BFM Business

Après Altran, Airbus a été la cible d'une cyberattaque visant sa division avions commerciaux

Le RGPD, une réglementation européenne entrée en vigueur fin mai 2018, oblige les entreprises victimes d’une intrusion informatique ou d’une cyberattaque à alerter dans les 72 heures les autorités de leur pays.

Le RGPD, une réglementation européenne entrée en vigueur fin mai 2018, oblige les entreprises victimes d’une intrusion informatique ou d’une cyberattaque à alerter dans les 72 heures les autorités de leur pays. - Pascal Pavani-AFP

Après la société de conseil en technologie Altran, Airbus a révélé avoir avoir été victime d'une intrusion dans son système informatique de sa division Avions commerciaux. Des coordonnées personnelles d'employés d'Airbus en Europe ont été consultées selon le groupe aéronautique.

Qui a pénétré dans les systèmes informatiques d'Airbus? Le groupe a "détecté un cyber-incident dans les systèmes informatiques d'Airbus Commercial Aircraft, qui a résulté en un accès non autorisé à des données. Il n'y a pas d'impact sur les opérations commerciales d'Airbus", a-t-il précisé dans la nuit de mercredi à jeudi.

Si, pour l'heure, aucune information industrielle ne semble avoir été récupérée lors de cette intrusion, "certaines données à caractère personnel ont été consultées", a précisé l'avionneur qui ajoute, "Il s'agit essentiellement de coordonnées professionnelles et d'identifiants d'employés d'Airbus en Europe."

Les experts d'Airbus vont analyser avec soin l'intrusion

Les experts internes du groupe réalisent désormais "une étude approfondie" afin de "déterminer si certaines données particulières étaient ciblées", sachant que le groupe européen est présent sur le marché des avions de ligne, dans la défense, l'industrie spatiale et les hélicoptères.

Airbus affirme être contact avec les autorités réglementaires et les autorités de protection des données compétentes, conformément au RGPD (réglement général sur la protection des données) applicable en Europe depuis mai 2018. Ce dernier oblige en effet les entreprises victimes de vols informatiques de leurs données ou de cyber-attaques à alerter, dans les 72 heures, les personnes affectées et les autorités de leur pays -- en l'occurrence en France la Commission nationale informatique et liberté (Cnil).

S'il se confirme que l'attaque contre Airbus n'a pas entraîné de perte de données majeures, il n'en reste pas moins qu'elle intervient juste après un autre incident, ayant visé lundi une autre très grande entreprise, Altran, qui emploie près de 46.000 personnes dans plus de 30 pays.

Il faut signaler dans les 72 heures toute cyberattaque

Altran avait souligné que la cyberattaque n'avait donné lieu à "aucun vol de données" ni "aucun cas de propagation de l'incident à des clients" mais avait été ciblé par un virus chiffrant les fichiers des ordinateurs sur lesquels il est présent, comme un rançongiciel.

Le cas d'Airbus semble différent, puisque les premiers éléments fournis par le groupe semblent privilégier la tentative de récupération de données plutôt que le blocage des capacités de l'avionneur.

Dans un cas comme dans l'autre, l'information a rapidement été donnée après l'attaque (dans un délai de 72 heures), une approche nouvelle imposée par le règlement général sur la protection des données (RGPD) entré en vigueur fin mai. Cette obligation de rapidité d'information vise à mettre fin au secret entourant jusqu'ici ces attaques, mais peut également donner l'impression que ces dernières se multiplient.

Frédéric Bergé avec AFP