Un avion long-courrier moderne, c'est plusieurs centaines de calculateurs embarqués, des bus avioniques numériques, une liaison satellite permanente, du Wi-Fi cabine, un divertissement en vol connecté et une chaîne de maintenance dématérialisée.
Conséquence directe : la surface d'attaque cyber de l'aéronautique a explosé en moins de quinze ans. Et avec l'entrée en application du règlement EASA Part-IS en 2026, plus aucun opérateur, organisme de maintenance Part-145 ou détenteur d'agrément Part-21 ne peut faire l'impasse sur la sécurité de l'information.
Résultat : un marché de niche très technique, où les compétences manquent et où les salaires décollent.
Décryptage du cadre normatif (DO-326A, ED-202A, Part-IS, NIS2), des acteurs français, des métiers et des fourchettes de rémunération observées en 2026.
1. Pourquoi la cybersécurité aéro explose
Pendant des décennies, un avion commercial était un système quasi isolé : ses calculateurs dialoguaient entre eux via des bus propriétaires, et le seul lien avec le sol passait par la radio VHF et l'ACARS texte. Le concept de "e-Enabled Aircraft" a tout bouleversé.
Aujourd'hui un appareil de génération A350, B787 ou A220 embarque des liaisons SATCOM haut débit, un réseau ATG (Air-to-Ground 4G/5G), une connexion Wi-Fi cabine, un système IFEC (In-Flight Entertainment & Connectivity), des EFB (Electronic Flight Bag) tablettes pilotes, et un téléchargement continu de données moteur vers les centres de maintenance prédictive. Chaque interface est une porte d'entrée potentielle.
Trois domaines à protéger, trois logiques différentes
Aéronefs en vol
Avionique, systèmes embarqués critiques, bus ARINC 429 et ARINC 664 (AFDX), commandes Fly-by-Wire, architectures IMA. Logique : safety avant tout, indisponibilité = catastrophe.
Infrastructure sol
Gestion du trafic aérien (ATM, Eurocontrol, DSNA), systèmes aéroportuaires, ateliers MRO Part-145, supply chain industrielle. Logique : OT/ICS, fortement réglementée NIS2.
Données passagers
Programmes de fidélité, paiement embarqué, données PNR, biométrie aéroportuaire. Logique : RGPD, conformité financière (PCI-DSS).
Côté normatif, la profession s'est structurée autour de référentiels conjoints RTCA (États-Unis) et EUROCAE (Europe). Les couples DO-326A / ED-202A, DO-356A / ED-203A et DO-355A / ED-204A couvrent désormais l'intégralité du cycle de vie de sécurité d'un aéronef, du dossier de certification initial jusqu'au maintien de navigabilité.
2. Cadre réglementaire et normatif
La cybersécurité aéronautique n'est plus une option contractuelle entre OEM et compagnies aériennes. C'est devenu une obligation réglementaire, structurée par plusieurs textes qui se superposent et s'articulent.
Le pivot européen est le règlement EASA Part-IS (Information Security), entré en application courant 2026, qui impose un système de management de la sécurité de l'information à tous les détenteurs d'agrément : opérateurs aériens commerciaux, organismes de production Part-21, organismes de maintenance Part-145, organismes de gestion du maintien de navigabilité Part-M, écoles ATO et ANSP.
Référentiels normatifs structurants
| Référentiel | Périmètre | Obligation pour |
|---|---|---|
| EASA Part-IS (UE) 2022/1645 + 2023/203 |
Système de management de la sécurité de l'information (ISMS) aviation | Opérateurs commerciaux, Part-21, Part-145, Part-M, ATO, ANSP |
| DO-326A / ED-202A | "Airworthiness Security Process Specification" — processus sécurité dans le cycle de vie | Tout programme de certification / modification majeure aéronef |
| DO-356A / ED-203A | "Airworthiness Security Methods and Considerations" — méthodes Threat Assessment, contrôles | Équipes ingénierie sécurité chez OEM et équipementiers |
| DO-355A / ED-204A | Sécurité de l'information pour le maintien de navigabilité | Organismes Part-M, ateliers Part-145, exploitants |
| Directive NIS2 (UE) 2022/2555 |
Cybersécurité des entités essentielles | Compagnies aériennes, ANSP, aéroports majeurs (secteur "transport — aérien" essentiel) |
| Cyber Resilience Act (UE) 2024 |
Sécurité by-design des produits avec éléments numériques | Fabricants de matériels embarqués / IoT industriel aéronautique |
Côté États-Unis, la FAA s'appuie sur l'Advisory Circular AC 119-1 et le Special Federal Aviation Regulation traitant des protections cyber sur les aéronefs Part-25. Les contrôles techniques de base sont alignés sur NIST SP 800-53 (sécurité IT générale) et NIST SP 800-82 (OT industriel).
Côté défense, les programmes militaires français appliquent les standards OTAN AQAP 2110 (qualité), les directives DGA et les exigences spécifiques sécurité de l'information liées aux habilitations Confidentiel / Secret Défense. Les profils combinant habilitation et expertise cyber aéro sont parmi les plus rares — et les mieux payés — du marché.
