Artificial intelligence

British Airways : une « petite faille » à 20 millions de livres

« Errare humanum est, perseverare diabolicum ». Quand la confiance vacille, on en peut en payer le prix.

L’affaire British Airways (BA) est devenue un cas d’école en matière de cybersécurité et de conformité au RGPD : une faille technique minime, exploitée par des cybercriminels aguerris, s’est transformée en une amende de 20 millions de livres et une crise réputationnelle majeure.

La faille : un script tiers détourné

L’été 2018, entre le 22 juin et le 5 septembre, des pirates infiltrent le site officiel de BA via un script JavaScript obsolète(Modernizr), compromis depuis des années. Cette technique est typique du groupe Magecart, collectif criminel spécialisé dans le web skimming (injection de code sur des sites e-commerce pour voler les données de paiement).

Leur méthode :

  • injection d’un code malveillant sur la page de paiement ;

  • redirection des données clients vers un faux domaine quasi identique (baways.com) ;

  • collecte silencieuse de données personnelles et bancaires (noms, adresses, numéros de carte, CVV).

En deux mois, plus de 430 000 personnes sont impactées – clients comme employés. Le tout sans détection immédiate : preuve qu’une absence de supervision proactive (via un SIEMSecurity Information and Event Management, un outil de corrélation d’alertes – et un SOCSecurity Operations Center, centre de surveillance dédié – ou encore un EDR, Endpoint Detection and Response, pour analyser les postes de travail) laisse le champ libre à ce type d’attaque.

Ce que l’ICO reproche à British Airways

L’Information Commissioner’s Office (ICO, régulateur britannique des données) a pointé de graves manquements aux articles 5(1)(f) et 32 du RGPD (Règlement Général sur la Protection des Données, cadre européen de protection des données personnelles).

Les lacunes identifiées étaient multiples :

  • Identifiants sensibles stockés en clair : login et mots de passe d’administrateurs accessibles.

  • Absence de MFA (Multi-Factor Authentication, authentification multifacteur), pourtant devenue un standard de sécurité sur les systèmes critiques.

  • Données bancaires conservées illégalement, y compris les CVV, en violation du PCI DSS (Payment Card Industry Data Security Standard, norme mondiale de sécurité pour les paiements).

  • Surveillance et audit insuffisants, aucun mécanisme robuste de détection d’intrusion.

  • Chaîne de confiance défaillante : un script tiers vulnérable exploité, révélant une gouvernance insuffisante des prestataires.

Autrement dit, BA a manqué aux fondamentaux de la cyber-hygiène. Des mesures reconnues comme standards – ISO 27001 (International Organization for Standardization 27001, norme internationale de gestion de la sécurité de l’information), NIS2 (Network and Information Security Directive 2, directive européenne pour les secteurs essentiels), DORA (Digital Operational Resilience Act, règlement européen sur la résilience du secteur financier) – auraient permis d’éviter une telle situation.

L’amende : spectaculaire et symbolique

En juillet 2019, l’ICO annonçait une amende record de 183 millions de livres (1,5 % du chiffre d’affaires mondial). Finalement, la sanction fut réduite à 20 millions de livres en octobre 2020.

Malgré cette réduction, il s’agit à l’époque de la plus lourde amende jamais infligée par le régulateur britannique. Le message est clair : l’inaction coûte cher – en argent, en image et en confiance.

Les leçons à retenir

Cette affaire a marqué un tournant et illustre plusieurs enseignements pour toutes les organisations manipulant des données sensibles :

  • La sécurité ne s’arrête pas au pare-feu : mises à jour régulières, contrôle des scripts tiers, segmentation réseau sont indispensables.

  • Supervision proactive : détection rapide des signaux faibles via SOC, SIEM, EDR, en cohérence avec les recommandations de l’ANSSI.

  • Gestion des tiers et supply chain : un pilier du NIS2 et de DORA, désormais incontournable.

  • Pouvoir dissuasif du RGPD : les amendes (jusqu’à 20 M€ ou 4 % du CA mondial) ne sont pas théoriques, elles tombent.

