En un seul week-end de septembre 2025, cinq des plus grands aéroports d’Europe ont basculé du numérique au papier. Le 19 septembre, un rançongiciel frappe Collins Aerospace, filiale du géant américain RTX, et paralyse son logiciel d’enregistrement et d’embarquement vMUSE. À Londres-Heathrow, Bruxelles-Zaventem, Berlin-Brandebourg, Dublin et Cork, les agents ressortent les stylos et les listes imprimées. La panne dure jusqu’au 22 septembre. Cet épisode, devenu le cas d’école de la cyberattaque d’infrastructures critiques en Europe, n’est pas un accident isolé. Il marque l’entrée dans une année 2026 où l’énergie, l’eau, les transports et les institutions publiques sont devenus la cible numéro un des cybercriminels et des acteurs étatiques.
Le 12 juin 2026, le constat est sans appel. La menace contre les infrastructures essentielles n’est plus théorique, elle est opérationnelle, coordonnée et coûteuse. Cette analyse décortique l’attaque des aéroports, le profil des assaillants, le coût économique réel, l’arsenal réglementaire européen (NIS2, CER, DORA) et les prévisions des experts pour les douze prochains mois.
Septembre 2025 : cinq aéroports européens à l’arrêt en un week-end
Tout commence dans la nuit du 19 septembre 2025. Le système vMUSE, utilisé par des dizaines de compagnies aériennes pour gérer les bornes d’enregistrement partagées, cesse de répondre. À Bruxelles-Zaventem, la direction de l’aéroport demande aux compagnies d’annuler environ la moitié des vols programmés, soit près de 60 annulations sur une seule journée, et de réduire la capacité de 50 % le temps de revenir à un traitement manuel des passagers.
La perturbation se propage tout le week-end des 20 et 21 septembre. Heathrow signale des retards en cascade, Berlin-Brandebourg ralentit, Dublin et Cork enregistrent des files d’attente exceptionnelles. Selon des estimations médiatiques recoupées, près de 629 vols ont été affectés sur l’ensemble de la vague, entre annulations et retards lourds. La singularité de l’incident tient à sa mécanique : aucune compagnie ni aucun aéroport n’a été piraté directement. Un seul fournisseur tiers, commun à tous, a suffi à transformer une panne logicielle en crise continentale.
L’Agence de l’Union européenne pour la cybersécurité (ENISA) a confirmé qu’il s’agissait d’un rançongiciel d’origine tierce, c’est-à-dire une attaque par la chaîne d’approvisionnement. Les aéroports ont tenu grâce à des procédures dégradées : enregistrement manuel, étiquetage des bagages à la main, embarquement sur listes papier. La leçon est brutale. La numérisation concentre le risque opérationnel sur un nombre réduit de prestataires, et la défaillance de l’un d’eux se diffuse instantanément à toute une filière.
vMUSE et Collins Aerospace : l’anatomie d’une attaque par la chaîne d’approvisionnement
Le logiciel MUSE (Multi-User System Environment) et sa version virtualisée vMUSE permettent à plusieurs compagnies de partager les mêmes comptoirs et bornes libre-service. C’est un standard du secteur, déployé dans des centaines d’aéroports. Sa force, la mutualisation, est aussi sa faiblesse : un point unique de défaillance pour l’ensemble de l’écosystème aéroportuaire.
RTX, maison mère de Collins Aerospace, a confirmé que l’incident relevait d’un rançongiciel ayant chiffré les systèmes de traitement des passagers. L’entreprise a isolé les machines touchées et restauré le service progressivement à partir de sauvegardes, ce qui explique le retour à la normale étalé sur plusieurs jours plutôt qu’instantané. Le schéma rejoint celui d’autres incidents européens récents, où la faille n’est pas dans l’organisation visée mais chez l’un de ses fournisseurs.
