Les cyberincidents mettent à l'épreuve la résilience des compagnies aériennes mondiales

Par Danny Bradbury • 15 juillet 2025

La prochaine fois que vous vous promènerez lentement dans l'allée d'un avion, pensez au travail incroyable qui vous a amené là, de l'ingénierie aéronautique aux opérateurs qui maintiennent plus de 5,000 XNUMX avions en vol à tout moment ; l'industrie aéronautique est confrontée à des défis ahurissants.

Ces deux dernières décennies, ils ont dû faire face à un autre problème : les menaces de cybersécurité. Le mois dernier, nous avons vu quelques exemples de ce qui se passe lorsque des intrus pénètrent dans leurs systèmes.

Trois cyberattaques en un mois

Début juin, Westjet, l'une des compagnies aériennes les plus populaires au Canada, a constaté un problème dans ses systèmes. L'entreprise avait été victime d'un cyberincident qui avait empêché ses utilisateurs de se connecter à son site web et à son application mobile.

Westjet a rapidement réagi au problème, comme l'a détaillé son page de conseil Au cours des jours suivants. Cependant, il ne s'agissait pas d'un incident isolé. La compagnie aérienne était l'une des trois à avoir subi des attaques. Qantas et Hawaiian Airlines ont également été touchées.

Hawaiian Airlines a détecté sa propre violation le 23 juin et l'a divulguée trois jours plus tard via un message concis sur son site. Son programme de vols était opérationnel et les déplacements des passagers n'ont pas été affectés, a-t-elle précisé.

Puis ce fut le tour de l'Australie. La compagnie aérienne Qantas a constaté une activité inhabituelle sur une plateforme tierce utilisée par son centre de contact. L'attaquant a réussi à dérober les noms, adresses, numéros de téléphone, dates de naissance et numéros de fidélité de clients.

Le 2 juillet, Qantas A déclaré Elle a indiqué qu'elle disposait des relevés de service de six millions de clients sur la plateforme et s'attendait à ce que la proportion de données volées soit « significative ». Cependant, les voleurs n'ont pas réussi à s'enfuir avec les informations de paiement, a-t-elle ajouté.

Ces attaques semblent coordonnées. Scattered Spider, le groupe de menaces également présumé responsable des attaques contre le casino MGM Grand et, plus récemment, Marks & Spencer, avait tourné son attention vers le secteur aérien, a averti le FBI.

Selon le Bureau, le groupe criminel compromet les comptes des employés en se rendant aux services d'assistance et en se faisant passer pour des employés ou des sous-traitants, convainquant les opérateurs de leur donner accès à leurs comptes. Il les convainc ensuite souvent d'ajouter un accès MFA aux comptes, bloquant ainsi l'accès aux utilisateurs légitimes. Des sources ont indiqué que les attaques contre les compagnies aériennes semblaient être l'œuvre de ce groupe.

Une décennie de turbulences numériques

Ce n'est pas la première fois qu'une compagnie aérienne est confrontée à une cyberattaque. En 2015, la compagnie aérienne polonaise LOT subir une attaque DDoS ce qui l'a empêché de publier des plans de vol, laissant 1,400 20 passagers bloqués et XNUMX vols annulés.

Trois ans plus tard, des attaquants ont attaqué British Airways en compromettant un compte réseau BA attribué à un employé de la société de manutention de fret Swissport. L'absence d'authentification multifacteur (MFA) a permis aux attaquants de compromettre le compte et d'exploiter une vulnérabilité de Citrix pour accéder au réseau BA. Ils ont ensuite accédé aux identifiants d'un compte d'administrateur de domaine Windows stockés en clair. L'attaquant, Magecart, a implanté du code JavaScript sur le site web de la compagnie aérienne et a volé Les données de cartes de paiement de 380,000 20 clients. BA s'en est tirée avec une amende de 183 millions de livres sterling, réduite de XNUMX millions de livres sterling.

Des incidents comme ceux-ci sont suffisamment fréquents pour avoir entaché les antécédents de l'industrie aéronautique. Security Scorecard, société de logiciels de gestion de la sécurité donne Le secteur obtient un « B » en matière de cybersécurité. Ce n'est pas une note d'échec, affirme l'organisation, mais cela rend les entreprises de ce secteur presque trois fois plus susceptibles de subir une violation que celles des secteurs notés A.

Les régulateurs prennent note

Ce n'est pas étonnant, compte tenu de la surface d'attaque très étendue de la plupart des compagnies aériennes. Les systèmes administratifs ne sont pas les seuls à être visés. Les systèmes opérationnels, des équipements aéroportuaires aux équipements embarqués, sont également menacés.

La plupart des violations de sécurité dans le secteur aérien sont de nature administrative, ciblant les informations relatives aux passagers et aux paiements plutôt que les appareils eux-mêmes. Cependant, la situation deviendrait bien plus grave si quelqu'un ciblait la technologie opérationnelle des avions en vol. À ce jour, ces piratages ont principalement consisté en des tests de validation de principe. Cependant, les autorités de réglementation continuent de prendre des mesures préventives. La FAA nouvelles règles proposées l'année dernière pour protéger les systèmes des avions.

L'Administration américaine de la sécurité des transports (TSA) imposé nouvelles règles de cybersécurité pour les exploitants d'aéroports et d'aéronefs en 2023, y compris des exigences de segmentation du réseau. L'UE publié le règlement d'exécution (UE) 2023/203 (partie IS) d'octobre 2022, qui définit les règles d'identification et de gestion des risques de sûreté dans les organisations aéronautiques. Il entre en vigueur cette année.

Construire des opérations aériennes résilientes

Que peuvent faire les compagnies aériennes pour se protéger contre les cyber-risques croissants ? Bien que les normes réglementaires soient sectorielles, les régulateurs ont, dans certains cas, pris des mesures pour chevauchement avec la norme ISO 27001. Bien que les organisations de l'industrie aéronautique puissent avoir besoin d'entreprendre des travaux supplémentaires pour répondre aux exigences spécifiques de sécurité aérienne décrites dans la partie IS, elles sont néanmoins « cohérentes et alignées avec ISO-CEI 27001, " selon l'Agence européenne de la sécurité aérienne (AESA).

Les mesures de sécurité que les compagnies aériennes doivent mettre en place ne sont pas compliquées. La TSA se concentre sur les politiques de segmentation du réseau et les contrôles d'accès pour empêcher les intrus de pénétrer dans votre réseau. Des avertissements concernant l'application de correctifs logiciels sont également présents. De telles recommandations sont encore plus fréquentes que les files d'attente aux toilettes sur un vol long-courrier.

Tout comme il est interdit de fumer en vol, l'adoption de bonnes pratiques de cybersécurité sur les réseaux aéronautiques est incontournable. Le vol des données des comptes passagers est déjà une catastrophe, mais sans protection efficace, les conséquences d'une attaque plus concertée menée par un opérateur motivé par autre chose que le profit pourraient être bien pires.

Danny Bradbury

Danny Bradbury est journaliste de presse écrite spécialisé en technologie depuis 1989 et écrivain indépendant depuis 1994. Il a écrit pour des publications nationales des deux côtés de l'Atlantique et a remporté des prix pour son travail de journalisme d'investigation sur la cybersécurité.

Lire la suite de Danny Bradbury

La cyber-sécurité 15 Janvier 2026

De la sécurité périmétrique à l'identité comme bannière de sécurité

De la sécurité périmétrique à la sécurité de l'identité

Impossible aujourd'hui de jeter un œil à un événement de sécurité sans tomber sur l'expression « confiance zéro ». C'est un mot à la mode, certes…

Danny Bradbury

La cyber-sécurité 18 December 2025

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

En matière de réglementation, le terme « États-Unis » est un oxymore. Les lois des États sont loin d'être unifiées, chaque juridiction ayant ses propres traditions…

Danny Bradbury

La cyber-sécurité 20 November 2025

Ce que les violations de Salesforce nous apprennent sur la responsabilité partagée (bannière)

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée

L'année 2025 n'a pas été favorable aux clients de Salesforce. Un groupe criminel peu scrupuleux a mené une série d'attaques contre ses clients, affectant finalement…

Danny Bradbury