search

Présentation du 3CF

Le 3CF est un cadre de conformité réglementaire en cybersécurité créé par la DGAC (Direction Générale de l'Aviation Civile) pour organiser, harmoniser et présenter les exigences de cybersécurité imposées par des réglementations européennes.

Ce n'est pas une réglementation, c'est un guide. Son application permet la mise en conformité par rapport à plusieurs réglementations, notamment:

  • RU2015/1998 : Mise en œuvre des règles de sûreté dans l’aviation civile européenne.

  • RU 2022/1645 : Compléments techniques et détails de conformité en matière de sûreté aéroportuaire (Part IS).

  • RU 2023/2023 : Mise à jour des exigences opérationnelles et de conformité en sûreté aérienne.

Actuellement, la dernière version publiée est la version 3.0. Le référentiel 3CFv3 est accessible depuis le site de l'OSAC : https://www.osac.aero/view/295372arrow-up-right.

hashtag
Objectifs du 3CF

Le but du 3CF est de :

  • assurer un niveau de cybersécurité adapté et obligatoire pour les systèmes de sûreté et des sécurité des vols.

  • harmoniser les règles de conformité entre les différents acteurs concernés par la sûreté et la sécurité aérienne.

  • faciliter les contrôles réglementaires par l'autorité de supervision.

hashtag
Champ d'application

Le cadre s'applique à :

  • les organismes certifiés/agréés dans le domaine aérien civil : opérateurs détenant un agrément de sûreté, organismes détenant un agrément ou un certificat de sécurité.

  • les systèmes critiques pour la sûreté et la sécurité aérienne

  • les prestataires et sous-traitants impliqués dans des systèmes de contrôle ou de support à la sécurité aérienne.

Il concerne différentes types de structures:

  • les aéroports

  • les compagnies aériennes

  • les centres aéromédicaux du personnel navigant

  • les organismes de production

  • les organismes de conception

  • les organismes de maintenance

  • les organismes responsables de la gestion du maintien de la navigabilité

  • etc.

hashtag
Principaux domaines de conformité

Le 3CF couvre plusieurs axes clés en cybersécurité :

hashtag
a. Gestion des risques

  • Identification et cartographie des actifs critiques,

  • Évaluation des risques liés aux cybermenaces,

  • Gestion des risques liés aux tiers.

hashtag
b. Gestion des incidents

  • Détection des événements de sécurité,

  • Processus de réponse documentés,

  • Notification des incidents selon les règles applicables.

hashtag
c. Gouvernance & sensibilisation

  • Engagement de la direction

  • formation, sensibilisation et vérification des antécédents du personnel,

  • rôles et responsabilités clairement définis.

hashtag
d. Conformité documentaire

  • preuves de conformité aux règlements,

  • tableaux ou matrices de conformité,

  • audits internes et externes réguliers.

hashtag
e. Mise en place d'un SMSI

  • définir et mettre en place un système de management de la sécurité de l'information

  • assurer une amélioration continue du SMSI

  • gérer les changements du SMSI

TLP:CLEAR - Cadre de Conformité Cyber France version 3 - Juillet 2025 - DSAC_OSAC : 2.2.Structure

hashtag
Comment s'implémente le 3CF ?

Une organisation soumise au 3CF devrait :

  1. Cartographier ses actifs et flux critiques (sur les périmètre de sûreté et de sécurité aérienne),

  2. Définir ses risques & mesures de sécurité (analyse des risques & gestion des incidents),

  3. Sensibiliser, former et vérifier les antécédents des collaborateurs internes et externes,

  4. Documenter la conformité aux exigences du cadre,

  5. Effectuer des contrôles et audits internes/externe,

  6. Maintenir une traçabilité et amélioration continue

Previous3CFNextSécurité vs Sûreté dans les aéroports

Last updated