  • Communication transparente et rapide : notifier dans les 72 heures (article 33 du RGPD) et informer les victimes (article 34).

  • Culture de sécurité : la responsabilité ne repose pas que sur les techniciens, mais aussi sur la gouvernance et les décisions budgétaires.

Conclusion

Le cas British Airways dépasse la simple “faille technique exploitée”. C’est une démonstration des dynamiques de responsabilité dans le monde numérique moderne. Une mise à jour oubliée, un fournisseur non audité, une supervision absente… et le coût se chiffre en millions.

Avec le RGPD comme socle, et désormais NIS2 et DORA pour les secteurs critiques, les régulateurs rappellent que la cybersécurité n’est plus une option : c’est un enjeu stratégique, juridique et moral. La confiance numérique se construit – ou se perd – à coups de vigilance quotidienne.

by Aloys Van de Vivere

blank

Chaîne d’approvisionnement numérique : la bombe à retardement de la cybersécurité

À l’horizon 2025, près d’une entreprise sur deux pourrait être victime d’une cyberattaque via ses fournisseurs. Le cabinet Gartner estime que ces incidents ont déjà augmenté de 300 % depuis 2021. Une tendance lourde qui révèle un changement de stratégie des cybercriminels : plutôt que d’attaquer les grandes entreprises directement, mieux protégées, ils s’infiltrent par leurs prestataires.

Pourquoi les sous-traitants sont devenus la cible idéale

La logique des attaquants est implacable : un seul fournisseur compromis peut ouvrir la voie à des milliers de victimes. Les sous-traitants, souvent moins armés en cybersécurité que leurs clients, représentent une faille systémique.

À cela s’ajoute un élément psychologique : la confiance implicite accordée aux partenaires. Or, cette confiance est précisément ce que les cybercriminels exploitent.

Les chiffres en témoignent. En 2024, la moitié des incidents rapportés dans l’Union européenne concernaient des secteurs hautement stratégiques – santé, énergie, transport – tous dépendants de chaînes de sous-traitance.

Des impacts qui dépassent l’informatique

Les attaques sur la chaîne d’approvisionnement ne se limitent pas à une panne passagère. Elles entraînent des pertes économiques, juridiques et réputationnelles.

  • 4,91 millions de dollars : coût moyen d’un incident prévu en 2025.

  • 267 jours : temps moyen nécessaire pour se remettre d’une attaque.

  • 138 milliards de dollars : pertes globales estimées d’ici 2031.

  • 40 % des cyberattaques ciblent déjà les PME et TPE, avec un coût moyen de 59 000 € par incident.

Pour une petite structure, ces chiffres se traduisent souvent par des semaines d’arrêt d’activité – et parfois, la faillite.

Trois attaques qui ont marqué un tournant

Certaines affaires récentes ont montré la puissance de l’effet domino :

  • SolarWinds : 18 000 organisations espionnées pendant 14 mois.

  • Kaseya : 1 500 entreprises paralysées via leurs prestataires IT.

  • MOVEit : 93,3 millions de personnes exposées à la suite d’une seule faille.

Ces cas démontrent qu’une vulnérabilité unique peut provoquer une onde de choc mondiale.

Comment renforcer la résilience ?

La cybersécurité ne peut plus se limiter aux frontières de l’entreprise. Elle doit inclure tout l’écosystème de partenaires. Parmi les pistes incontournables :

  • Cartographier ses dépendances grâce à un inventaire des composants logiciels (SBOM).

  • Adopter le principe de Zero Trust : ne jamais faire confiance par défaut, même à ses fournisseurs.

  • Surveiller en continu les activités suspectes, comme le recommande l’ANSSI.

  • Évaluer la robustesse des prestataires, exigence centrale du règlement européen DORA.

  • S’appuyer sur des normes reconnues, telles que l’ISO 27001, pour prouver la solidité de ses dispositifs.

L’intelligence artificielle, alliée ou menace ?

L’IA amplifie la course entre attaquants et défenseurs.

  • Côté pirates : intrusions automatisées, phishing ultra-ciblé, exploitation de failles à grande échelle.

