Part-IS

Cadre réglementaire européen pour une aviation encore plus sûre
​une clé essentielle pour la conception aéronautique
​

La sécurité de l’information constitue un nouvel enjeu pour la sécurité aéronautique, aussi depuis 2022, l’Agence de l’Union Européenne pour la Sécurité Aérienne (EASA) a lancé  un référentiel de conformité venant ajouter des exigences de sécurité de l’information à la Part-21, dont l’objectif est de protéger les données critiques et de prévenir les impacts sur la safety.
La Part-IS vise à garantir que les organisations aéronautiques mettent en œuvre des mesures robustes de sécurité de l’information pour protéger les systèmes et les données.

Qui est concerné par la Part-IS ?
Cette règlementation s’applique à l’ensembles des parties prenantes à considérer en matière de sécurité, comme : les constructeurs et les OEM, les compagnies aériennes, les aéroports, les fournisseurs de gestion du trafic aérien (ATM), les organisations de maintenance ou encore l’ensemble de la chaîne d’approvisionnement des organisations titulaires d’approbations. 
En résumé : les organismes agréés par l’EASA, dans le cadre du règlement délégué (UE) 2022/1645 doivent se conformer à la Part-IS qui sera obligatoire à partir du 16 octobre 2025 et d’ici février 2026 pour les autres organismes.


Quelles sont les exigences de la Part-IS ? Que faut-il mettre en place pour être conforme ?
Applicabilité : tous les DOA et POA, quelle que soit leur taille

La conformité à la Part-IS exige la mise en place d’un cadre précis en vue de diminuer les risques liés à la cybersécurité et à la sécurité de l’information. Ainsi, les organisations doivent : 

• mettre en place un ISMS (Système de Management de la Sécurité de l’Information) proportionné couvrant les risques impactant la sécurité aéronautique
• s’assurer que l’ISMS couvre la confidentialité, l’intégrité et la disponibilité des données et l’intégrer avec le SMS/Qualité existant (cohérence des processus)
• répercuter en cascade l’exigence sur les fournisseurs et partenaires (flow-down) 
• définir une politique de gouvernance, des rôles et des responsabilités au sein de l’organisation (engagement de la direction, comité IS, responsable ISMS...)
• mettre en place une politique de sécurité de l’information validée par la direction, cohérente avec la politique qualité et safety de l’organisme, ainsi qu’avec ses procédures appelées dans le manuel d’organisme.

• définir le processus de gestion des incidents (détection, gestion, réponse et atténuation les risques liés à la cybersécurité et à la sécurité de l’information)
• développer un cadre d’analyse et de gestion des risques informationnels et de leurs impacts potentiels sur la safety (menaces, vulnérabilités, scénarios...)
• assurer la surveillance et l’amélioration au travers d’un programme d’audits internes et de reporting
• déterminer un processus d’actions correctives et d’amélioration continue
• former / sensibiliser le personnel sur la cybersécurité appliquée à la conception aéronautique
• être en mesure de présenter preuves et documents lors des audits de l’autorité (EASA ou CAA)
• favoriser une culture de sécurité : sensibiliser et former les équipes et parties prenantes à l’importance de la cybersécurité et leur rôle dans le maintien de la conformité.

Notre approche chez R&R Consulting
Les organisations peuvent rencontrer plusieurs difficultés dans leur mise en conformité, notamment au regard de : 

• la complexité des systèmes aéronautiques
• l’interprétation de la règlementation (puisque nouvelle)
• la complexité de la mise en œuvre des actions nécessaires pour répondre aux exigences
• la conduite du changement (résistance, crainte...)

En tant qu’experts de la Partie 21, R&R Consulting peut vous accompagner à chacune des étapes de cette mise en conformité : diagnostic / écart, roadmap, préparation aux audits, communication avec l’autorité, formation des équipes...

Pour plus d'informations sur la Part-IS ou sur d'autres services, veuillez nous contacter à l'adresse suivante : [email protected]

RETOUR