Cybersécurité industrielle : ce talon d’Achille qui fait tout tomber

La supply chain est devenue le raccourci préféré des attaquants pour contourner les forteresses cyber industrielles. Dans l’aéronautique, entre systèmes OT, ransomwares, souveraineté technologique et PME exposées, le vrai risque se cache souvent loin du cœur apparent des opérations.

Par Pierre-Henry Poret, Ingénieur en cybersécurité, HarfangLab

L’industrie aéronautique est, par nature, une industrie complexe. Des dizaines d’acteurs, qu’ils soient fabricants, sous-traitants, prestataires logistiques, opérateurs aéroportuaires, doivent fonctionner de façon parfaitement synchronisée. C’est précisément cette interdépendance qui en fait aujourd’hui l’une des cibles les plus exposées aux cyberattaques. Non pas parce que les grands industriels seraient mal protégés, leur maturité cyber étant parmi les plus avancées du marché, mais parce que la chaîne, elle, est toujours mise à mal par son maillon le plus faible.

Selon une étude publiée par Thalès, les ransomwares ciblant la supply chain aéronautique ont augmenté de plus de 600 % ces dernières années. Si le chiffre peut être questionné, le constat lui, ne trombe pas, et les cibles sont de plus de plus en plus diversifiées : industriels, opérateurs, infrastructures de communication, prestataires de maintenance ou encore fournisseurs de satellites. Ce maillon peut parfois sembler anecdotique, mais l’impact de sa compromission ne l’est pas. Septembre 2025 en a fourni un exemple ; plusieurs aéroports européens, Bruxelles, Londres, et d’autres, ont été paralysés non pas par une attaque frontale sur leurs systèmes critiques, mais via un logiciel de gestion de bagages compromis. La cible initiale n’était pourtant pas les aéroports, mais ils ont été indirectement été victimes de l’impact opérationnel de cette compromission.

C’est là toute la logique des attaques par la chaîne d’approvisionnement : frapper là où la défense est la plus poreuse pour atteindre ce qui est, en apparence, hors de portée. Les précédents ne manquent pas, et ils dessinent une tendance de fond; par exemple, en compromettant la chaîne de mise à jour de la plateforme Orion, SolarWinds avait permis aux attaquants de déployer des backdoors auprès de 18 000 clients en 2019-2020, dont des ministères américains. MOVEit, en 2023, a exposé 2 700 organisations et 90 millions de données personnelles via une simple faille zero-day. La même année, la compromission de 3CX par un logiciel tiers a touché 600 000 entreprises; ou encore en 2025, la compagnie aérienne Qantas a vu les données de 6 millions de clients exfiltrées via une plateforme offshore utilisée en service client. À chaque fois, le vecteur d’entrée était périphérique.

Deux logiques d’attaque, une même vulnérabilité

Encore faut-il ne pas confondre les menaces, car elles n’appellent pas les mêmes réponses. La première est opportuniste et financière : bloquer un processus industriel, paralyser une chaîne de production pour exiger une rançon, exfiltrer des données en masse pour les revendre. Ces attaques frappent, sans discrimination, les hôpitaux, les aéroports, les usines. La seconde relève d’une toute autre logique, que certains chercheurs nomment la techno-nationalisation : des États agissant directement, ou via des groupes spécialisés, dans des opérations de déstabilisation ou d’espionnage industriel. Il s’agit ici de guerre hybride, dont les contours restent délibérément flous. Lorsqu’un aéroport est mis à l’arrêt, il n’est pas toujours évident de savoir laquelle de ces deux logiques est en cause, et c’est précisément ce qui complique la réponse.

Ce flou est d’autant plus problématique que l’écart entre la sécurité numérique et la sécurité physique tend à se réduire. Un angle mort persiste dans l’industrie ; la sécurité des systèmes opérationnels (OT). Des machines conçues il y a vingt ou trente ans, tournant sur des logiciels propriétaires qui n’ont jamais été pensés pour coexister avec des couches de sécurité modernes. Installer un outil de détection tiers peut simplement rompre la garantie constructeur, un choix cornélien sans bonne réponse évidente, d’autant que les impacts d’une crise cyber sur des systèmes industriels peuvent se matérialiser dans la sphère « physique » et mettre en danger l’intégrité humaine. Stuxnet, en 2010, avait déjà démontré qu’il était possible de provoquer des dommages physiques réels par voie numérique.

Des réponses pour faire face à ces défis existent et s’organisent autour de quatre étapes clés. L’évaluation d’abord, avec l’audit des fournisseurs, la cartographie des composants via des SBOM et une conformité étendue à toute la chaîne. Vient ensuite la conception, fondée sur une architecture Zero Trust, le durcissement des systèmes et la garantie de l’intégrité des données. Le déploiement s’appuie sur des validations rigoureuses, des mises en production progressives et des plans de continuité éprouvés. Enfin, l’exploitation repose sur des outils adaptés aux environnements OT, un monitoring continu et une amélioration constante. Car si les défenses se structurent, la menace, elle, continue d’évoluer.

Souveraineté, PME et résilience

Face à ces menaces, la souveraineté technologique s’invite de plus en plus au cœur du débat. Compte tenu de l’aspect stratégique de ces industries et du risque qu’une perte de contrôle fait peser sur la continuité des opérations, faut-il privilégier une solution européenne plutôt qu’américaine ou asiatique ? La réponse est plus nuancée qu’il n’y paraît : la souveraineté n’a de sens que si elle s’accompagne de performance. Choisir une solution moins efficace au nom de l’autonomie stratégique, c’est affaiblir son propre dispositif de sécurité. En revanche, à niveau technique équivalent, les critères de conformité réglementaire, d’indépendance vis-à-vis de tiers étrangers et de maîtrise de la donnée deviennent des arguments décisifs. Opter pour une technologie dont on ne maîtrise pas les dépendances, c’est accepter une vulnérabilité latente, activable à tout moment par son fournisseur. La souveraineté renforce la valeur d’une solution, sans pour autant la remplacer.

Cette réflexion concerne tout particulièrement les PME sous-traitantes. Intégrées à des chaînes d’approvisionnement critiques, elles constituent des cibles privilégiées, à la fois en raison d’une maturité cyber souvent moindre et d’un sentiment de protection lié à leur taille. Pourtant, renforcer leur sécurité ne suppose pas nécessairement de mobiliser des ressources internes importantes : des structures comme le CERT Aviation accompagnent les acteurs du secteur, de la prévention à la remédiation. En pratique, des actions ciblées suffisent à élever significativement leur niveau de protection : segmentation du réseau selon la criticité des actifs, réduction de la surface d’attaque via un contrôle strict des accès, ou encore mise en place d’architectures hybrides adaptées à des environnements hétérogènes. Plus qu’une transformation lourde, il s’agit d’adopter une approche structurée, fondée sur une évaluation lucide de sa chaîne de dépendances. Les grandes transformations industrielles ont toujours créé de nouvelles vulnérabilités avant que les pratiques ne rattrapent les technologies. La numérisation de l’industrie n’échappe pas à cette règle. La différence, c’est que les attaquants n’attendent pas que le secteur soit prêt.

À LIRE AUSSI :

Newtech

CBC 2025 : Cybersécurité spatiale et souveraineté orbitale européenne

Thomas Pagbe

2 Déc

À LIRE AUSSI :

Secu

Où en est la cybersécurité dans l’aviation ?

La rédaction

7 Mai

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !