Audit DGAC 3CF : ce que les contrôleurs vérifient vraiment

Audit DGAC 3CF : ce que les contrôleurs vérifient vraiment
Résumer cet article via une IA

Obligatoire depuis fin 2024, le Cadre de Conformité Cybersécurité France (3CF) impose à tous les acteurs de l’aviation civile française de démontrer leur conformité aux exigences de cybersécurité. Mais concrètement, que vérifient les inspecteurs de la DGAC lors de leurs audits ? Comment s’y préparer efficacement sans perdre de temps sur des aspects secondaires ?

Décryptage des points de contrôle réels, basé sur le référentiel 3CF version 3 et les retours d’expérience terrain.

Comprendre la logique de l’audit 3CF

L’audit 3CF n’est pas un audit purement technique. Les inspecteurs de la DSAC (Direction de la Sécurité de l’Aviation Civile) recherchent autre chose.

Leur priorité : vérifier que votre gouvernance cybersécurité fonctionne réellement. Que votre Système de Management de la Sécurité de l’Information (SMSI) existe et qu’il est opérationnel. Que vous gérez vos risques cyber de manière continue. Que vous respectez les exigences réglementaires spécifiques au secteur aérien.

L’approche ressemble à celle d’un audit de Système de Gestion de la Sécurité (SGS) : les auditeurs veulent la preuve que votre système fonctionne, pas seulement qu’il existe sur le papier.

Ce qui distingue radicalement le 3CF de l’ISO 27001

Si le 3CF s’inspire de l’ISO 27001, il impose des contraintes spécifiques au secteur aérien qui changent profondément la donne. Quatre différences majeures rendent impossible de se contenter d’un SMSI classique.

L’interconnexion obligatoire entre SMSI et SGS

Votre SMSI ne peut pas vivre en vase clos. Le 3CF impose une articulation étroite avec votre Système de Gestion de la Sécurité aérienne. Concrètement, cela signifie que le moindre changement de votre SMSI doit s’interconnecter avec le processus de gestion des changements de la sécurité aérienne.

Toute modification du SMSI nécessitant l’approbation préalable de la DSAC doit être notifiée avant sa mise en œuvre. Cela concerne les changements majeurs de la chaîne de responsabilité SMSI (responsable SMSI, responsable de la conformité), les modifications majeures de la politique de sécurité de l’information ayant un impact potentiel sur la sécurité aérienne, les évolutions importantes de la procédure de gestion des changements SMSI.

Cette exigence n’existe pas dans l’ISO 27001. Vous ne pouvez pas faire évoluer votre SMSI de manière autonome comme dans d’autres secteurs.

Un périmètre imposé par la réglementation

Avec l’ISO 27001, vous définissez librement le périmètre de votre SMSI en fonction de vos enjeux métier. Avec le 3CF, pas le choix : le périmètre est fixé par la réglementation.

Vous devez identifier l’ensemble des fonctions essentielles pour la sûreté et la sécurité aérienne. Les annexes II et III du référentiel 3CF listent ces fonctions de manière exhaustive. Pour un aéroport : contrôle d’accès aux zones critiques, inspection-filtrage des passagers et bagages, protection des données sensibles (contrôles d’antécédents, données supply chain), détection et interception de drones. Pour une compagnie aérienne : gestion de la configuration des aéronefs, planification et allocation des vols, gestion des données de vol, accès aux informations de vol critiques.

Vous devez ensuite cartographier tous les systèmes d’information qui contribuent à ces fonctions. Ce n’est pas négociable. Vous ne pouvez pas exclure un système critique de votre périmètre SMSI sous prétexte qu’il est complexe à sécuriser.

Des vérifications d’antécédents renforcées

Le 3CF impose deux niveaux de vérification selon que vous traitez de sûreté ou de sécurité aérienne.

Pour le personnel intervenant sur les systèmes critiques de sûreté (ceux identifiés lors de votre analyse de risques sûreté), les vérifications d’antécédents sont renforcées. Ces personnes doivent disposer d’une autorisation préfectorale valide (badge d’accès en zone réglementée de sûreté ou autorisation sans badge). L’organisme doit vérifier leur parcours professionnel, leur formation et les interruptions éventuelles sur les 5 dernières années dans tous les pays de résidence. Ces vérifications doivent être renouvelées tous les 12 mois maximum.

