niveau Pré-Bronze

Score : /10

Votre maturité cyber nécessite un travail structuré. La bonne nouvelle : avec un accompagnement adapté, le niveau Bronze est atteignable en 3 mois.

Bronze accessible

Score : /10

Vous avez des bases solides. Quelques axes d'amélioration ciblés vous séparent de la labellisation Bronze.

Silver envisageable

Score : /10

Excellente maturité. Vous pouvez viser directement le niveau Silver, voire préparer une trajectoire vers Gold.

Gold possible

Score : /10

Maturité remarquable. Le niveau Gold est à votre portée. Discutons de l'optimisation de vos derniers points d'amélioration.

Engagements

Nos engagements contractuels

Pas de promesses vagues. Des engagements concrets, inscrits dans nos contrats.

Interlocuteur unique dédié

Un seul consultant référent du début à la fin. Pas de turnover, pas de perte de contexte. Votre interlocuteur connaît votre dossier dans les moindres détails.

Comité de pilotage mensuel

Reporting direction inclus : avancement, risques, prochaines étapes. Votre direction générale dispose d'une visibilité claire sur le projet à tout moment.

Délai garanti contractuellement

Un calendrier précis avec des jalons définis. Si le retard est de notre fait, des pénalités contractuelles s'appliquent. Nous nous engageons sur des dates, pas sur des estimations.

Obligation de résultat

Nous nous engageons sur l'obtention de la labellisation, pas seulement sur la fourniture de prestations. Si l'évaluation échoue, nous reprenons le travail à nos frais.

Planning

Projet type AirCyber

Visualisez le déroulement de votre projet selon le niveau visé.

Mois 1

Cadrage & Audit

Réunion de lancement et cadrage
Audit de maturité (gap analysis)
Plan d'action priorisé
Inventaire des actifs

Mois 2

Documentation & Technique

Rédaction PSSI et procédures
Hardening infrastructure
Déploiement MFA, EDR, sauvegardes
Formation et sensibilisation

Mois 3

Audit blanc & Évaluation

Audit blanc complet
Corrections des derniers écarts
Évaluation officielle
Obtention du label Bronze

M1-M2

Audit & Risques

Gap analysis approfondi
Analyse de risques EBIOS RM
Plan de traitement des risques

M3-M5

Doc. & Technique

Socle documentaire complet
Hardening avancé + VLAN
EDR + centralisation logs

M6-M7

Tests & Audit blanc

Pentest interne + externe
Exercice PCA/PRA
Audit blanc complet

Évaluation

Corrections finales
Évaluation officielle
Label Silver obtenu

Ressources

Ressources gratuites

Guides, checklists et retours d'expérience pour préparer votre projet AirCyber.

PDF — 24 pages

Guide : Préparer votre labellisation AirCyber 2026

Méthodologie complète, pièges à éviter, checklist par niveau et retours d'expérience terrain.

Checklist — 20 points

Checklist : 20 points à vérifier avant l'audit AirCyber

Les 20 contrôles essentiels que l'évaluateur vérifie en priorité. Ne passez pas à côté de l'évident.

Cas client — Gold

Retour d'expérience : AirCyber Gold en 12 mois

Comment une ETI de 200 salariés a atteint le niveau Gold en partant de zéro. Leçons apprises et chiffres clés.

Pour aller plus loin

Pourquoi nous choisir ?

Expertise aéronautique

Connaissance approfondie du référentiel AirCyber, des attentes de BoostAerospace et des spécificités de la filière aérospatiale et défense.

Socle documentaire clé en main

Nous rédigeons l'intégralité de vos documents de sécurité. Pas de templates génériques : chaque livrable est adapté à votre organisation.

Pentests intégrés

Tests d'intrusion réalisés par nos consultants offensifs en interne. Pas de sous-traitance, réactivité maximale et cohérence de bout en bout.

Interlocuteur unique

Un consultant dédié de bout en bout : audit, documentation, technique et interactions BoostAerospace. Pas de perte d'information entre équipes.

