Publication du Cadre de Conformité Cyber France version 3 (3CFv3)

Mise à jour

 Dans le cadre de l’accompagnement des organismes du transport aérien vers la conformité aux règlements européens introduisant des exigences en matière de sécurité de l’information, la DSAC a mis à jour le Cadre de Conformité Cyber France (3CF) publié en septembre 2021. 

Cette 3^ème version appelée 3CFv3, constitue un référentiel unique de dispositions visant à accompagner les organismes pour se mettre en conformité aux : 

•  Règlement d’exécution (UE) 2015/1998 modifié par le règlement d’exécution (UE) 2019/1583 de la commission du 25 septembre 2019 fixant des mesures détaillées pour la mise en œuvre des normes de base communes dans le domaine de la sûreté de l'aviation civile, en ce qui concerne les mesures de cybersécurité ;  

et/ou ;

•  Règlements Part-IS (Information Security) : 
•  Règlement délégué (UE) 2022/1645 de la commission du 14 juillet 2022 portant modalités d’application du règlement (UE) 2018/1139 du Parlement européen et du Conseil en ce qui concerne les exigences relatives à la gestion des risques liés à la sécurité de l’information susceptibles d’avoir une incidence sur la sécurité aérienne ; 
•  Règlement d’exécution (UE) 2023/203 de la commission du 27 octobre 2022 portant modalités d’application du règlement (UE) 2018/1139 du Parlement européen et du Conseil en ce qui concerne les exigences en matière de gestion des risques liés à la sécurité de l’information susceptibles d’avoir une incidence sur la sécurité aérienne. 

Les objectifs du 3CFv3 sont de : 

•  Rationnaliser les exigences issues des différents
  règlements et le cas échéant, de leurs moyens acceptables de conformité (Acceptable Means of Compliance - AMC) associés ; 
•  Donner l’assurance aux organismes qui l’appliquent, d’être conformes aux règlements précités.
   

Lors de l’élaboration du 3CF, la DSAC : 

• s’est appuyée sur : 
•  les bonnes pratiques en matière de cybersécurité telles que la norme ISO 27001 relative au système de management de la sécurité de l’information ; 
•  les guides et méthodes de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) 
•  les travaux menés par les différentes instances européennes et internationales (EASA, EUROCAE et OACI) 
•  a mené une consultation auprès : 
•  des organismes concernés au travers du Conseil Cyber pour le Transport Aérien (CCTA) et des associations professionnelles, notamment la FNAM et l’UAF ; 
•  des autorités concernées, notamment en interne DSAC et l’OSAC. 

Enfin, sont également mis à disposition sur METEOR : 

•  Les guides suivants : 
•  Guide relatif à la conception de sessions de sensibilisation cybersécurité ; 
•  Guide relatif à la formation cybersécurité ; 
•  La liste de fonctions critiques au regard de la sûreté, utile pour l’analyse de risque cybersécurité ;
• Le Cadre de Conformité Cyber France version 3 traduit en anglais.