Pour le personnel intervenant sur les systèmes critiques de sécurité aérienne, l’organisme définit sa propre politique de contrôle de fiabilité. Cette politique identifie les catégories de personnel en fonction de leur niveau de risque pour la sécurité aérienne. Les mesures de contrôle sont proportionnelles : vérification d’identité minimale pour tous, vérification approfondie du parcours pour les postes à risque élevé.

Cette double exigence sûreté/sécurité n’existe pas dans l’ISO 27001. Elle reflète la réalité opérationnelle du secteur aérien où une cyberattaque peut compromettre à la fois la sûreté (ligne frontière Schengen d’un aéroport international) et la sécurité (intégrité des données de navigabilité).

Un Dirigeant Responsable unique

Le 3CF impose que le Dirigeant Responsable (DR) soit la même personne pour le SGS et le SMSI. Cette personne dispose de l’autorité et des moyens techniques et financiers pour maintenir la conformité aux exigences réglementaires.

Le DR peut déléguer ses activités au titre de la Partie-IS (cybersécurité) à une Personne Responsable Commune (PRC) lorsque l’organisme partage des structures organisationnelles, politiques, processus et procédures de sécurité de l’information avec d’autres organisations ou d’autres périmètres de sa propre organisation. Mais même dans ce cas, le DR reste le garant final.

Les auditeurs vérifient systématiquement lors de leurs entretiens avec le DR et, le cas échéant, la PRC que la coordination entre sécurité aérienne et cybersécurité fonctionne réellement. Que les mesures nécessaires à la bonne coordination de l’ensemble des activités sont en place.

Les 8 piliers de l’audit 3CF

Le référentiel 3CF version 3 (juillet 2025) structure l’audit autour de 8 chapitres. Chacun fait l’objet de vérifications spécifiques.

1.     Gouvernance : l’engagement du Dirigeant Responsable

Les auditeurs vérifient l’existence d’un engagement formel et signé du Dirigeant Responsable (Accountable Manager) sur la mise en œuvre du SMSI. Ils examinent la définition d’une politique de sécurité de l’information approuvée par le DR. Ils analysent la cohérence entre la stratégie cyber et la stratégie globale de l’organisation. Ils s’assurent de l’allocation de ressources suffisantes pour gérer la cybersécurité.

Les auditeurs organisent systématiquement un entretien avec le Dirigeant Responsable pour vérifier sa compréhension réelle de ses responsabilités. Un DR qui ne maîtrise pas les enjeux cyber de son organisation est un signal d’alarme immédiat.

Preuves attendues : lettre d’engagement du DR intégrée au manuel SMSI, politique de sécurité de l’information datée et signée, compte-rendus de comités de direction mentionnant la cybersécurité, budget alloué à la cybersécurité.

2.     Gestion des risques : le cœur du réacteur

Les auditeurs vérifient l’identification des fonctions essentielles pour la sûreté et la sécurité aérienne. Les annexes II et III du 3CF listent ces fonctions. Ils examinent la cartographie des systèmes d’information contribuant à ces fonctions. Ils analysent votre documentation de risques avec une méthodologie reconnue (EBIOS Risk Manager, ISO 27005). Ils vérifient votre plan de traitement des risques avec priorisation et calendrier de mise en œuvre. Ils contrôlent la traçabilité des décisions : qui a validé quoi, quand, et pourquoi.

Les auditeurs ne se contentent pas de vérifier l’existence d’une analyse de risques. Ils vérifient qu’elle est vivante : mise à jour régulière, prise en compte lors des changements, utilisée pour prendre des décisions réelles.

Preuves attendues : registre des risques cyber à jour, matrices d’évaluation (probabilité × impact), plans de traitement des risques avec responsables et échéances, comptes-rendus de comités risques.

3.     Gestion des incidents : êtes-vous prêts à réagir ?

Les auditeurs vérifient l’identification des incidents redoutés ayant un impact potentiel sur la sûreté ou la sécurité aérienne. Ils examinent les sources de collecte d’événements (logs, alertes, remontées internes). Ils analysent votre procédure de détection, qualification et notification des incidents. Ils contrôlent les délais de notification à la DGAC via ECCAIRS 2 pour les incidents ayant un impact significatif sur la sécurité aérienne. Ils vérifient vos procédures de réponse et de récupération en cas d’incident.