Engagement de délais

Planning contractuel avec jalons précis. Nous nous engageons sur un calendrier réaliste et le tenons grâce à un pilotage rigoureux.

Suivi post-labellisation

Accompagnement au maintien en conformité et préparation de la montée en niveau. Votre label est un point de départ, pas une fin.

Questions fréquentes

Formellement, le label AirCyber n'est pas une obligation légale. En pratique, il est devenu un prérequis contractuel imposé par les grands donneurs d'ordre (Airbus, Safran, Thales, Dassault Aviation). Sans label, vous risquez de perdre des contrats ou de ne pas être référencé comme fournisseur. La tendance est à la généralisation : de plus en plus de Tier 1 exigent également le label de leurs propres sous-traitants.

En moyenne, comptez 2 à 4 mois pour un label Bronze, selon votre niveau de maturité initial. Si vous partez de zéro (pas de PSSI, pas de procédures formalisées), nous produisons l'intégralité du socle documentaire et mettons en place les mesures techniques nécessaires. Pour une entreprise déjà partiellement structurée, le délai peut être réduit à 6-8 semaines.

AirCyber est un référentiel sectoriel spécifique à la filière aéronautique, tandis que l'ISO 27001 est une norme internationale généraliste. AirCyber est plus concret et prescriptif (des exigences techniques précises), l'ISO 27001 est orientée processus et SMSI. Les deux sont complémentaires : une entreprise certifiée ISO 27001 couvrira une grande partie des exigences AirCyber, mais devra tout de même répondre aux points spécifiques du référentiel.

Pour le niveau Bronze, le pentest n'est pas obligatoire mais fortement recommandé. Pour le Silver, il est recommandé dans le cadre de la validation des mesures techniques. Pour le Gold, des tests d'intrusion réguliers font partie intégrante des exigences. Nos consultants offensifs réalisent les pentests en interne, ce qui simplifie la coordination et garantit la cohérence avec le reste de la démarche.

Oui, les niveaux ne sont pas nécessairement séquentiels. Une entreprise déjà mature peut viser directement le Silver ou le Gold. Cependant, chaque niveau supérieur inclut toutes les exigences du niveau inférieur. Nous réalisons un audit de maturité initial pour déterminer le niveau le plus réaliste et éviter de viser trop haut trop vite.

L'évaluation se fait en ligne via la plateforme BoostAerospace. Vous soumettez vos preuves de conformité (documents, captures d'écran, rapports) pour chaque exigence. Un évaluateur externe analyse le dossier et peut émettre des réserves ou demander des compléments. Nous gérons l'intégralité de ces échanges pour vous : préparation des preuves, réponse aux questions, levée des réserves.

Témoignages

Ce que disent nos clients

"Le pentest Active Directory a révélé 3 chemins d'escalade de privilèges que notre équipe sécurité n'avait pas détectés. Le rapport était actionnable dès le lendemain. Résultats remédiation : 100% des chemins critiques fermés en 3 semaines."

Directeur Technique

ETI industrielle · 400 collaborateurs

"Nous avons obtenu notre certification ISO 27001 du premier coup. L'accompagnement d'Ayi NEDJIMI a été déterminant : rigueur méthodologique, livrables directement utilisables, et une vraie pédagogie pour embarquer nos équipes."

Responsable SSI

PME SaaS B2B · 80 collaborateurs

"En tant que sous-traitant Airbus, la conformité AirCyber était une obligation. Ayi NEDJIMI nous a guidés de l'évaluation initiale Bronze jusqu'au Silver en 4 mois. Approche pragmatique, pas de sur-ingénierie."

Dirigeant

Sous-traitant aéronautique · 35 pers.

Prêt à obtenir votre label AirCyber ?

Ne laissez pas la cybersécurité freiner votre croissance dans l'aérospatiale. Obtenez votre labellisation AirCyber avec un accompagnement complet, de l'audit initial à l'obtention du label.