  • Côté entreprises : détection prédictive, analyse comportementale, réponse rapide aux incidents.

Le retard d’adoption de ces outils par les sous-traitants pourrait aggraver leur vulnérabilité.

Une pression réglementaire accrue

Les institutions européennes durcissent les règles. Les prestataires ne peuvent plus se défausser :

  • NIS2 engage directement la responsabilité des dirigeants en cas de manquement.

  • DORA impose des clauses contractuelles et une surveillance accrue des fournisseurs TIC critiques.

  • RGPD oblige à notifier toute violation de données dans les 72 heures, sous peine de sanctions pouvant atteindre 4 % du chiffre d’affaires mondial.

  • CaRE, plus adapté aux PME, combine prévention, détection et indemnisation.

De la dépendance à la responsabilité

La cybersécurité n’est plus une affaire réservée aux spécialistes techniques. Elle est devenue un enjeu stratégique et vital pour la survie des entreprises.

Chaque sous-traitant doit comprendre qu’il est un maillon critique de la chaîne de valeur, qu’il peut devenir la porte d’entrée d’une cyberattaque, et qu’il engage désormais sa responsabilité légale et économique dans la résilience de ses clients.

👉 La question à poser à chaque dirigeant est simple : votre entreprise a-t-elle cartographié ses dépendances et évalué la robustesse cyber de ses fournisseurs ?

Parce qu’à l’ère numérique, la faiblesse de vos partenaires peut devenir… votre chute.

blankby Stéphane Pochet

blank

La CNIL vient de publier 13 fiches pratiques pour aider les entreprises, administrations et développeurs à concevoir des systèmes d’IA respectueux des droits fondamentaux.

L’intelligence artificielle avance vite, mais la régulation aussi.
La CNIL vient de publier 13 fiches pratiques pour aider les entreprises, administrations et développeurs à concevoir des systèmes d’IA respectueux des droits fondamentaux.

👉 Ce n’est pas un simple avis d’expert, mais une boîte à outils très opérationnelle, couvrant :

L’intérêt légitime et la base juridique des traitements IA

L’analyse d’impact (AIPD)

Les biais et discriminations

La transparence, l’explicabilité

Les données d'entraînement

La minimisation et conservation des données

Les droits des personnes (accès, opposition, etc.)

Les cas d'usage concrets (RH, cybersécurité, détection de fraude…)

🔍 Objectif : traduire le RGPD dans la pratique IA, sans freiner l’innovation.

Un excellent guide pour préparer son IA Act-compliant et anticiper les audits à venir.

📘 Lien vers les 13 fiches : https://www.itforbusiness.fr/la-cnil-finalise-ses-recommandations-sur-lia-93029

 

blankby Axel Legay

blank

Construire un mini pare-feu IA pour le navigateur avec JavaScript et l'API de GPT

Introduction : Pourquoi un pare-feu côté navigateur ?

Dans un monde où les interactions numériques se font majoritairement via des navigateurs web, la sécurité à ce niveau est cruciale. Or, la plupart des dispositifs de protection (pare-feu, antivirus, anti-spam) sont centrés sur le réseau ou le système. Ce que nous proposons ici est un concept simple mais prometteur : un pare-feu comportemental côté navigateur, à l’aide d’une API d’IA.

Notre projet est développé en JavaScript, le langage natif du navigateur. Plutôt que de réinventer la roue avec un moteur d’analyse complexe, nous tirons parti de la puissance d’un modèle d’intelligence artificielle existant (GPT-3.5). Cela permet de simplifier considérablement le développement tout en profitant des capacités avancées d’analyse contextuelle qu’offrent les IA modernes. Là où autrefois il aurait fallu écrire, maintenir et mettre à jour manuellement une série de règles (régulièrement périmées face à l'évolution des attaques), nous confions cette tâche à un moteur déjà entraîné sur des milliards d’exemples.

Objectif du projet

Construire un prototype de "mini pare-feu" IA embarqué dans le navigateur, capable de :

  • Intercepter les champs de formulaire
  • Détecter un contenu potentiellement suspect (tentatives de phishing, injections malveillantes, mots-clés dangereux)
  • Réagir immédiatement (alerte visuelle, blocage, etc.)

