Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
IA par secteur 5 mars 2026 12 min de lecture

IA en aéronautique et défense : pourquoi la souveraineté est absolument non-négociable

ITAR, secret défense, DO-178C, classifications NATO : dans l'aéronautique et la défense, la moindre fuite de données peut violer des traités internationaux et compromettre la sécurité nationale. Utiliser ChatGPT ou un LLM cloud américain sur ces données n'est pas un risque — c'est une infraction caractérisée.

Ce qu'il faut retenir

  • L'ITAR américain interdit le transfert de données techniques contrôlées à des entités non autorisées — y compris des systèmes cloud américains non habilités : utiliser ChatGPT sur des données ITAR est une violation fédérale passible de lourdes sanctions
  • En France, les informations classifiées (Confidentiel Défense, Secret Défense, Très Secret) ne peuvent être traitées que sur des systèmes d'information agréés par l'ANSSI
  • La DO-178C exige une traçabilité et une auditabilité complète des logiciels certifiés pour l'avionique — incompatibles avec des modèles IA cloud dont le fonctionnement interne est opaque
  • Les données de conception aéronautique (CAO, gammes d'assemblage, tolérances) sont des secrets industriels d'importance stratégique — 80 % des espionnages industriels dans ce secteur ciblent ces données
  • Une architecture IA souveraine on-premise ou air-gap est techniquement et opérationnellement réalisable aujourd'hui dans l'aéronautique et la défense

Le cadre réglementaire : ITAR, DO-178C, secret défense, NATO

L'aéronautique et la défense sont les secteurs les plus réglementés au monde en matière de sécurité de l'information. Plusieurs référentiels s'empilent, chacun imposant ses propres contraintes sur les systèmes d'information — et donc sur les systèmes IA.

ITAR : International Traffic in Arms Regulations

L'ITAR est une réglementation américaine qui contrôle l'exportation de technologies et d'informations de défense. Son champ d'application est considérable : tout article ou donnée technique inscrit sur la United States Munitions List (USML) est soumis à des restrictions d'exportation strictes. Cela inclut une très grande partie des technologies aéronautiques militaires et duales.

Ce qui rend l'ITAR particulièrement dangereux dans le contexte de l'IA : il s'applique aux données techniques, pas seulement aux équipements physiques. Envoyer des spécifications techniques ITAR-controlled à un système cloud — même américain — sans les autorisations appropriées constitue une violation de l'Export Administration Regulations (EAR) et de l'ITAR. Les sanctions incluent des amendes allant jusqu'à 1 million de dollars par violation et des peines d'emprisonnement.

DO-178C : Software Considerations in Airborne Systems

La DO-178C est la norme de développement logiciel pour les systèmes avioniques certifiés. Elle définit des niveaux de criticité (DAL A à E) et exige pour les niveaux critiques une traçabilité exhaustive entre exigences, code et tests. Les systèmes IA intégrés à des fonctions avioniques certifiées doivent satisfaire ces exigences — ce qui exige une maîtrise totale du modèle, de ses paramètres et de son comportement sur tous les cas de test. Aucun LLM cloud commercial ne peut satisfaire ces exigences.

Classifications de défense françaises

En France, le décret n° 2019-1271 définit trois niveaux de classification : Diffusion Restreinte (DR), Confidentiel Défense (CD) et Secret Défense (SD). Les systèmes d'information traitant des données classifiées doivent être agréés par l'ANSSI selon des procédures strictes. Toute utilisation d'un service cloud non agréé pour traiter des données classifiées constitue une compromission au sens du code de la défense.

Environnements NATO et interopérabilité

Les standards NATO (NATO Confidential, NATO Secret) s'appliquent aux informations partagées dans le cadre d'opérations ou de programmes multinationaux. Les systèmes IA intégrés dans des environnements NATO doivent respecter les politiques de sécurité de l'Alliance — qui excluent explicitement l'utilisation de services cloud non habilités.

1 M$amende par violation ITAR, hors poursuites pénales
80 %des espionnages industriels aéronautiques ciblent les données de conception
-35 %de temps de recherche documentaire MRO avec LLM souverain
100 %des projets défense français : obligation d'infrastructures souveraines

ITAR et LLM cloud : une incompatibilité absolue

La question n'est pas théorique. De nombreuses entreprises aéronautiques ont déjà envisagé, voire expérimenté, l'utilisation de LLM cloud pour accélérer certaines tâches d'ingénierie — rédaction de documents, analyse de spécifications, recherche documentaire. Certaines ont découvert tardivement que ces expérimentations pouvaient constituer des violations ITAR.

Pourquoi le cloud américain est hors-jeu sur les données ITAR

Quand vous soumettez une requête contenant des données techniques ITAR-controlled à un LLM cloud américain — même basé en Europe — vous effectuez un transfert de technologie contrôlée au sens de l'ITAR. Ce transfert n'est pas autorisé sans une licence d'exportation appropriée délivrée par le State Department américain.

De plus, les termes et conditions des LLM cloud indiquent généralement que les données peuvent être utilisées pour améliorer les modèles. Une donnée technique contrôlée qui enrichit un modèle commercial représente une dissémination non autorisée de technologie ITAR — une violation caractérisée.