La notification à la DGAC est une obligation réglementaire stricte. Les auditeurs vérifient que vous avez ouvert un compte ECCAIRS 2 et que vous savez l’utiliser. Ils peuvent demander à consulter vos derniers comptes-rendus d’incidents.

Preuves attendues : procédure de gestion des incidents documentée, registre des incidents (même si aucun incident majeur n’est survenu), preuve d’ouverture du compte ECCAIRS 2, résultats de tests de la procédure (exercices de crise).

4.     Gestion des tiers : votre maillon faible ?

Les auditeurs vérifient la liste des organismes interfacés (fournisseurs, sous-traitants, contractants) présentant un risque cyber. Ils examinent les clauses contractuelles de cybersécurité imposées aux tiers. Ils contrôlent le suivi de la conformité des tiers aux exigences cyber. Ils vérifient les procédures de notification d’incidents entre vous et vos tiers. Ils analysent la gestion spécifique des sous-traitants SMSI si vous externalisez une partie de votre SMSI.

C’est souvent le point le plus faible des organisations. Les auditeurs sélectionnent un échantillon de contrats et vérifient la présence effective de clauses cyber. Ils interrogent vos équipes sur la manière dont elles s’assurent que les tiers respectent leurs obligations.

Preuves attendues : cartographie des tiers avec évaluation du risque cyber, modèles de clauses contractuelles cyber, contrats signés avec clauses cyber effectives, comptes-rendus de revues de la conformité des tiers.

5.     Personnel et compétences : qui fait quoi ?

Les auditeurs vérifient l’identification des personnels sensibles (administrateurs, personnels avec accès aux systèmes critiques). Ils contrôlent les vérifications d’antécédents pour le personnel sûreté (autorisation préfectorale, badge ZRR). Ils examinent votre politique de contrôle de fiabilité pour le personnel sécurité aérienne. Ils vérifient les programmes de sensibilisation à la cybersécurité. Ils analysent les formations spécifiques pour les équipes de management et opérationnelles.

Les auditeurs vérifient la traçabilité : qui a été sensibilisé quand ? Qui a suivi quelle formation ? Ils peuvent interroger des collaborateurs pour vérifier le niveau réel de sensibilisation.

Preuves attendues : liste du personnel sensible à jour, registre des autorisations préfectorales, feuilles d’émargement des sensibilisations, certificats de formation des équipes cyber.

6.     Pilotage du SMSI : montrez que ça vit

Les auditeurs vérifient le suivi de la mise en œuvre du plan de traitement des risques. Ils examinent l’évaluation de la conformité du SMSI aux exigences 3CF. Ils analysent l’évaluation de l’efficacité et de la maturité du SMSI. Ils contrôlent le processus d’amélioration continue. Ils vérifient la gestion des changements du SMSI.

Les auditeurs recherchent des tableaux de bord, des indicateurs, des revues régulières. Un SMSI qui n’a pas évolué depuis sa mise en place est suspect. Ils vérifient que vous traitez les écarts identifiés lors de vos audits internes.

Preuves attendues : tableaux de bord de suivi du SMSI, comptes-rendus de revues de direction, rapports d’audits internes, plans d’actions d’amélioration continue.

7.     Conservation des enregistrements : la mémoire du système

Les auditeurs vérifient l’existence d’une procédure de gestion documentaire. Ils contrôlent la conservation des documents clés pendant au moins 5 ans (certificats, analyses de risques, rapports d’incidents). Ils examinent la protection des documents sensibles. Ils vérifient les modalités de destruction sécurisée.

Les auditeurs peuvent demander à consulter des documents archivés pour vérifier que votre système de conservation fonctionne réellement.

Preuves attendues : procédure de gestion documentaire, registre des documents archivés, preuve de la mise en œuvre de la protection (chiffrement, contrôle d’accès).

8.     Documentation : votre manuel SMSI

Les auditeurs vérifient l’existence d’un manuel SMSI ou son intégration dans le manuel SGS. Ils contrôlent la complétude du manuel : toutes les procédures requises sont-elles présentes ? Ils analysent la cohérence entre le manuel et la réalité du terrain. Ils vérifient la traçabilité des versions et des approbations.