Pour le Dr Junade Ali, expert en cybersécurité de l’Institution of Engineering and Technology (IET), la nature de l’événement était claire dès le départ. « Il s’agit d’une attaque de la chaîne d’approvisionnement visant le logiciel MUSE », a-t-il déclaré, soulignant que le vecteur exact et l’attribution restaient inconnus dans les heures qui ont suivi. Cette dépendance à un maillon unique, déjà observée lors de la faille Ivanti qui a frappé l’Union européenne, est devenue le talon d’Achille des infrastructures critiques européennes.
Everest, le groupe de rançongiciel qui a revendiqué l’attaque
Le 20 octobre 2025, le groupe de rançongiciel Everest revendique l’attaque liée à Collins Aerospace et au logiciel MUSE. Everest opère selon le modèle classique de la double extorsion : chiffrement des systèmes, vol de données et menace de publication sur un site de fuite si la rançon n’est pas versée. Dans les premières heures, plusieurs sources avaient évoqué d’autres familles de rançongiciel, mais aucune attribution n’avait été confirmée publiquement avant la revendication d’Everest.
Une arrestation au Royaume-Uni, puis une remise en liberté
La National Crime Agency (NCA) britannique a annoncé l’arrestation d’un homme d’une quarantaine d’années dans le West Sussex, soupçonné d’infractions au titre du Computer Misuse Act. Il a ensuite été remis en liberté sous caution conditionnelle, l’enquête se poursuivant. Cette interpellation rapide illustre la coopération transfrontalière qui s’organise autour des attaques d’infrastructures, mais aussi la difficulté à remonter jusqu’aux commanditaires réels lorsqu’un fournisseur tiers sert de point d’entrée.
Le tableau ci-dessous reconstitue la chronologie de la crise aéroportuaire, l’un des incidents d’infrastructure critique les plus documentés de la période 2025-2026.
| Date | Événement | Impact mesuré |
|---|---|---|
| 19 sept. 2025 | Compromission du système vMUSE de Collins Aerospace | Enregistrement automatisé hors service |
| 20 sept. 2025 | Propagation à Heathrow, Bruxelles, Berlin, Dublin, Cork | Retour au traitement manuel des passagers |
| 20-21 sept. 2025 | Bruxelles demande l’annulation de ~50 % des vols | ~60 vols annulés sur une journée |
| 22 sept. 2025 | Restauration progressive des systèmes | Retards résiduels, ~629 vols affectés au total |
| 20 oct. 2025 | Le groupe Everest revendique l’attaque | Modèle de double extorsion confirmé |
| Automne 2025 | Arrestation d’un suspect par la NCA (West Sussex) | Remise en liberté sous caution conditionnelle |
2026 : l’année où les infrastructures critiques deviennent la cible n°1
L’attaque des aéroports n’a été qu’un signal avant-coureur. En 2026, la pression sur les infrastructures essentielles s’intensifie. Selon la commission de la sécurité intérieure de la Chambre des représentants américaine, environ 70 % de l’ensemble des cyberattaques recensées en 2024 visaient déjà des infrastructures critiques, une tendance qui s’est confirmée en 2025 et 2026 des deux côtés de l’Atlantique.
L’Europe n’est pas épargnée. En mars 2026, la Commission européenne a été visée par une cyberattaque touchant son infrastructure cloud hébergeant la plateforme Europa. Début avril 2026, le CERT-EU a confirmé qu’une intrusion avait exposé des données liées à une trentaine d’entités de l’Union. Quelques semaines plus tôt, en février 2026, la France découvrait le piratage du registre FICOBA, exposant environ 1,2 million de comptes bancaires. Ces incidents partagent un dénominateur commun : ils ne ciblent plus de simples données commerciales, mais le socle numérique sur lequel reposent l’État, les services publics et l’économie réelle.
