Business

British Airways : une « petite faille » à 20 millions de livres

« Errare humanum est, perseverare diabolicum ». Quand la confiance vacille, on en peut en payer le prix.

L’affaire British Airways (BA) est devenue un cas d’école en matière de cybersécurité et de conformité au RGPD : une faille technique minime, exploitée par des cybercriminels aguerris, s’est transformée en une amende de 20 millions de livres et une crise réputationnelle majeure.

La faille : un script tiers détourné

L’été 2018, entre le 22 juin et le 5 septembre, des pirates infiltrent le site officiel de BA via un script JavaScript obsolète(Modernizr), compromis depuis des années. Cette technique est typique du groupe Magecart, collectif criminel spécialisé dans le web skimming (injection de code sur des sites e-commerce pour voler les données de paiement).

Leur méthode :

  • injection d’un code malveillant sur la page de paiement ;

  • redirection des données clients vers un faux domaine quasi identique (baways.com) ;

  • collecte silencieuse de données personnelles et bancaires (noms, adresses, numéros de carte, CVV).

En deux mois, plus de 430 000 personnes sont impactées – clients comme employés. Le tout sans détection immédiate : preuve qu’une absence de supervision proactive (via un SIEMSecurity Information and Event Management, un outil de corrélation d’alertes – et un SOCSecurity Operations Center, centre de surveillance dédié – ou encore un EDR, Endpoint Detection and Response, pour analyser les postes de travail) laisse le champ libre à ce type d’attaque.

Ce que l’ICO reproche à British Airways

L’Information Commissioner’s Office (ICO, régulateur britannique des données) a pointé de graves manquements aux articles 5(1)(f) et 32 du RGPD (Règlement Général sur la Protection des Données, cadre européen de protection des données personnelles).

Les lacunes identifiées étaient multiples :

  • Identifiants sensibles stockés en clair : login et mots de passe d’administrateurs accessibles.

  • Absence de MFA (Multi-Factor Authentication, authentification multifacteur), pourtant devenue un standard de sécurité sur les systèmes critiques.

  • Données bancaires conservées illégalement, y compris les CVV, en violation du PCI DSS (Payment Card Industry Data Security Standard, norme mondiale de sécurité pour les paiements).

  • Surveillance et audit insuffisants, aucun mécanisme robuste de détection d’intrusion.

  • Chaîne de confiance défaillante : un script tiers vulnérable exploité, révélant une gouvernance insuffisante des prestataires.

Autrement dit, BA a manqué aux fondamentaux de la cyber-hygiène. Des mesures reconnues comme standards – ISO 27001 (International Organization for Standardization 27001, norme internationale de gestion de la sécurité de l’information), NIS2 (Network and Information Security Directive 2, directive européenne pour les secteurs essentiels), DORA (Digital Operational Resilience Act, règlement européen sur la résilience du secteur financier) – auraient permis d’éviter une telle situation.

L’amende : spectaculaire et symbolique

En juillet 2019, l’ICO annonçait une amende record de 183 millions de livres (1,5 % du chiffre d’affaires mondial). Finalement, la sanction fut réduite à 20 millions de livres en octobre 2020.

Malgré cette réduction, il s’agit à l’époque de la plus lourde amende jamais infligée par le régulateur britannique. Le message est clair : l’inaction coûte cher – en argent, en image et en confiance.

Les leçons à retenir

Cette affaire a marqué un tournant et illustre plusieurs enseignements pour toutes les organisations manipulant des données sensibles :

  • La sécurité ne s’arrête pas au pare-feu : mises à jour régulières, contrôle des scripts tiers, segmentation réseau sont indispensables.

  • Supervision proactive : détection rapide des signaux faibles via SOC, SIEM, EDR, en cohérence avec les recommandations de l’ANSSI.

  • Gestion des tiers et supply chain : un pilier du NIS2 et de DORA, désormais incontournable.

  • Pouvoir dissuasif du RGPD : les amendes (jusqu’à 20 M€ ou 4 % du CA mondial) ne sont pas théoriques, elles tombent.

  • Communication transparente et rapide : notifier dans les 72 heures (article 33 du RGPD) et informer les victimes (article 34).

  • Culture de sécurité : la responsabilité ne repose pas que sur les techniciens, mais aussi sur la gouvernance et les décisions budgétaires.

Conclusion

Le cas British Airways dépasse la simple “faille technique exploitée”. C’est une démonstration des dynamiques de responsabilité dans le monde numérique moderne. Une mise à jour oubliée, un fournisseur non audité, une supervision absente… et le coût se chiffre en millions.