Un manuel SMSI copié-collé d’un modèle générique est immédiatement détecté. Les auditeurs vérifient que le manuel reflète votre organisation réelle et vos processus effectifs.

Preuves attendues : manuel SMSI approuvé par le DR, liste des procédures référencées, historique des versions du manuel.

Les spécificités selon votre type d’organisation

Le 3CF s’applique différemment selon que vous êtes compagnie aérienne, aéroport, organisme de maintenance ou CAMO.

Compagnie aérienne (AOC)

Focus particulier sur la gestion des données de vol, la protection des systèmes de planification, la cybersécurité des systèmes embarqués si applicable.

Aéroport / Héliport

Focus particulier sur la protection de la ligne frontière (zone Schengen / hors Schengen), les systèmes de sûreté (contrôle d’accès, vidéosurveillance, inspection-filtrage), la gestion des multiples interfaces avec les tiers.

Organisme de maintenance (Part-145) ou de production (Part-21G)

Focus particulier sur la protection des données techniques sensibles, la cybersécurité des équipements de test et de production, la gestion de la chaîne d’approvisionnement.

Organisme de gestion du maintien de navigabilité (CAMO)

Focus particulier sur la protection des programmes d’entretien, l’intégrité des données de navigabilité, la gestion des interfaces avec les opérateurs et les ateliers.

Qui est concerné par le 3CF ?

Le périmètre du 3CF version 3 (juillet 2025) est particulièrement large. Sont concernés tous les organismes détenant un agrément ou un certificat de sécurité aérienne.

Organismes de conception et production

Organismes de conception (DOA) soumis aux sous-parties G et J de la section A de l’annexe I (Part 21) du règlement (UE) n°748/2012. Organismes de production (POA) soumis aux mêmes exigences.

Organismes de maintenance et navigabilité

Ateliers de maintenance soumis à la section A de l’annexe II (Part-145) du règlement (UE) n°1321/2014. Organismes de gestion du maintien de la navigabilité (CAMO) soumis à la section A de l’annexe Vc (Part-CAMO) du même règlement.

Exploitants aériens

Compagnies aériennes soumises à l’annexe III (Part-ORO) du règlement (UE) n°965/2012.

Organismes de formation

Organismes de formation agréés (ATO) soumis à l’annexe VII (Part-ORA) du règlement (UE) n°1178/2011. Opérateurs de simulateurs de vol (FSTD). Organismes de formation des contrôleurs aériens (ATCO TO).

Centres aéro-médicaux

Centres aéro-médicaux des personnels de bord et des contrôleurs aériens soumis aux annexes VII (Part-ORA) du règlement (UE) n°1178/2011 et III (Part ATCO.OR) du règlement (UE) 2015/340.

Prestataires de services

Prestataires de services de navigation aérienne (ANSP) soumis à l’annexe III (Part-ATM/ANS.OR) du règlement d’exécution (UE) 2017/373. Exploitants d’aérodromes et prestataires de services de gestion d’aire de trafic soumis à l’annexe III (Part-ADR.OR) du règlement (UE) n°139/2014. Organismes de conception de procédures de vol (FPD). Prestataires de services U-space et fournisseurs de services d’information communs uniques soumis au règlement d’exécution (UE) 2021/664.

Exemptions possibles

Certains organismes peuvent bénéficier d’une dispense d’application de certaines exigences Part-IS s’ils démontrent, via une analyse de risques formalisée, qu’ils présentent un risque limité pour la sécurité aérienne. Les critères d’éligibilité sont précisés dans les communications METEOR DSAC et le Bulletin d’Information OSAC 2025-03.

Les erreurs qui déclenchent systématiquement un écart

Certaines lacunes conduisent quasi-systématiquement à la notification d’un écart par les auditeurs.

Écarts classiques de niveau 2 (à corriger sous 3 mois)

Absence de compte ECCAIRS 2 alors que l’organisme est soumis à Part-IS. Politique de Sécurité de l’Information non approuvée par le DR. Analyse de risques non documentée ou obsolète (datant de plus de 2 ans sans révision). Absence de procédure de gestion des changements du SMSI. Personnel désigné (RSC, RGS) non formellement accepté ou sans preuve de compétences. Contrats avec les tiers critiques sans clauses cyber. Absence de sensibilisation du personnel à la cybersécurité.