Le Forum économique mondial, dans son Global Cybersecurity Outlook 2026, chiffre l’inquiétude : 64 % des organisations intègrent désormais le risque de cyberattaque à motivation géopolitique (sabotage d’infrastructures critiques, espionnage) dans leur stratégie. Plus frappant encore, 93 % des experts en cybersécurité et 86 % des dirigeants estiment qu’un événement cyber catastrophique de grande ampleur est probable dans les deux prochaines années.
Chronologie : les grandes cyberattaques d’infrastructures critiques en Europe
Pour saisir l’ampleur du phénomène, il faut replacer l’attaque des aéroports dans une série d’incidents qui, en moins d’un an, ont visé les fondations numériques de l’Europe. Chaque ligne du tableau correspond à un secteur essentiel différent, ce qui confirme le caractère systémique de la menace plutôt qu’une vulnérabilité isolée.
| Incident | Date | Secteur | Impact principal |
|---|---|---|---|
| Aéroports européens (Collins Aerospace) | Sept. 2025 | Transport aérien | 5 hubs paralysés, ~629 vols affectés |
| Faille Ivanti EPMM (zero-day) | Fév. 2026 | Institutions UE | Compromission via failles critiques |
| Registre FICOBA | Fév. 2026 | Finances publiques (France) | ~1,2 million de comptes exposés |
| Commission européenne (plateforme Europa) | Mars 2026 | Institutions UE | Infrastructure cloud touchée |
| CERT-EU, intrusion multi-entités | Avr. 2026 | Institutions UE | Données de ~30 entités exposées |
Cette accumulation explique pourquoi Bruxelles a fait de la résilience cyber une priorité politique. L’attaque ne se mesure plus seulement en données volées, mais en services interrompus, en vols cloués au sol et en confiance publique entamée.
Énergie, eau, transport : la convergence IT/OT change la donne
La spécificité des infrastructures critiques tient à la fusion de deux mondes longtemps séparés : l’informatique de gestion (IT) et les systèmes de commande industriels (OT, pour Operational Technology). Pendant des décennies, les automates qui pilotent une centrale électrique, une station de pompage ou un réseau ferroviaire vivaient isolés. La transformation numérique les a connectés, ouvrant une surface d’attaque inédite.
SCADA et automates : des systèmes conçus pour durer, pas pour résister
Les systèmes SCADA (supervision, contrôle et acquisition de données) qui orchestrent les réseaux d’énergie et d’eau ont été conçus pour une durée de vie de vingt à trente ans, avec un impératif de disponibilité et non de sécurité. Beaucoup tournent encore sur des logiciels anciens, difficiles à corriger sans interrompre un service vital. Résultat : une vulnérabilité dans un automate peut rester non corrigée pendant des mois, faute de fenêtre de maintenance.
Les analystes spécialisés en menaces cyber-physiques alertent depuis le début 2026 sur la montée des rançongiciels visant directement l’OT. Là où une attaque IT vole des données, une attaque OT réussie peut couper l’électricité, contaminer un réseau d’eau ou stopper un train. Le coût moyen mondial d’une violation de données atteignait déjà 4,88 millions de dollars en 2024 selon le rapport IBM Cost of a Data Breach, et ce chiffre grimpe nettement pour les infrastructures critiques, où chaque heure d’interruption se compte en millions.
Le coût économique réel des attaques d’infrastructures
Le coût d’une cyberattaque d’infrastructure critique se mesure sur trois plans. D’abord les pertes directes : remédiation, restauration des systèmes, recours à des prestataires d’urgence. Ensuite les pertes indirectes : production interrompue, vols annulés, clients indemnisés, contrats perdus. Enfin le coût réputationnel et réglementaire, désormais aggravé par les sanctions prévues par le droit européen.
L’attaque des aéroports illustre l’effet domino. Une seule défaillance logicielle chez un fournisseur s’est traduite par des centaines de vols perturbés, des milliers de passagers bloqués et des compagnies aériennes contraintes d’indemniser leurs clients au titre du règlement européen sur les droits des passagers. Le préjudice ne reste pas chez la victime initiale : il se diffuse à toute la filière, des compagnies aux hôtels en passant par les loueurs et les commerces aéroportuaires.
