RiskInsight

Le blog cybersécurité des consultants Wavestone

Part-IS en 2026 : du cadre réglementaire à la réalité du terrain

Après une première phase dédiée à la compréhension du périmètre et du cadre Part-IS ainsi qu’à la rédaction des Systèmes de Management de la Sécurité de l’Information (SMSI), le secteur aéronautique est entré dans une nouvelle étape. En 2026, Part-IS n’est plus un sujet théorique ou uniquement documentaire ; il devient sujet de déploiement opérationnel, avec des attentes claires des autorités et des ajustements réglementaires destinés à faciliter sa mise en œuvre. 

Où en est le secteur? 

La montée en puissance de Part-IS s’est faite par étapes. Après l’entrée en vigueur progressive des textes en 2022 et 2023, l’année 2025 a été marquée par la préparation des dossiers de conformité et la structuration des SMSI. 

Depuis le 22 février 2026, le règlement d’exécution est pleinement applicable, ce qui signifie que de nouveaux périmètres sont désormais couverts, notamment les activités de maintenance et de réparation à travers la Part-145. Part-IS concerne aujourd’hui l’ensemble de la chaîne opérationnelle, de la conception jusqu’aux opérations et au support. 

Aujourd’hui, les acteurs du secteur concernés par la Part-IS ont pris connaissance du sujet et transmis leur SMSI. Dans ce contexte d’engagement généralisé, l’EASA a, de son côté, ajusté le cadre en précisant et en assouplissant certaines modalités, à travers la mise à jour des AMC et GM de la Part-IS. 

L’EASA prévoit une phase de développement de 18 mois après la date d’applicabilité pour atteindre une mise en œuvre pleinement opérationnelle. Cette progression peut se lire simplement en trois étapes : un dispositif d’abord présent et adapté (P + S), puis opérationnel (O), avant d’atteindre un fonctionnement effectif dans la durée (E).

Les mises à jour EASA : qu’est-ce qui change concrètement ? 

Fin 2025, l’EASA a mis à jour les AMC et GM relatifs à Part-IS et consolidé ces évolutions dans une nouvelle version des Easy Access Rules associée. 

Concrètement, ces évolutions introduisent plusieurs allègements importants : 

  • Les organisations déclarées n’ont plus besoin d’une approbation préalable de leur SMSI.
    • Pour rappel, les organisations agréées sont soumises à un processus d’approbation formelle par l’autorité (EASA ou autorité nationale). Elles doivent obtenir un agrément, faire approuver leur manuel SMSI et soumettre certaines modifications à validation préalable contrairement aux organisations déclarées, qui sont supervisées a posteriori par l’autorité. Vous pouvez retrouver la liste des organismes déclarés soumis à Part-IS ici. 
  • Les modifications du SMSI, lorsqu’elles sont couvertes par une procédure interne définie, ne nécessitent plus de « feu vert » formel de l’autorité : une notification suffit. 
  • Le rôle de l’autorité est recentré sur la supervision et l’audit, plutôt que sur une logique d’approbation systématique. 

Cependant, les attentes restent les mêmes : le SMSI (SGSI au sens du règlement) doit être robuste, cohérent, traçable, et réellement appliqué. L’allègement apporté par la mise à jour des AMC et GM est donc administratif et non opérationnel. 

Sur le terrain, cela résonne avec les premiers retours de l’OSAC sur les SMSIs : la gouvernance autour de ce dernier apparaît comme un point central. Les autorités portent une attention accrue à la dimension cybersécurité que doivent avoir les acteurs identifiés. La qualité du document est également scrutée, non seulement sur le fond, mais aussi sur la forme (structure, cohérence…). 

Les cinq chantiers du secteur pour passer Part‑IS à l’échelle 

Audelà de ces premiers retours, nous avons pu observer lors de nos accompagnements que la mise en œuvre de Part-IS fait émerger cinq défis chez la plupart des acteurs : gouvernance & coordination, validation de l’inventaire, finalisation des analyses de risques, formation des responsables et équipes, contraintes RH et contrôle des personnes. 

Mais le plus chronophage reste l’analyse de risques, en particulier pour les grandes organisations multisites. Celleci ne peut plus être uniquement centralisée, et doit être déclinée localement, intégrer les réalités de chaque site, les chaînes fonctionnelles, ainsi que les soustraitants. Cette approche holistique est exigeante, mais indispensable pour démontrer une application cohérente de PartIS. 

Une approche pragmatique pour passer à l’échelle 

Face à ces enjeux, la clé réside dans l’anticipation du déploiement. Un SMSI efficace repose sur un socle commun solide, mais aussi sur des outils concrets permettant une déclinaison locale : modèles, guides, méthodes d’analyse de risques adaptées aux réalités opérationnelles. 

La réussite de Part-IS repose sur la coordination entre les équipes cybersécurité, les équipes métiers et les fonctions qualité et conformité. Part-IS n’est pas une couche supplémentaire : c’est un cadre transverse qui structure durablement la gestion du risque cyber au service de la sécurité aérienne. 

En conclusion 

En 2026, Part-IS entre en phase d’application. La consolidation des AMC/GM fixe un terrain clair et allège la charge administrative par rapport à la 1ère monture. 

En complément, ces mises à jour fin 2025 ont notamment étendu le périmètre de la PartIS.D.OR aux prestataires d’assistance en escale via le règlement délégué (UE) 2025/22 amendant le (UE) 2022/1645, applicable à compter du 27 mars 2031. Pas d’impact opérationnel immédiat en 2026, mais un signal utile pour anticiper la cartographie des interfaces, sans urgence à court terme. 

Article précédent StormCell : Quand la Blue Team passe à l'échelle en réponse à incident

Sur le même thème

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Back to top