Les entreprises à double nationalité : un risque amplifié

Pour les grands groupes aéronautiques opérant dans plusieurs pays (Airbus, Safran, Thales), le risque ITAR est amplifié : il faut non seulement contrôler les données au niveau de chaque entité, mais aussi dans les systèmes partagés. Un LLM cloud accessible à des employés dans plusieurs pays crée des risques de transferts ITAR non autorisés particulièrement complexes à maîtriser.

Cas réel : l'amende BAE Systems de 79 M$

En 2011, BAE Systems a payé 79 millions de dollars d'amendes pour des violations ITAR liées au partage d'informations techniques contrôlées avec des ressortissants étrangers. Les sanctions ITAR sont réelles et sévères. Dans le contexte actuel où les LLM cloud traitent potentiellement des données de milliers d'utilisateurs, le risque de violation accidentelle est structurellement plus élevé.

Secret défense et IA : les règles strictes

En France, le traitement de données classifiées est régi par l'Instruction Générale Interministérielle n° 1300 (IGI 1300) révisée. Cette instruction définit précisément les conditions dans lesquelles des systèmes d'information peuvent traiter des données classifiées.

Agrément ANSSI pour les systèmes traitant des données classifiées

Tout système d'information traitant des données Diffusion Restreinte ou supérieures doit faire l'objet d'une homologation de sécurité. Pour les niveaux Confidentiel Défense et Secret Défense, l'agrément ANSSI est requis. Cet agrément impose des contraintes strictes sur :

  • La localisation physique des données (France, avec possibilité d'extension à certains partenaires NATO)
  • La traçabilité des accès et des traitements
  • L'isolation réseau des systèmes concernés
  • Les procédures de contrôle des personnels ayant accès

Un système IA souverain peut être conçu pour satisfaire ces exigences d'agrément. Un LLM cloud américain, par définition, ne peut pas l'être.

Données de conception aéronautique : actifs stratégiques critiques

Au-delà des obligations réglementaires, les données de conception aéronautique ont une valeur stratégique et commerciale considérable. La R&D d'un avion de chasse représente plusieurs dizaines de milliards d'euros sur plusieurs décennies. Ses plans de conception, ses gammes d'assemblage, ses tolérances de fabrication, ses procédés de traitement des matériaux composites : tout cela constitue un capital intellectuel que la concurrence internationale cherche activement à acquérir.

Les vecteurs d'espionnage industriel aéronautique

Le renseignement militaire et économique de plusieurs États cible activement les données de conception aéronautiques via :

  • L'infiltration des systèmes d'information (cyberattaques)
  • Les partenariats industriels avec accès aux données
  • Le recrutement de personnels clés
  • Et désormais : les API de services cloud qui peuvent constituer des vecteurs d'exfiltration involontaire de données sensibles

Cas d'usage : aide à la maintenance MRO avec l'IA souveraine

La maintenance, réparation et révision (MRO) est l'un des domaines où l'IA souveraine apporte la valeur la plus immédiate dans l'aéronautique, sans les risques réglementaires des applications de conception.

LLM souverain pour la documentation technique

Un technicien de maintenance aéronautique peut être confronté à des milliers de pages de documentation technique — Aircraft Maintenance Manuals (AMM), Illustrated Parts Catalogs (IPC), Service Bulletins, Airworthiness Directives. Un LLM souverain déployé sur cette documentation permet au technicien de poser ses questions en langage naturel et d'obtenir des réponses précises avec références aux sources.

Exemple concret : « Quelle est la procédure de remplacement du joint d'étanchéité ref. P/N 7834-B sur le moteur CFM56-5B, et quelles sont les AD applicables ? » Le LLM souverain répond en quelques secondes en citant les pages précises des manuels pertinents — sans que ces informations techniques ne quittent jamais le périmètre de l'organisation.

Analyse des données de vol et maintenance prédictive

Les données ACARS (Aircraft Communication Addressing and Reporting System) et les données de santé moteur (Engine Health Monitoring) sont des flux d'informations techniques extrêmement sensibles. Leur analyse par IA pour la maintenance prédictive doit impérativement se faire dans un environnement souverain — on-premise ou cloud privé certifié.

Gestion des compétences et des qualifications

Un LLM souverain peut aider à la gestion des habilitations et des qualifications des techniciens de maintenance : identification des compétences requises pour chaque tâche, vérification que les personnels affectés ont les qualifications nécessaires, alertes de renouvellement de qualifications — sans que les données RH sensibles ne sortent de l'entreprise.

Documentation technique et analyse RETEX

Dans l'aéronautique, le retour d'expérience (RETEX) est un processus critique pour l'amélioration continue de la sécurité. Les comptes rendus d'incidents, les rapports de difficultés de service (Service Difficulty Reports), les enquêtes de navigabilité constituent une masse documentaire précieuse — mais difficile à exploiter manuellement.

Un LLM souverain peut analyser ces corpus documentaires pour identifier des patterns, des tendances, des causes communes — permettant aux équipes navigabilité d'agir de manière proactive. Cette analyse doit rester dans un périmètre souverain car elle peut révéler des vulnérabilités techniques sensibles.