Pour les opérateurs d’énergie et d’eau, l’addition serait bien plus lourde encore. Une coupure prolongée affecte la santé publique, l’industrie et la sécurité nationale. C’est précisément cette logique de cascade qui a poussé l’Union européenne à durcir radicalement son cadre réglementaire, en passant d’une logique de recommandation à une logique de sanction.
NIS2, CER, DORA : l’arsenal réglementaire européen face à la menace
L’Europe a bâti en quelques années un triptyque réglementaire pour protéger ses infrastructures critiques. La directive NIS2 couvre la cybersécurité de 18 secteurs essentiels et importants. La directive CER (résilience des entités critiques) traite la résilience physique et organisationnelle. Le règlement DORA, applicable depuis le 17 janvier 2025, cible spécifiquement le secteur financier. Ensemble, ils forment un filet de protection sans équivalent mondial, mais dont l’efficacité dépend de la transposition nationale.
NIS2 impose un calendrier de notification strict : alerte précoce sous 24 heures, notification d’incident sous 72 heures et rapport final sous un mois. Elle introduit surtout la responsabilité personnelle des dirigeants, qui peuvent être tenus pour responsables et, en cas de manquements répétés, faire l’objet d’une interdiction temporaire d’exercer. Les sanctions financières sont dissuasives, comme le détaille le tableau suivant.
| Texte | Périmètre | Sanction maximale | Échéance clé |
|---|---|---|---|
| NIS2 (entités essentielles) | 18 secteurs critiques | 10 M€ ou 2 % du CA mondial | Transposition due le 17 oct. 2024 |
| NIS2 (entités importantes) | Secteurs étendus | 7 M€ ou 1,4 % du CA mondial | Notification : 24 h / 72 h / 1 mois |
| Directive CER | Résilience physique des entités critiques | Fixée par chaque État membre | Transposition due le 17 oct. 2024 |
| DORA | Secteur financier | Sanctions sectorielles dédiées | Applicable depuis le 17 janv. 2025 |
| Cyber Resilience Act | Produits numériques | Jusqu’à 15 M€ ou 2,5 % du CA | Obligations échelonnées jusqu’en 2027 |
Le maillon faible n’est pas le texte, mais sa mise en œuvre. La directive NIS2 devait être transposée par chaque État membre au plus tard le 17 octobre 2024. À la mi-2026, selon le suivi de l’ECSO, 23 des 27 États membres avaient achevé leur transposition. Les retardataires s’exposent désormais à des poursuites, comme le montre le cas français. Pour une lecture complète des amendes, voir notre dossier sur le Cyber Resilience Act et ses 15 M€ d’amende.
La France et l’ANSSI en première ligne
En France, NIS2 fera passer le nombre d’entités régulées d’environ 500 sous l’ancienne directive à près de 15 000 entités, réparties dans 18 secteurs. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) en est l’autorité de tutelle. Le saut d’échelle est considérable : des collectivités, des hôpitaux, des PME industrielles et des fournisseurs jusqu’ici hors radar entrent dans le champ des obligations de cybersécurité.
Mais la France a pris du retard. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été adopté par le Sénat en mars 2025, puis transmis à l’Assemblée nationale, sans transposition pleinement achevée à la date prévue. Conséquence directe : le 9 juin 2026, la Commission européenne a saisi la Cour de justice de l’Union européenne (CJUE) contre la France et l’Espagne pour transposition tardive de NIS2, plus d’un an après l’échéance. Cette procédure, détaillée dans notre article sur la saisine de la CJUE, place Paris dans une position délicate au moment même où ses infrastructures sont visées.
