Cybersécurité des aéroports : une dépendance aux fournisseurs qui inquiète
Depuis le 19 septembre 2025, date à laquelle une puissante cyberattaque a cloué les avions au sol des aéroports de Bruxelles, Londres, Berlin et Dublin, la supply chain du secteur aérien est de plus en plus pointée du doigt pour sa fragilité. Et pour cause, cette cyberattaque a visé un fournisseur commun à ces aéroports : Collins Aerospace, qui fournit le logiciel qui gère le système d'enregistrement des bagages. A la suite de cette panne, tous les avions ont décollé avec plusieurs heures de retard.
Mais certaines organisations n'ont pas attendu l'incident pour tirer la sonnette d'alarme. En juin 2025, le Cyber Threat Intelligence Report de Thales, dédié à l'aviation, alertait : "En l’espace d’un an, les attaques par ransomware visant la chaîne d’approvisionnement aéronautique ont augmenté de 600%". Sans confirmer ce chiffre astronomique, Antoine Avet, analyste chez XMCO, cabinet de conseil en cybersécurité qui produit une veille annuelle sur le secteur aérien, observe aussi une nette augmentation des attaques via la supply chain : "Entre janvier et juin 2025, on a observé une hausse de 150% d'attaques cybercriminelles en quête de gains financiers dans le secteur aérien. Les attaquants sont opportunistes : ils visent le plus faible maillon de la supply chain."
Supply chain : les failles sont nombreuses
Traditionnellement visés par des attaques par déni de service dans le cadre de conflits géopolitiques, les aéroports sont de plus en plus perçus par les cybercriminels comme des cibles idéales pour des attaques par ransomware. Un ransomware affectant un aéroport cause d'importants préjudices : vols en retard, importantes pertes financières pour de nombreuses compagnies d'aviation, etc. Ils espèrent tirer parti du sentiment d'urgence que provoque une telle situation pour maximiser leurs chances de parvenir à leurs fins. "Plus l'indisponibilité du service coûte cher et plus c'est intéressant pour les attaquants, car cela met une pression supplémentaire sur les organisations rançonnées, afin de les faire payer rapidement. Les aéroports sont donc des cibles intéressantes pour la cybercriminalité", affirme Benoit Maïzi, ingénieur en sécurité informatique chez HarfangLab.
"Toutefois, les aéroports ne sont pas des cibles faciles en raison de leur niveau élevé de cybersécurité". C'est pourquoi les attaquants préfèrent attaquer les aéroports en exploitant les failles de leurs fournisseurs : "Les compromissions se retrouvent plus au niveau de la supply chain qu'au niveau des opérationnels de l'aéronautique qui sont très matures sur le risque cyber". "Les fournisseurs sont régulièrement le maillon faible qu'exploitent les cybercriminels, car ce sont souvent de petites entreprises qui ont moins de maturité cyber. Elles sont donc la porte d'entrée idéale pour compromettre en cascade la cible finale qu'est l'aéroport", confirme Antoine Avet.
La raison se trouve notamment dans l'évaluation des fournisseurs du secteur aérien qui souffre d'insuffisances. "Aujourd'hui, les grandes entreprises du secteur aérien pratiquent largement l'évaluation des fournisseurs. Mais tant qu'ils ne sont pas soumis à des obligations légales, un certain nombre de ces audits se limite à du déclaratif. Donc une large partie de ce processus d'évaluation est imparfait. Le nombre d'entreprises composant la supply chain est tellement volumineux que ce sont des processus compliqués à mettre en œuvre. Toutefois, le secteur aérien pourra bénéficier de l'application de la directive NIS 2 qui va élever le niveau de cybersécurité de ses fournisseurs".
En outre, conçues pour des machines et systèmes dont la durée de vie se compte parfois en décennies, de nombreuses solutions numériques fournies par la supply chain sont anciennes et contiennent donc des vulnérabilités. C'est d'ailleurs le cas du logiciel de Collins Aerospace. "Pour rétablir un service normal suite à la panne des aéroports de Bruxelles, Londres, Berlin et Dublin, le fournisseur a proposé de remplacer la version du logiciel par une plus récente. Sachant que ce logiciel a été conçu dans les années 1990 et qu'une mise à jour a dû être effectuée dans les années 2010", précise Stéphane Lenco, responsable de la sécurité des systèmes d'information de Thales.
Une dépendance risquée
A cela s'ajoute le fait que "le secteur aéroportuaire dépend très fortement des fournisseurs tiers", note Antoine Avet. "Je ne vois pas d'autres services pour le public qui en concentrent autant", approuve Pierre-Henry Poret, ingénieur avant-vente chez HarfangLab. Les cybercriminels disposent ainsi de nombreux points d'entrée potentiels pour cibler un aéroport.
De plus, certaines solutions jouissent d'une situation de quasi-monopole dans le secteur aéroportuaire, tempère Stéphane Lenco. Si elles contiennent des vulnérabilités, les cybercriminels peuvent les exploiter pour paralyser de nombreux aéroports. "Par exemple, il existe trois grands fournisseurs de systèmes de ground handling : Collins Aerospace, Amadeus et Sita. Les aéroports qui ont adopté une solution concurrente de Collins Aerospace n'ont pas été affectés par la cyberattaque de septembre 2025. Quant à l'incident survenu sur le logiciel CrowdStike en juillet 2024, il est révélateur du nombre d'aéroports qui l'avaient choisi". Cet incident s'était produit à la suite d'une mise à jour défectueuse d'un logiciel de la société de cybersécurité, adopté par de très nombreux aéroports dans le monde. Leur fonctionnement a donc été gravement perturbé.
"C'est pourquoi certaines situations de quasi-monopole peuvent soulever des questionnements". S'inspirant de la stratégie multi-cloud qui consiste, pour une organisation, à utiliser plusieurs fournisseurs de cloud afin d'augmenter sa cyber-résilience, Stéphane Lenco estime que les aéroports doivent envisager, dans certains cas, de diversifier leurs prestataires pour renforcer leur robustesse face aux attaques.