Avec le RGPD comme socle, et désormais NIS2 et DORA pour les secteurs critiques, les régulateurs rappellent que la cybersécurité n’est plus une option : c’est un enjeu stratégique, juridique et moral. La confiance numérique se construit – ou se perd – à coups de vigilance quotidienne.

by Aloys Van de Vivere

blank

Chaîne d’approvisionnement numérique : la bombe à retardement de la cybersécurité

À l’horizon 2025, près d’une entreprise sur deux pourrait être victime d’une cyberattaque via ses fournisseurs. Le cabinet Gartner estime que ces incidents ont déjà augmenté de 300 % depuis 2021. Une tendance lourde qui révèle un changement de stratégie des cybercriminels : plutôt que d’attaquer les grandes entreprises directement, mieux protégées, ils s’infiltrent par leurs prestataires.

Pourquoi les sous-traitants sont devenus la cible idéale

La logique des attaquants est implacable : un seul fournisseur compromis peut ouvrir la voie à des milliers de victimes. Les sous-traitants, souvent moins armés en cybersécurité que leurs clients, représentent une faille systémique.

À cela s’ajoute un élément psychologique : la confiance implicite accordée aux partenaires. Or, cette confiance est précisément ce que les cybercriminels exploitent.

Les chiffres en témoignent. En 2024, la moitié des incidents rapportés dans l’Union européenne concernaient des secteurs hautement stratégiques – santé, énergie, transport – tous dépendants de chaînes de sous-traitance.

Des impacts qui dépassent l’informatique

Les attaques sur la chaîne d’approvisionnement ne se limitent pas à une panne passagère. Elles entraînent des pertes économiques, juridiques et réputationnelles.

  • 4,91 millions de dollars : coût moyen d’un incident prévu en 2025.

  • 267 jours : temps moyen nécessaire pour se remettre d’une attaque.

  • 138 milliards de dollars : pertes globales estimées d’ici 2031.

  • 40 % des cyberattaques ciblent déjà les PME et TPE, avec un coût moyen de 59 000 € par incident.

Pour une petite structure, ces chiffres se traduisent souvent par des semaines d’arrêt d’activité – et parfois, la faillite.

Trois attaques qui ont marqué un tournant

Certaines affaires récentes ont montré la puissance de l’effet domino :

  • SolarWinds : 18 000 organisations espionnées pendant 14 mois.

  • Kaseya : 1 500 entreprises paralysées via leurs prestataires IT.

  • MOVEit : 93,3 millions de personnes exposées à la suite d’une seule faille.

Ces cas démontrent qu’une vulnérabilité unique peut provoquer une onde de choc mondiale.

Comment renforcer la résilience ?

La cybersécurité ne peut plus se limiter aux frontières de l’entreprise. Elle doit inclure tout l’écosystème de partenaires. Parmi les pistes incontournables :

  • Cartographier ses dépendances grâce à un inventaire des composants logiciels (SBOM).

  • Adopter le principe de Zero Trust : ne jamais faire confiance par défaut, même à ses fournisseurs.

  • Surveiller en continu les activités suspectes, comme le recommande l’ANSSI.

  • Évaluer la robustesse des prestataires, exigence centrale du règlement européen DORA.

  • S’appuyer sur des normes reconnues, telles que l’ISO 27001, pour prouver la solidité de ses dispositifs.

L’intelligence artificielle, alliée ou menace ?

L’IA amplifie la course entre attaquants et défenseurs.

  • Côté pirates : intrusions automatisées, phishing ultra-ciblé, exploitation de failles à grande échelle.

  • Côté entreprises : détection prédictive, analyse comportementale, réponse rapide aux incidents.

Le retard d’adoption de ces outils par les sous-traitants pourrait aggraver leur vulnérabilité.

Une pression réglementaire accrue

Les institutions européennes durcissent les règles. Les prestataires ne peuvent plus se défausser :

  • NIS2 engage directement la responsabilité des dirigeants en cas de manquement.

  • DORA impose des clauses contractuelles et une surveillance accrue des fournisseurs TIC critiques.

  • RGPD oblige à notifier toute violation de données dans les 72 heures, sous peine de sanctions pouvant atteindre 4 % du chiffre d’affaires mondial.

  • CaRE, plus adapté aux PME, combine prévention, détection et indemnisation.

De la dépendance à la responsabilité

La cybersécurité n’est plus une affaire réservée aux spécialistes techniques. Elle est devenue un enjeu stratégique et vital pour la survie des entreprises.

Chaque sous-traitant doit comprendre qu’il est un maillon critique de la chaîne de valeur, qu’il peut devenir la porte d’entrée d’une cyberattaque, et qu’il engage désormais sa responsabilité légale et économique dans la résilience de ses clients.

👉 La question à poser à chaque dirigeant est simple : votre entreprise a-t-elle cartographié ses dépendances et évalué la robustesse cyber de ses fournisseurs ?

Parce qu’à l’ère numérique, la faiblesse de vos partenaires peut devenir… votre chute.

blankby Stéphane Pochet

Privacy Preference Center

Privacy Preferences