Rachat Parc Informatique
Retour au blog
Sécurité

Rachat de parc informatique dans l'aéronautique et la défense : sécurité et conformité

NIST 800-88, HMG IS5, contrôle des exportations ITAR/dual-use : les exigences spécifiques de l'effacement et de la traçabilité pour les secteurs aéronautique et défense.

7 min de lecture

L'aéronautique et la défense figurent parmi les secteurs les plus exigeants en matière de sécurité des systèmes d'information. La cession de matériel informatique en fin de vie y obéit à des contraintes spécifiques que les prestataires généralistes ne maîtrisent pas toujours. Ce guide détaille les obligations réglementaires, les niveaux d'effacement requis, et le cadre documentaire attendu par les donneurs d'ordre de ces secteurs.

Les enjeux spécifiques de la sécurité des données

Des équipements ayant traité des informations sensibles

Dans les entreprises du secteur aéronautique et défense — grands groupes comme sous-traitants de rang 1 et 2 —, une partie significative du parc informatique a pu traiter des informations sensibles :

  • Documents techniques couverts par des accords de confidentialité (NDA) contractuels
  • Données de programmes soumis au contrôle des exportations (réglementation ITAR américaine, règlement UE dual-use 2021/821)
  • Informations classifiées Diffusion Restreinte (DR) dans le cadre des marchés de défense DGA
  • Propriété intellectuelle liée aux brevets et procédés de fabrication

Cette sensibilité impose un niveau d'effacement supérieur au standard commercial, et une traçabilité documentaire capable de répondre à un audit de sécurité.

La réglementation sur le contrôle des exportations

Le cadre dual-use peut s'appliquer aux équipements informatiques eux-mêmes, notamment les serveurs et stations de travail ayant servi sur des programmes concernés. Avant toute cession, vérifiez avec votre département juridique si les équipements sont soumis à des restrictions d'exportation — certains programmes en coopération avec des industriels américains (Airbus, Boeing, Raytheon) imposent des obligations spécifiques sur la destination finale du matériel cédé.

Les niveaux d'effacement applicables

NIST 800-88 Purge — le niveau minimal sectoriel

La norme NIST 800-88 niveau Purge est le minimum requis dans la plupart des entreprises du secteur pour les données non classifiées. Elle couvre les SSD, disques NVMe et disques durs modernes, et produit un rapport de vérification post-effacement exploitable par le RSSI. C'est la norme recommandée par l'ANSSI pour les systèmes d'information sensibles.

HMG Infosec Standard 5 Enhanced — pour les données contractuellement confidentielles

La norme britannique de référence pour les secteurs réglementés, reconnue dans toute l'Europe. Elle implique trois passes de réécriture vérifiées et s'applique aux données soumises à des engagements contractuels de confidentialité — cas fréquent dans les supply chains aéronautiques internationales. Elle est explicitement mentionnée dans de nombreux contrats de sous-traitance Airbus et Safran.

La destruction physique pour les supports classifiés

Pour les disques ayant hébergé des données classifiées Secret Défense ou Confidentiel Défense, l'effacement logiciel ne suffit pas. La réglementation française (IGI 1300) impose la destruction physique certifiée du support — déchiquetage ou démagnétisation — réalisée par un prestataire habilité, avec un procès-verbal de destruction signé et archivé. Ce cas de figure concerne les équipements des industriels titulaires d'un marché de défense DGA avec accès à des informations classifiées.

Pour une explication détaillée des normes d'effacement et de leurs implications RGPD, consultez notre article sur les normes d'effacement certifié pour les responsables IT.

Le cadre documentaire attendu

Les directions sécurité et les RSSI du secteur aéronautique et défense exigent un niveau de traçabilité documentaire supérieur au standard. Voici les documents que votre prestataire de rachat doit être en mesure de fournir :

  • Certificat d'effacement unitaire par numéro de série : indispensable pour démontrer que chaque support a bien été traité individuellement. Un certificat de lot global ne suffit pas dans ce contexte.
  • Norme et logiciel d'effacement identifiés : Blancco ou WipeDrive Enterprise, avec mention de la version utilisée et du rapport de vérification post-effacement.
  • Procès-verbal de traitement signé : document archivable intégrant la liste exhaustive des équipements traités, transmissible au RSSI ou au service sécurité de l'établissement.
  • Bordereau DEEE avec identification de l'éco-organisme partenaire pour la traçabilité réglementaire.
  • Capacité à signer un NDA préalable si votre politique de sécurité l'exige avant la visite de pré-audit sur site.

Préparer la cession de votre parc en secteur aéronautique

Avant de solliciter des prestataires de rachat, effectuez une vérification préalable en interne :

Identification des niveaux de sensibilité Travaillez avec votre RSSI pour classer les équipements selon trois catégories : données classifiées (destruction physique obligatoire), données contractuellement confidentielles (HMG IS5 Enhanced ou NIST Purge), données standard (NIST Purge). Ne mélangez pas ces lots dans la même demande d'enlèvement.

Vérification du contrôle des exportations Demandez à votre département juridique ou compliance de valider que les équipements concernés ne sont pas soumis à des restrictions ITAR, EAR ou dual-use UE. Cette étape est particulièrement importante pour les serveurs et workstations utilisés sur des programmes en coopération internationale.

Inventaire CMDB Un export de votre CMDB (ServiceNow, GLPI, Freshservice) avec numéros de série, modèles, dates d'acquisition et localisation accélère considérablement le processus d'estimation et réduit les délais de traitement.

Toulouse et Bordeaux : deux bassins industriels couverts

Les deux principales concentrations aéronautiques françaises se situent en Occitanie (Toulouse — Airbus Commercial Aircraft, ATR, Liebherr Aerospace) et en Nouvelle-Aquitaine (Bordeaux — Dassault Aviation, Safran Nacelles, Thales Avionics). Nos équipes opèrent sur ces deux bassins industriels avec la réactivité et la confidentialité qu'exige le contexte de ces programmes.

Consultez nos pages dédiées pour les délais et modalités d'intervention en région toulousaine et en région bordelaise.

À lire aussi

Votre parc informatique en secteur aéronautique ou défense arrive en fin de vie ? Demandez votre estimation gratuite — nous intégrons nativement les exigences documentaires de vos secteurs : certificats d'effacement unitaires NIST/HMG, procès-verbaux de traitement, attestations DEEE et NDA si requis.

CM

Claire Moreau

Spécialiste conformité RGPD & DEEE

Juriste en droit du numérique avec 10 ans d'expérience dans la conformité RGPD et les obligations réglementaires liées aux équipements électroniques. Elle conseille les directions IT sur les obligations d'effacement certifié, les risques liés à la non-conformité DEEE et les certifications d'audit. Reconnue pour son expertise en matière de traçabilité légale et de gestion responsable des déchets électroniques, Claire aide les DSI à sécuriser leurs opérations.