Écarts de niveau 1 (suspension possible de l’agrément)

Absence totale de SMSI alors que l’organisme n’est pas dispensé. Non-notification d’un incident significatif à la DGAC. Mise en œuvre d’une modification majeure du SMSI sans approbation préalable de la DGAC. Défaillance grave du système de gestion compromettant la sécurité aérienne.

Comment se préparer efficacement ?

3 mois avant l’audit

Réalisez un pré-audit interne. Utilisez la matrice de conformité 3CF pour identifier vos écarts. Le référentiel est structuré en exigences claires : créez un tableau de suivi avec pour chaque exigence le paragraphe du manuel SMSI qui y répond, les preuves de mise en œuvre, le statut (conforme / écart identifié / action en cours).

Complétez votre documentation manquante. Priorisez les documents obligatoires : manuel SMSI (ou son intégration au manuel SGS), politique de Sécurité de l’Information signée par le DR, analyse de risques à jour, plan de traitement des risques, procédure de gestion des incidents, procédure de gestion des tiers.

Formalisez vos processus existants. Souvent, vous faites déjà beaucoup de choses bien, mais elles ne sont pas documentées. Formalisez ce qui existe avant de créer de nouveaux processus.

1 mois avant l’audit

Préparez vos preuves. Constituez un dossier de preuves pour chaque exigence : comptes-rendus de comités, registres (risques, incidents, tiers), feuilles d’émargement, captures d’écran de systèmes, contrats avec clauses cyber.

Testez votre organisation. Simulez un incident cyber : votre procédure fonctionne-t-elle ? Vérifiez que votre compte ECCAIRS 2 est opérationnel. Assurez-vous que les personnes clés (DR, RSC, RGS) seront disponibles le jour J.

Sensibilisez vos équipes. Les auditeurs interrogent le personnel. Vos collaborateurs doivent connaître l’existence du SMSI, savoir à qui remonter un incident cyber, comprendre leur rôle dans la cybersécurité.

La semaine de l’audit

Organisez la logistique. Préparez une salle dédiée avec accès réseau. Rassemblez tous vos documents (version papier ET électronique). Bloquez les agendas du DR, RSC, RGS et responsables opérationnels. Désignez un coordinateur côté organisme.

Adoptez la bonne posture. Transparence : ne cachez rien, les auditeurs le découvriront de toute façon. Collaboration : l’auditeur vérifie votre conformité. Réactivité : répondez rapidement aux demandes de compléments d’information.

Le déroulé type d’un audit 3CF

Jour 1 : Réunion d’ouverture et revue documentaire

Matin : réunion d’ouverture (30 min – 1h) avec présentation de l’équipe d’audit, rappel des objectifs, confirmation du planning. Entretien avec le DR (30 min – 1h) pour vérifier son engagement et sa compréhension. Revue documentaire : examen du manuel SMSI, de la politique SI, de l’analyse de risques.

Après-midi : entretiens avec le RSC (Responsable de la Surveillance de la Conformité) et le RGS (Responsable de la Gestion de la Sécurité), revue des procédures clés, premières vérifications terrain.

Jour 2 : Audits terrain et vérifications

Visite des installations si applicable. Entretiens avec les responsables opérationnels. Échantillonnage de dossiers (incidents, contrats, formations). Vérification de la mise en œuvre effective des procédures. Tests de cohérence entre documentation et réalité.

Jour 3 : Consolidation et réunion de clôture

Matin : compléments d’investigation si nécessaire, préparation de la réunion de clôture.

Après-midi : réunion de clôture avec présentation des constats, notification des écarts éventuels, remise du compte-rendu d’intervention de surveillance (CRIS) préliminaire.

Sous 14 jours calendaires : réception du CRIS définitif avec les écarts formellement notifiés.

Après l’audit : traiter les écarts

Si des écarts vous sont notifiés, vous disposez de délais stricts pour les traiter.

Écarts de niveau 2 : 3 mois maximum

Vous devez analyser les causes racines du dysfonctionnement, proposer un plan d’actions (curatif + correctif + préventif), mettre en œuvre les actions, apporter les preuves de mise en œuvre à la DGAC.