3. Acteurs et écosystème France / Europe
L'écosystème cyber aéronautique français est structuré autour de quatre cercles concentriques : les avionneurs OEM, les équipementiers de rang 1, les pure-players cyber et les opérateurs d'infrastructure (ATM et aéroports). La majorité des emplois se concentre sur l'axe Toulouse — Île-de-France — Marseille / Marignane.
Avionneurs (OEM)
Airbus
Entité Airbus CyberSecurity à Toulouse / Cornebarrieu (plusieurs centaines d'ingénieurs cyber côté civil + défense). Airbus Defence & Space à Élancourt. Airbus Helicopters à Marignane.
Dassault Aviation
Saint-Cloud + sites industriels Mérignac / Argenteuil. Cyber appliquée aux programmes Rafale, Falcon et nEUROn.
ATR
Joint-venture Airbus / Leonardo, Toulouse-Blagnac. Cyber sur turbopropulseurs régionaux et programmes de modernisation.
Équipementiers Tier 1 et systèmes embarqués
- Thales — pôle Cybersecurity à Toulouse, Élancourt et Vélizy. Leader européen sur la sécurité des systèmes d'information critiques aéronautique civile et défense, IFF, datalink, gestion vol.
- Safran Electronics & Defense — Massy. Cyber embarquée, navigation inertielle, optronique.
- Liebherr-Aerospace Toulouse — systèmes de conditionnement d'air et air bleed, intégration cyber dans les calculateurs.
- Honeywell Aerospace France + Collins Aerospace (groupe RTX) — avionique, CMC, communications avion-sol.
Pure-players cyber et ESN spécialisées
Aux côtés des grands industriels, plusieurs sociétés spécialisées couvrent le marché : Quarkslab (recherche offensive, reverse engineering, fuzzing avionique), Sopra Steria / Sogeti sur les programmes aéronautiques, Capgemini Engineering, Atos / Eviden sur le segment cyber industriel, ainsi que des acteurs européens spécialisés (italiens, allemands) sur les segments défense et ATM.
ANSP (gestion du trafic aérien) et aéroports
ANSP
DSNA (Direction des Services de la Navigation Aérienne, France) au sein de la DGAC. Eurocontrol (Bruxelles, coordination européenne). DFS (Allemagne), ENAIRE (Espagne), NATS (Royaume-Uni). Tous opérateurs essentiels au sens NIS2.
Aéroports
Groupe ADP (Paris-CDG, Orly, Le Bourget), Vinci Airports (réseau international dont Lyon, Nantes, Toulon), Aéroports de la Côte d'Azur. Tous ont structuré des équipes CISO + SOC internes ces 5 dernières années.
4. Métiers et compétences techniques
Le marché distingue six grandes familles de métiers cyber aéro. Chacune correspond à un profil très différent — il est rare qu'un même ingénieur couvre plus de deux familles avec un vrai niveau d'expertise.
Les six grandes familles
| Métier | Compétences clés | Référentiels |
|---|---|---|
| Ingénieur cybersécurité avionique | Systèmes embarqués critiques, ARINC 429/664 AFDX, IMA (Integrated Modular Avionics), threat modeling STRIDE / PASTA | DO-326A, DO-356A |
| Pentester ICS aéronautique | Tests d'intrusion SCADA aéroport, ATM, FANS, ACARS. Profil très rare | OSCP, GIAC GICSP / GRID |
| Architecte sécurité réseau aéro | SD-WAN, segmentation Purdue (niveau 3.5 DMZ industrielle), sondes Claroty / Nozomi / Dragos | NIS2, IEC 62443 |
| Analyste SOC aérien | MITRE ATT&CK for ICS, threat intelligence, partage Aviation ISAC | NIST SP 800-61 |
| Cryptographe / Expert PKI | Signature firmware avionique, OTA (Over-The-Air) patching, racine de confiance matérielle (HSM) | FIPS 140-3, RGS |
| Spécialiste conformité Part-IS | Audit, gap analysis, plan de remédiation pour opérateurs Part-145 / Part-21 | EASA Part-IS, ISO 27001 |
Les compétences transversales incluent une excellente lecture des standards EUROCAE / RTCA, une capacité à dialoguer avec les équipes Bureau d'Études (BE), une connaissance pratique des outils DOORS (gestion d'exigences), Reqtify, et SCADE sur les programmes critiques. L'anglais technique est non-négociable.
5. Salaires en France (fourchettes 2026)
Les fourchettes ci-dessous sont des salaires bruts annuels observés en France métropolitaine, principalement sur les bassins Toulouse, Île-de-France et Marignane. Les écarts internes à chaque fourchette traduisent l'écart entre une PME / ESN de rang 2 et un OEM ou un grand intégrateur.