La réponse française ne se limite pas à la transposition. Elle s’inscrit dans une stratégie nationale de cybersécurité dotée d’un milliard d’euros, qui vise à faire émerger des capacités industrielles européennes et à rendre opérationnelle la réserve cyber de l’Union d’ici 2026.
Ce qu’en disent les experts et les responsables européens
Au sommet de l’exécutif européen, le message est celui de l’urgence. Henna Virkkunen, vice-présidente exécutive de la Commission européenne chargée de la souveraineté technologique, de la sécurité et de la démocratie, résume la nouvelle donne : « Les menaces auxquelles nous faisons face aujourd’hui sont plus complexes, plus coordonnées et plus lourdes de conséquences que jamais, avec des cyberattaques souvent dirigées contre nos infrastructures critiques, nos chaînes d’approvisionnement et nos institutions démocratiques. »
Du côté de l’agence européenne, Juhan Lepassaar, directeur exécutif de l’ENISA, insiste sur la dimension collective de la défense : « La cybersécurité est une condition préalable à la résilience de notre société numérisée. Nous devons renforcer notre capacité collective à protéger les infrastructures critiques et les chaînes d’approvisionnement contre des attaques de plus en plus sophistiquées. » L’ENISA a d’ailleurs fait de l’exercice paneuropéen Cyber Europe 2026 un test grandeur nature de la réponse coordonnée du continent.
Sur le terrain technique, l’analyse du Dr Junade Ali (IET) sur l’attaque des aéroports reste la grille de lecture la plus citée : un compromis de fournisseur tiers suffit à faire tomber des services critiques en chaîne. Trois voix, un même diagnostic. La sécurité d’une infrastructure ne vaut que celle de son maillon le plus faible, souvent un sous-traitant invisible.
Comparaison : l’Europe face aux États-Unis sur la cyber-résilience
L’Europe et les États-Unis abordent la protection des infrastructures critiques avec des philosophies différentes. Washington privilégie une approche sectorielle et largement volontaire, coordonnée par la CISA, avec des obligations contraignantes concentrées sur certains opérateurs. L’Union européenne, elle, a choisi une approche horizontale et contraignante par le droit, où NIS2 impose un socle commun à 18 secteurs avec des sanctions harmonisées.
Les deux modèles ont leurs faiblesses. Le modèle américain souffre de fragmentation et de dépendance au volontariat. Le modèle européen, plus ambitieux sur le papier, se heurte à la lenteur de transposition nationale, comme l’illustre la saisine de la CJUE contre la France et l’Espagne. Sur le fond, les deux continents convergent vers un même constat : la sécurité de la chaîne d’approvisionnement est devenue le champ de bataille décisif, et aucun acteur ne peut se protéger seul.
Cinq prévisions pour 2026-2027
À partir des tendances observées et des données disponibles, cinq évolutions se dessinent pour les douze à dix-huit prochains mois.
- Les attaques par fournisseur tiers vont s’intensifier. Le succès du schéma vMUSE va inspirer les groupes criminels, qui cibleront en priorité les prestataires mutualisés à fort effet de levier.
- Les premières amendes lourdes NIS2 tomberont. Avec 23 États membres ayant transposé la directive, 2026-2027 verra les premières sanctions financières significatives contre des entités non conformes.
- Le rançongiciel OT deviendra une menace de premier plan. La convergence IT/OT exposera davantage les systèmes industriels d’énergie, d’eau et de transport à des attaques aux conséquences physiques.
- L’IA offensive accélérera la cadence. Reconnaissance automatisée, hameçonnage personnalisé et exploitation accélérée des failles raccourciront le délai entre la découverte d’une vulnérabilité et son exploitation.
- La géopolitique restera le moteur du risque. Avec 64 % des organisations intégrant déjà le risque géopolitique, les infrastructures énergétiques et hydrauliques resteront des cibles de choix pour les acteurs étatiques et hacktivistes.
