Aloys Van de Vivere

British Airways : une « petite faille » à 20 millions de livres

« Errare humanum est, perseverare diabolicum ». Quand la confiance vacille, on en peut en payer le prix.

L’affaire British Airways (BA) est devenue un cas d’école en matière de cybersécurité et de conformité au RGPD : une faille technique minime, exploitée par des cybercriminels aguerris, s’est transformée en une amende de 20 millions de livres et une crise réputationnelle majeure.

La faille : un script tiers détourné

L’été 2018, entre le 22 juin et le 5 septembre, des pirates infiltrent le site officiel de BA via un script JavaScript obsolète(Modernizr), compromis depuis des années. Cette technique est typique du groupe Magecart, collectif criminel spécialisé dans le web skimming (injection de code sur des sites e-commerce pour voler les données de paiement).

Leur méthode :

  • injection d’un code malveillant sur la page de paiement ;

  • redirection des données clients vers un faux domaine quasi identique (baways.com) ;

  • collecte silencieuse de données personnelles et bancaires (noms, adresses, numéros de carte, CVV).

En deux mois, plus de 430 000 personnes sont impactées – clients comme employés. Le tout sans détection immédiate : preuve qu’une absence de supervision proactive (via un SIEMSecurity Information and Event Management, un outil de corrélation d’alertes – et un SOCSecurity Operations Center, centre de surveillance dédié – ou encore un EDR, Endpoint Detection and Response, pour analyser les postes de travail) laisse le champ libre à ce type d’attaque.

Ce que l’ICO reproche à British Airways

L’Information Commissioner’s Office (ICO, régulateur britannique des données) a pointé de graves manquements aux articles 5(1)(f) et 32 du RGPD (Règlement Général sur la Protection des Données, cadre européen de protection des données personnelles).

Les lacunes identifiées étaient multiples :

  • Identifiants sensibles stockés en clair : login et mots de passe d’administrateurs accessibles.

  • Absence de MFA (Multi-Factor Authentication, authentification multifacteur), pourtant devenue un standard de sécurité sur les systèmes critiques.

  • Données bancaires conservées illégalement, y compris les CVV, en violation du PCI DSS (Payment Card Industry Data Security Standard, norme mondiale de sécurité pour les paiements).

  • Surveillance et audit insuffisants, aucun mécanisme robuste de détection d’intrusion.

  • Chaîne de confiance défaillante : un script tiers vulnérable exploité, révélant une gouvernance insuffisante des prestataires.

Autrement dit, BA a manqué aux fondamentaux de la cyber-hygiène. Des mesures reconnues comme standards – ISO 27001 (International Organization for Standardization 27001, norme internationale de gestion de la sécurité de l’information), NIS2 (Network and Information Security Directive 2, directive européenne pour les secteurs essentiels), DORA (Digital Operational Resilience Act, règlement européen sur la résilience du secteur financier) – auraient permis d’éviter une telle situation.

L’amende : spectaculaire et symbolique

En juillet 2019, l’ICO annonçait une amende record de 183 millions de livres (1,5 % du chiffre d’affaires mondial). Finalement, la sanction fut réduite à 20 millions de livres en octobre 2020.

Malgré cette réduction, il s’agit à l’époque de la plus lourde amende jamais infligée par le régulateur britannique. Le message est clair : l’inaction coûte cher – en argent, en image et en confiance.

Les leçons à retenir

Cette affaire a marqué un tournant et illustre plusieurs enseignements pour toutes les organisations manipulant des données sensibles :

  • La sécurité ne s’arrête pas au pare-feu : mises à jour régulières, contrôle des scripts tiers, segmentation réseau sont indispensables.

  • Supervision proactive : détection rapide des signaux faibles via SOC, SIEM, EDR, en cohérence avec les recommandations de l’ANSSI.

  • Gestion des tiers et supply chain : un pilier du NIS2 et de DORA, désormais incontournable.

  • Pouvoir dissuasif du RGPD : les amendes (jusqu’à 20 M€ ou 4 % du CA mondial) ne sont pas théoriques, elles tombent.

  • Communication transparente et rapide : notifier dans les 72 heures (article 33 du RGPD) et informer les victimes (article 34).

  • Culture de sécurité : la responsabilité ne repose pas que sur les techniciens, mais aussi sur la gouvernance et les décisions budgétaires.

Conclusion

Le cas British Airways dépasse la simple “faille technique exploitée”. C’est une démonstration des dynamiques de responsabilité dans le monde numérique moderne. Une mise à jour oubliée, un fournisseur non audité, une supervision absente… et le coût se chiffre en millions.

Avec le RGPD comme socle, et désormais NIS2 et DORA pour les secteurs critiques, les régulateurs rappellent que la cybersécurité n’est plus une option : c’est un enjeu stratégique, juridique et moral. La confiance numérique se construit – ou se perd – à coups de vigilance quotidienne.

by Aloys Van de Vivere

Privacy Preference Center

Privacy Preferences