Nous utiliserons JavaScript pur et une API GPT (par exemple, OpenAI GPT-3.5) pour l’analyse contextuelle du contenu.

Rappel : qu’est-ce qu’un pare-feu ?

Un pare-feu ("firewall") est un outil qui filtre les communications entrantes et sortantes d’un système informatique. Il agit comme un "vigile" qui bloque ou autorise certaines données selon des règles. Ici, notre pare-feu est adapté au contexte : il ne filtre pas le réseau, mais l’interaction utilisateur-application.

Traditionnellement, un pare-feu repose sur une liste de règles fixes qu’il faut mettre à jour en fonction des nouvelles menaces. L’un des avantages de notre solution basée sur une IA existante est qu’elle remplace ces règles rigides par une interprétation intelligente, adaptable et évolutive.

Prototype simple en JavaScript + API GPT : découpage et explication pédagogique

1. Sélection et écoute des champs de saisie


document.querySelectorAll('input, textarea').forEach(el => {
  el.addEventListener('blur', async () => {
    const flag = await analyseAvecIA(el.value);
    if (flag) {
      el.style.border = '2px solid red';
      alert("⚠️ Contenu potentiellement dangereux détecté.");
    }
  });
});

Explication :
- On sélectionne tous les éléments de type input et textarea.
- Lorsqu’un utilisateur quitte un champ (blur), on déclenche une analyse.
- Si le contenu est jugé dangereux par l’IA, on colore le champ en rouge et on affiche une alerte.

2. Fonction d’analyse avec GPT


async function analyseAvecIA(texte) {
  const response = await fetch("https://api.openai.com/v1/chat/completions", {
    method: "POST",
    headers: {
      "Content-Type": "application/json",
      "Authorization": "Bearer VOTRE_CLE_API"
    },
    body: JSON.stringify({
      model: "gpt-3.5-turbo",
      messages: [
        { role: "system", content: "Ta tâche est de déterminer si un contenu est une tentative de phishing ou contient une injection malveillante." },
        { role: "user", content: texte }
      ]
    })
  });
  const data = await response.json();
  return data.choices[0].message.content.toLowerCase().includes("oui");
}

Explication :
- On appelle l’API GPT d’OpenAI en lui envoyant deux messages :
• Un prompt système qui définit le rôle de l’IA : détecter le phishing ou l’injection.
• Le contenu réel saisi par l’utilisateur.
- On interprète la réponse : si elle contient oui, on considère que le contenu est suspect.

Remarques de sécurité :
- Il faut remplacer VOTRE_CLE_API par votre vraie clé OpenAI.
- Ne jamais exposer une clé sensible en production côté client (voir plus loin les limitations).

Limitations du prototype

  • Temps de réponse dû à l'appel API (latence perceptible)
  • Risque de faux positifs ou négatifs selon la formulation du prompt
  • Le code étant exécuté côté client, il peut être désactivé ou contourné
  • Exposer une clé API en clair dans le navigateur est dangereux (solution : proxy sécurisé ou back-end intermédiaire)

Pistes d'amélioration

  • Utiliser un modèle IA local exécuté dans le navigateur (WebLLM, Mistral via WebGPU, etc.)
  • Créer une extension navigateur pour une meilleure intégration
  • Ajouter un historique local ou un apprentissage progressif des comportements fréquents

Conclusion

Ce projet montre qu’avec un peu de JavaScript et une API d’IA, il est possible d’implanter une couche supplémentaire de réflexion et d’analyse dans le navigateur lui-même. Ce n’est pas une solution de sécurité totale, mais une preuve de concept qui ouvre la voie à une sécurité plus fine, contextuelle et proactive. Idéal pour l’expérimentation, la pédagogie, ou comme base pour un projet plus ambitieux. Et surtout, il illustre à quel point les IA modernes permettent aujourd’hui de créer en quelques lignes ce qui aurait autrefois nécessité des centaines de règles manuelles, mises à jour et surveillées en permanence.

blankby Axel Legay

Privacy Preference Center

Privacy Preferences