Source: www.bfmtv.com
Gestion de crise pour le groupe Airbus
Un nouveau groupe technologique visé en moins de 10 jours
Après Altran, société de conseil en technologie, c’est Airbus qui est la cible d’une cyber-attaque. Le groupe annonce en effet avoir été victime d’une intrusion dans le système informatique de sa division Avions commerciaux (Airbus Commercial Aircraft) et que des données personnelles d’employés d’Airbus en Europe ont été consultées.
Après avoir détecté la présence d’un ransomware, Altran avait décidé de déconnecter tout son réseau et ses applications pour éviter une propagation du virus. Selon Altran, cette attaque n’aurait touché qu’une partie des opérations européennes, aucun client n’aurait été infecté et aucun vol de données commis.
Il n’est pas inutile de rappeler que le règlement général sur la protection des données (RGPD) impose aux responsables de traitement de documenter, en interne, les violations de données personnelles mais aussi de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL (Art. 33 du RGPD) et, dans certains cas, lorsque le risque est élevé, aux personnes concernées (art. 34 du RGPD). La perte de confidentialité de données personnelles entrent bien dans les cas de violation.
Une contre-publicité pour Airbus, expert en cybersécurité ?
Cette nouvelle intrusion n’est pas la meilleure publicité pour Airbus qui au travers de sa division Airbus Cybersecurity se présente comme : “un expert européen en cyber sécurité. Notre mission est de protéger les gouvernements, les organismes de défense et de sécurité, les organisations et les infrastructures nationales critiques et industries sensibles contre les cyber menaces.”
Ne trouverions nous pas là confirmation de l’adage bien connu selon lequel les cordonniers ne sont pas toujours les mieux chaussés … Cette intrusion révèle en tout état de cause une faille dans les dispositifs de sécurité des systèmes d’information et des infrastructures d’Airbus. Et même si aucune information industrielle ne semble présentement avoir été subtilisée, Airbus a révélé que: « certaines données à caractère personnel ont été consultées. Il s’agit essentiellement de coordonnées professionnelles et d’identifiants d’employés d’Airbus en Europe.»,
l’attaquant aura au moins satisfait à deux objectifs : collecter les renseignements recherchés à de possibles fins d’ingénierie sociale et semer le doute sur la sécurité globale des infrastructures et systèmes de l’avionneur.