Grille de rémunération indicative
| Profil | Expérience | Brut annuel (€) |
|---|---|---|
| Ingénieur cyber aéro junior | Sortie école Bac+5 + stage cyber | 42 000 — 55 000 |
| Ingénieur cyber aéro confirmé | 3 — 5 ans | 60 000 — 80 000 |
| Ingénieur cyber aéro senior | 5 — 10 ans, certifié DO-326A / CISSP | 85 000 — 115 000 |
| Architecte / Tech Lead Cyber | 8+ ans, vision système | 100 000 — 140 000 |
| Pentester ICS / aéronautique | Profil rare, OSCP + GICSP | 75 000 — 130 000 |
| Manager équipe Cyber Aerospace | Management ≥ 10 ingénieurs | 110 000 — 160 000+ |
| Freelance / consultant cyber aéro | TJM observé | 800 — 1 500 € / jour |
À ces fourchettes s'ajoutent généralement : intéressement et participation (souvent 1 à 2 mois de salaire chez les grands groupes), des dispositifs d'actionnariat salarié, des primes d'habilitation Confidentiel / Secret Défense (de l'ordre de 2 000 à 5 000 € annuels selon les programmes), une voiture de fonction pour les profils cadres supérieurs, et un télétravail partiel encadré par la nature classifiée de certains projets.
Croissance du marché mondial
Plusieurs études cabinet (MarketsAndMarkets, Mordor Intelligence, GAO US) évaluent le marché mondial de la cybersécurité aéronautique à environ 5 milliards de dollars en 2024 et projettent une croissance soutenue à deux chiffres jusqu'en 2030, sous l'effet conjugué de Part-IS, NIS2, et de la modernisation ATM (programme SESAR en Europe, NextGen aux États-Unis).
Estimation indicative du marché mondial de la cybersécurité aéronautique (Md $). Sources : synthèse MarketsAndMarkets "Aviation Cybersecurity Market" (2023-2024), Mordor Intelligence, rapports GAO US. Les valeurs 2026-2030 sont des projections, à manier avec prudence.
6. Formations et parcours d'accès
Il n'existe quasiment aucun cursus initial 100 % "cyber aéronautique" en France. La règle est une combinaison : école d'ingénieurs généraliste ou spécialisée cyber, complétée par une mineure aéronautique ou par une première expérience en stage / VIE / alternance dans un grand industriel.
Cursus recommandés
- ISAE-SUPAERO Toulouse — école aéronautique de référence, options sécurité des systèmes embarqués.
- Télécom Paris et IMT Atlantique — masters et mastères spécialisés cybersécurité, partenariats industriels avec Thales, Airbus, Safran.
- EURECOM Sophia-Antipolis — sécurité des systèmes et des réseaux.
- INSA Lyon et INSA Toulouse — départements télécoms et systèmes critiques.
- ENSI Bourges (INSA Centre-Val de Loire) — école spécialisée sécurité informatique.
- ESIEA, Polytechnique — formations cyber + master Aviation Cyber Security (offre plus développée au Royaume-Uni, notamment Cranfield University).
Certifications professionnelles incontournables
CISSP
(ISC)² — référence généraliste sécurité de l'information, attendue à partir du grade senior.
CISM
ISACA — orientée management de la sécurité, utile pour les rôles RSSI / responsable Part-IS.
GICSP / GRID
GIAC — référence OT / ICS, particulièrement pertinente pour la partie infrastructure sol et ATM.
OSCP
Offensive Security — incontournable pour les pentesters, démonstration pratique.
DO-326A
Formations dédiées (Cetim Aéro, Cranfield, SANS) — devenues quasi-obligatoires sur les programmes de certification.
CEH
Certified Ethical Hacker — utile en complément, moins discriminant que l'OSCP pour les profils techniques.
Reconversions accessibles
Trois trajectoires de reconversion sont fréquemment observées :
- Ingénieur Part-21 / avionique → cyber aéro : montée en compétence sécurité sur 6 à 12 mois, l'expertise métier aéro étant le verrou principal.
- Ingénieur cyber IT généraliste → cyber aéro : il faut typiquement 12 à 18 mois pour maîtriser les standards DO-326A / 356A et les contraintes des systèmes embarqués.
- Ancien militaire (DGA, DRSD, cyber armée de l'Air et de l'Espace) → particulièrement valorisé pour les programmes défense et les postes nécessitant une habilitation.
Conclusion : un marché jeune, structuré, et durablement tendu
La cybersécurité aéronautique n'est plus un sujet d'experts confidentiels. Avec l'entrée en vigueur d'EASA Part-IS, l'application de NIS2 aux compagnies, ANSP et grands aéroports, et la maturation des standards DO-326A / 356A, c'est une véritable filière qui se structure — avec ses référentiels, ses certifications dédiées, ses laboratoires de recherche et ses besoins de recrutement.
Pour un jeune ingénieur ou un professionnel de la cyber IT qui envisage une spécialisation, le moment est sans doute opportun : la rareté des profils, conjuguée à la criticité des systèmes protégés, soutient durablement les rémunérations et offre des trajectoires de carrière variées entre OEM, équipementiers, ESN spécialisées, opérateurs d'infrastructure et freelance. Reste à investir dans les certifications de référence — et à accepter qu'une partie significative de l'apprentissage se fait en interne, au contact des programmes.