Écarts de niveau 1 : action immédiate

En cas d’écart de niveau 1, la DGAC peut suspendre tout ou partie de votre agrément. Vous devez mettre en œuvre des actions curatives immédiates, informer la DGAC des mesures prises, démontrer le retour à un niveau de sécurité acceptable.

La levée de la suspension intervient après validation par la DGAC des actions réalisées.

Les outils qui facilitent la conformité

APOS : la solution dédiée aux aéroports

Pour les aéroports et les organisations complexes, la solution APOS (Assistance au Pilotage des Objectifs de Sécurité) intègre le référentiel 3CF. Elle permet de gérer votre conformité en temps réel, générer automatiquement les tableaux de bord attendus par la DGAC, suivre vos plans d’actions, préparer vos audits avec une vision consolidée.

L’avantage : fini les fichiers Excel dispersés et difficiles à maintenir. Tout est centralisé, traçable, partageable.

L’auto-évaluation : un passage obligé

Avant tout audit DGAC, réalisez une auto-évaluation complète en utilisant la matrice de conformité du référentiel 3CF. Cet exercice vous permet d’identifier vos écarts en amont, prioriser vos actions, constituer votre dossier de preuves, rassurer votre direction sur le niveau de préparation.

Les questions que posent systématiquement les auditeurs

Préparez vos réponses à ces questions récurrentes.

Au Dirigeant Responsable :

  • « Quels sont selon vous les principaux risques cyber de votre organisation ? »
  • « Comment êtes-vous informé de l’état de la cybersécurité ? »
  • « Quelles ressources avez-vous allouées à la cybersécurité ? »

Au RSC (Responsable de la Surveillance de la Conformité) :

  • « Comment vérifiez-vous la conformité du SMSI ? »
  • « Quand a eu lieu votre dernier audit interne ? »
  • « Combien d’écarts avez-vous identifiés et comment sont-ils traités ? »

Au RGS (Responsable de la Gestion de la Sécurité) :

  • « Quel est votre dernier incident cyber significatif ? »
  • « Comment gérez-vous les risques induits par vos sous-traitants ? »
  • « Avez-vous testé votre plan de continuité cyber ? »

Aux équipes opérationnelles :

  • « Que faites-vous si vous détectez un comportement suspect sur votre système ? »
  • « Avez-vous été sensibilisé à la cybersécurité ? Quand ? »
  • « Connaissez-vous les procédures cyber de votre organisation ? »

L’audit 3CF n’est pas une formalité

L’audit DGAC 3CF est un exercice exigeant qui nécessite une préparation sérieuse. Les inspecteurs de la DSAC sont des professionnels aguerris qui savent distinguer un SMSI de façade d’un système réellement opérationnel.

Quatre conseils pour réussir votre audit :

  • Anticipez. Ne vous y prenez pas 15 jours avant. La mise en conformité 3CF demande plusieurs mois, surtout si vous partez de zéro.
  • Soyez authentiques. Documentez ce que vous faites vraiment, pas ce que vous aimeriez faire. Les auditeurs vérifient la cohérence entre vos procédures et la réalité terrain.
  • Impliquez votre direction. Sans engagement réel du DR, vous partez perdant. Le DR doit comprendre ses responsabilités et les assumer.
  • Pensez intégration. Le 3CF n’est pas un projet cyber isolé. C’est une extension de votre système de gestion de la sécurité aérienne. Votre SMSI doit s’articuler avec votre SGS, pas vivre en parallèle.

L’audit 3CF n’est pas une fin en soi. C’est l’opportunité de construire une véritable résilience cyber dans un secteur où les enjeux de sécurité sont vitaux. Une cyberattaque sur un aéroport peut compromettre l’étanchéité de la ligne frontière. Une attaque sur une compagnie aérienne peut clouer des milliers de passagers au sol. Une compromission des systèmes de maintenance peut affecter la navigabilité des aéronefs.

La cybersécurité dans l’aviation civile n’est pas qu’une question de conformité réglementaire. C’est une question de sécurité publique.

Vous préparez votre audit 3CF ? Nos experts, qui connaissent le référentiel dans ses moindres détails et accompagnent régulièrement des organismes dans leurs audits DGAC, peuvent réaliser votre pré-audit et vous aider à constituer votre dossier de preuves. Échangeons sur votre situation.