Simulation et IA souveraine

La simulation numérique est au cœur du développement aéronautique moderne : simulation aérodynamique (CFD), simulation de structures (éléments finis), simulation de systèmes. L'IA commence à accélérer ces simulations (physics-informed neural networks, surrogate models) et à les rendre plus accessibles aux ingénieurs.

Ces applications IA impliquent des données de modèles numériques extrêmement sensibles — les mêmes données que les équipes de conception protègent jalousement. Leur traitement par IA ne peut se faire que dans un environnement souverain maîtrisé.

Comment Dassault, Airbus, Safran approchent l'IA souveraine

Les grands acteurs industriels français de l'aéronautique et de la défense ont adopté des approches différentes mais convergentes vers la souveraineté IA.

Dassault Aviation

Dassault a investi massivement dans l'IA embarquée et les systèmes d'aide à la décision pour le Rafale. La philosophie : tout développement IA sur des programmes défense se fait dans des environnements isolés et certifiés. Dassault développe également des outils IA internes pour la conception (CAO assistée par IA, optimisation topologique) en environnement souverain.

Airbus

Airbus distingue clairement les cas d'usage IA par niveau de sensibilité. Pour les données de conception et les programmes défense, l'entreprise utilise des environnements cloud privés européens certifiés ou des solutions on-premise. Pour des applications moins sensibles (formation, communication interne), des solutions cloud grand public peuvent être envisagées.

Safran

Safran a développé une politique IA souveraine centrée sur la protection de ses données de conception moteur — un domaine où l'entreprise détient des avantages technologiques majeurs. Les systèmes IA pour l'analyse des données banc d'essai et la maintenance prédictive sont déployés on-premise dans les centres de R&D.

Architecture IA air-gap et souveraine certifiée

Pour les applications les plus sensibles (secret défense, ITAR-controlled), une architecture IA en air-gap — c'est-à-dire sans aucune connexion réseau externe — est la solution appropriée.

Architecture air-gap pour les données classifiées

  • Serveurs dédiés physiquement isolés du réseau internet et du réseau IP standard
  • Accès aux données via des terminaux dédiés dans des zones de sécurité physique contrôlée
  • Modèles IA installés sur des supports validés par la sécurité, mis à jour via des procédures de sécurité spécifiques
  • Journalisation complète de tous les accès et de toutes les requêtes

Architecture souveraine certifiée pour les données sensibles non classifiées

Pour les données techniques ITAR-controlled qui ne sont pas classifiées défense, une infrastructure cloud privée française ou un déploiement on-premise avec certifications appropriées (ISO 27001, SecNumCloud pour les niveaux les plus élevés) offre le bon équilibre entre sécurité et opérabilité.

Questions fréquentes

Une PME sous-traitante de rang 2 est-elle concernée par l'ITAR ?

Oui, si elle traite des données techniques issues d'un programme soumis à l'ITAR dans le cadre de sa relation client. Le donneur d'ordres doit transmettre les contraintes ITAR à ses sous-traitants, qui doivent les respecter. En pratique, de nombreuses PME aéronautiques ne réalisent pas qu'elles manipulent des données ITAR-controlled — ce qui les expose à des risques de violation.

Les modèles open-source comme Mistral ou LLaMA sont-ils utilisables ?

Oui, à condition d'être déployés entièrement on-premise dans votre infrastructure sécurisée. Un modèle open-source exécuté localement (sans aucune connexion externe) ne crée pas de transfert de données vers un tiers. C'est d'ailleurs le modèle recommandé pour les environnements sensibles : modèle open-source + déploiement souverain.

Quelle différence entre SecNumCloud et une simple certification ISO 27001 pour l'aéronautique défense ?

ISO 27001 est une norme de management de la sécurité de l'information — elle atteste de processus mais pas du niveau technique de protection. SecNumCloud est une qualification ANSSI qui certifie un niveau de sécurité technique plus élevé et garantit notamment la protection contre les lois extraterritoriales (Cloud Act). Pour les données sensibles de défense non classifiées, SecNumCloud est le standard recommandé. Pour les données classifiées, des homologations spécifiques ANSSI sont nécessaires.

Déployez l'IA dans votre organisation aéronautique ou de défense

Intelligence Privée propose des déploiements IA souverains adaptés aux exigences ITAR, secret défense et DO-178C : on-premise, air-gap, ou cloud privé certifié. Nos modèles ELODIE et KEVINA 32B fonctionnent sans aucune connexion externe.

Discuter de votre contexte sécuritaire →

Continuer la lecture

Conformité & Droit

Cloud Act : vos données d'entreprise sont-elles en danger ?

Comment le Cloud Act américain expose vos données chez AWS, Azure et Google.

9 min
Technique

LLM local et infrastructure GPU en entreprise

Comment déployer un grand modèle de langage sur votre propre infrastructure.

10 min
Stratégie

IA souveraine : avantage compétitif pour l'entreprise

Pourquoi la souveraineté IA devient un différenciateur stratégique.

7 min