Comment les organisations peuvent réduire leur exposition
La défense des infrastructures critiques ne se résume pas à acheter des outils. Elle repose sur une discipline de gestion du risque, en particulier sur la chaîne d’approvisionnement, là où se concentrent désormais les attaques les plus dévastatrices.
Les priorités concrètes pour 2026
- Cartographier les dépendances tierces : identifier les fournisseurs critiques et les points uniques de défaillance, comme l’a été vMUSE pour les aéroports.
- Segmenter IT et OT : isoler les systèmes industriels du réseau bureautique pour limiter la propagation d’un rançongiciel.
- Préparer le mode dégradé : tester régulièrement les procédures manuelles, qui ont permis aux aéroports de continuer à fonctionner.
- Se conformer à NIS2 en amont : mettre en place la chaîne de notification 24 h / 72 h / 1 mois avant d’y être contraint par une crise.
- Sauvegarder hors ligne : conserver des sauvegardes immuables et déconnectées, seule garantie réelle de restauration sans payer la rançon.
Ces mesures rejoignent les bonnes pratiques détaillées dans notre guide sur les fuites de données et comment s’en protéger et notre panorama de la sécurité en ligne.
Questions fréquentes sur les cyberattaques d’infrastructures critiques
Qu’est-ce qu’une infrastructure critique en cybersécurité ?
Une infrastructure critique désigne un système ou un service essentiel au fonctionnement de la société : énergie, eau, transport, santé, finances, télécommunications. La directive NIS2 en couvre 18 secteurs en Europe. Une attaque réussie sur ces systèmes peut interrompre des services vitaux, d’où leur niveau de protection renforcé.
Qui a mené la cyberattaque des aéroports européens de septembre 2025 ?
Le groupe de rançongiciel Everest a revendiqué l’attaque le 20 octobre 2025. Elle visait le logiciel vMUSE de Collins Aerospace, filiale de RTX. La National Crime Agency britannique a arrêté un homme dans le West Sussex, ensuite remis en liberté sous caution conditionnelle, l’enquête restant ouverte.
Qu’est-ce qu’une attaque de la chaîne d’approvisionnement ?
C’est une attaque qui compromet une organisation en passant par l’un de ses fournisseurs ou prestataires. Plutôt que de viser directement une cible bien défendue, l’attaquant exploite un maillon plus faible, souvent un logiciel ou un service partagé. L’attaque vMUSE en est l’exemple type : un seul fournisseur a affecté cinq aéroports à la fois.
Quelles sanctions prévoit la directive NIS2 ?
Pour les entités essentielles, les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu. Pour les entités importantes, le plafond est de 7 millions d’euros ou 1,4 % du chiffre d’affaires. NIS2 prévoit aussi la responsabilité personnelle des dirigeants.
Pourquoi la France a-t-elle été poursuivie devant la CJUE ?
Le 9 juin 2026, la Commission européenne a saisi la Cour de justice de l’UE contre la France et l’Espagne pour n’avoir pas transposé NIS2 plus d’un an après l’échéance du 17 octobre 2024. Le projet de loi français était encore en cours d’examen parlementaire à cette date.
Comment une entreprise peut-elle se protéger contre ce type d’attaque ?
Les priorités sont la cartographie des fournisseurs critiques, la segmentation des réseaux IT et OT, des sauvegardes hors ligne immuables, des procédures manuelles testées et la conformité anticipée à NIS2. Aucune mesure isolée ne suffit, c’est la combinaison qui réduit l’exposition.
Couverture associée
- Faille Ivanti CVSS 9.8 : l’UE frappée en 9 h
- NIS2 France : 15 000 entités, la CJUE saisie
- Cyber Resilience Act : 15 M€ d’amende
- FICOBA piraté : 1,2 million de comptes exposés
- Stratégie cyber France 2026-2030 : 1 Md€, 5 piliers
- Sécurité en ligne : protéger ses données et ses comptes
