La Part-IS définit la EASA PART IS sécurité de l'information (Information Security) comme « la préservation de la confidentialité, de l'intégrité, de l'authenticité et de la disponibilité des réseaux et des systèmes d'information.

Il s'agit d'une réglementation européenne obligatoire, introduite par l'EASA (Agence européenne de la sécurité aérienne), dont l'objectif est de protéger les systèmes d'information critiques de l'aviation et à renforcer leur résilience face aux cybermenaces.

La PART‑IS marque un tournant : la protection des systèmes d’information devient un enjeu de sécurité aussi sensible que la prévention des accidents ou incidents de vol.

Avec les échéances fixées entre fin 2025 et début 2026, les organismes n’ont plus la possibilité de repousser le sujet : disposer d’une organisation solide pour la sécurité de l’information conditionne désormais la pérennité des agréments et des activités.

Les organismes redevables des Partie 21G, Partie 145, Partie CAMO et les Autorités de l'Aviation Civile sont concernés.

La PART‑IS s’appuie sur un couple de textes européens récents (règlement délégué et règlement d’exécution) qui imposent aux organisations et aux autorités la gestion structurée des risques liés à l’information dès lors qu’ils peuvent impacter la sécurité aérienne. L’idée est de compléter les systèmes de management existants en y intégrant explicitement la dimension cyber, afin d’augmenter la résilience de l’écosystème aéronautique face aux menaces numériques.

Deux grandes dates rythment la mise en œuvre : une première échéance au 16 octobre 2025 pour certains types d’organisations (notamment conception, production, aéroports et services d’aire de trafic), puis une seconde au 22 février 2026 pour les autres entités opérationnelles et de maintenance, ainsi que pour les acteurs de la navigation aérienne et leurs autorités.

Le champ d’application de PART‑IS est large et couvre la plupart des acteurs critiques de la chaîne aéronautique :

organismes de maintenance PART‑145 (hors périmètre limité à Part‑ML), organismes de gestion du maintien de navigabilité Part‑CAMO, exploitants aériens soumis au Part‑ORO, organismes de formation approuvés (ATO), prestataires ATM/ANS et certains prestataires associées aux services de navigation aérienne. S’y ajoutent les organismes de conception et de production Part‑21, les exploitants d’aérodromes certifiés et les prestataires de services d’aire de trafic couverts par le règlement (UE) 139/2014.

4.1 Système de gestion de la sécurité de l’information (ISMS)

La réglementation demande la mise en place d’un système de gestion de la sécurité de l’information adapté au contexte aéronautique (souvent désigné ca‑ISMS), articulé avec le système de management déjà en place (qualité, sécurité, continuité d’activité). Ce dispositif doit reposer sur une gouvernance claire, des responsabilités définies, des politiques validées au plus haut niveau et un cycle d’amélioration continue couvrant prévention, surveillance, réaction et retour d’expérience en matière de risques liés à l’information.

Beaucoup d’organisations s’inspirent de cadres comme ISO 27001 pour structurer cette démarche (organisation, contrôle documentaire, indicateurs), tout en veillant à respecter les demandes spécifiques de Part‑IS, notamment le lien explicite avec la sécurité aérienne et les règles de notification aux autorités.

4.2 Évaluation des risques et identification des actifs critiques

La conformité passe d’abord par un inventaire des actifs d’information qui, en cas de compromission, peuvent avoir un impact sur la sécurité ou la continuité des opérations : systèmes de gestion de la maintenance, bases de données de navigabilité, outils de préparation des vols, plateformes de formation, etc. À partir de cette base, l’organisation doit conduire une analyse de risques structurée, caractériser menaces et vulnérabilités, évaluer la gravité des scénarios et définir des mesures de traitement adaptées à l’importance de chaque actif pour la sécurité.

Les autorités et les guides de bonnes pratiques insistent sur la nécessité de faire le lien entre risques de sécurité de l’information et conséquences possibles sur les opérations aériennes, afin de prioriser correctement les moyens techniques et organisationnels.

4.3 Gestion des incidents et signalement obligatoire

PART‑IS impose également de disposer de procédures claires pour détecter, traiter et suivre les incidents de sécurité de l’information, avec des circuits de remontée définis et des délais de réaction encadrés. Au‑delà du traitement interne, certaines catégories d’incidents doivent faire l’objet d’une notification vers l’autorité compétente, accompagnée d’actions correctives planifiées et suivies, en cohérence avec les exigences de sécurité aérienne.

Les organisations doivent donc prévoir des canaux de signalement accessibles, une articulation étroite avec les équipes SMS, des scénarios de réponse aux incidents cyber critiques et des dispositions permettant un retour à un fonctionnement sûr dans des délais compatibles avec les contraintes opérationnelles.

Aero Consulting met à disposition son expérience réglementaire et terrain pour aider les organismes à passer d’une obligation PART‑IS théorique à une démarche opérationnelle et adaptée à leur taille.

• Audit et Conseil : réalisation de diagnostics de conformité structurés par rapport aux exigences des textes européens, identification des écarts et construction d’une feuille de route réaliste jusqu’aux échéances de 2025 et 2026. Accompagnement à la conception et au déploiement de votre ca‑ISMS, à son intégration dans votre SMS et à la préparation des échanges avec l’Autorité, avec une approche différenciée selon que vous êtes Part‑145, CAMO, exploitant ou ATO.

• Formation spécialisée : Nos formations PART‑IS adaptées à vos besoins  permet à vos responsables cybersécurité, responsables qualité/safety et équipes IT de s’approprier les exigences réglementaires et les pratiques concrètes de mise en œuvre. Notre formation en ligne, construite autour de cas d’usage et de retours d’expérience, vise à installer une compétence interne durable, avec des ressources mises à jour au fil de l’entrée en vigueur complète du dispositif en 2025‑2026.

Aero Consulting vous propose des formations adaptées à vos besoins et à votre organisation.

Formation initiale EASA PART-IS en ligne

Formation en visio niveau intemédiaire et avancé

Formation en visio niveau intermédiaire et avancé sur mesure our votre entreprise.