Newsletters

Magazines

Autopsie d’une cyberattaque chez un sous-traitant aéronautique toulousain d'Airbus

Le 28 octobre 2022, le groupe industriel aéronautique français Satys, sous-traitant d’Airbus, subissait une cyberattaque de grande envergure qui encryptait l’ensemble de son système informatique. Alors que l’entreprise basée à Blagnac (Haute-Garonne)  a mis trois mois à récupérer de cette intrusion, elle souhaite aujourd’hui témoigner afin que son expérience soit utile à d’autres.

Pauline Bandelier
Réservé aux abonnés
Un avion dans un atelier Satys
Un avion en train d'être peint dans un atelier Satys.

Le vendredi 28 octobre 2022, Franck Polster, directeur des services informatiques (DSI) de Satys à Blagnac (Haute-Garonne), se rend comme chaque matin au bureau vers 8 heures. Rapidement, le cadre de ce groupe aéronautique français reçoit des appels de ses collègues qui constatent que leurs fichiers ont désormais une extension ".dagon" qui les rendent inaccessibles. «Les première alertes sont arrivées pendant la nuit de nos bureaux de Portland dans l’Oregon. Nous nous sommes rapidement rendu compte que nous étions en train de subir une cyberattaque. La majorité des quelque 1300 ordinateurs et 130 serveurs de nos équipes étaient encryptés. Tout a été bloqué, d’un coup, avec une profondeur maximale» détaille le DSI. Dans la foulée, trois personnes du groupe, dont le directeur général de Satys Interiors,sont appelées par des pirates informatiques qui les incitent à aller consulter sur Internet la demande de rançon.

«lls nous ont également menacé de diffuser des données confidentielles en leur possession. La personne nous a appelés avec un numéro de portable français, lui-même usurpé, nous a appris plus tard la gendarmerie. On a vite compris que c’était une organisation très structurée» révèle le DSI. Une demande de rançon dont les équipes de Satys ne prendront volontairement jamais connaissance.

Une cyberattaque massive et coordonnée

Spécialisé dans le domaine de la peinture et de l’étanchéité des avions, le toulousain Satys compte quelque 2500 collaborateurs dans sa branche Aerospace. Les 700 autres employés des deux autres filiales travaillent dans la conception d’intérieur (Satys Interiors) pour les trains et cabines d’avion Satys cabins). Tous partagent un même système informatique. 

Si la production n’a pas été directement impactée, sans système informatique, plus possible d’éditer un dossier de fabrication, ou d'émettre un bon de livraison. Dans un premier temps, l’équipe informatique propose de réinitialiser les ordinateurs à l’état de sortie d’usine, pour permettre une communication par email entre salariés, clients et fournisseurs. «Les bons de livraison ont été rédigés sur des feuilles papiers. Pour les ordres de fabrication, les services administratifs ont fait des photocopies des précédents ordres pour la même pièce que nous avions à disposition dans nos dossiers. Et le suivi de production s’est fait de manière artisanale sur Excel» détaille Muriel Helye, directrice performance et innovation de l’entreprise. Du côté de la paie, des virements équivalents au mois précédent sont envoyés sous forme d’avance sans bulletin de salaire.

Comprendre l’attaque pour éviter sa propagation

Réunis en cellule de crise le lendemain de l'attaque, les services informatiques et le comité de direction décident d’éteindre l’ensemble des serveurs afin de faire un état des lieux et d’éviter la propagation. Le jour même, ils déposent plainte auprès de la gendarmerie nationale et contactent la CNIL ainsi que l’Anssi. Mais c’est surtout le service de réponse à incident qui va s’avérer d’une grande utilité.

«Le prestataire mandaté pour la réponse à incident a compris le mode opératoire des pirates à travers leur historique de connexion. Cela nous a permis de réagir de manière appropriée et de fermer préventivement d’autres portes d’entrées possibles» détaille Franck Polster. Un vrai «travail d’expert» selon le DSI, qui lui a fait gagner un temps précieux et qu’il est difficile d’internaliser, le prestataire possédant des outils pour analyser les connexions sur l’ensemble des systèmes.

L’entreprise française de cybersécurité a pu déterminer que l’attaque venait probablement d’un groupe de cybercriminels étrangers, en raison d’une manière d’opérer «très organisée et segmentée» et du choix des outils de chiffrement. «On sait notamment qu’ils ont utilisé un outil qui permet de récupérer les mots de passe de chaque système, même si ces derniers n’ont pas de relation entre eux, et qui est difficilement détectable par un antivirus».

Le prestataire identifie également la défaillance de sécurité qui a rendu l’attaque possible : un serveur avec une vulnérabilité du fait d’un défaut de mise à jour et qui était accessible depuis Internet. Selon le spécialiste de la cybersécurité offensive, les premières connexions au système informatique pourraient avoir eu lieu dès le 7 septembre sous forme de repérage grâce à un accès cassé. L’inventaire systématique aurait ensuite débuté à partir du 10 octobre. «Le prestataire de réponse à incident estime qu’une première équipe de pirates a cassé les accès et créé des listes qui ont été revendues à d’autres groupes criminels spécialisés dans le repérage et l’inventaire. C’est ensuite qu’est intervenue une troisième équipe qui a procédé à un chiffrement massif et systématique» détaille le DSI de Satys.  

La mise en place d’une cellule de crise

Pendant deux mois, une cellule de crise composée des membres du comité de direction et des responsables de site va se réunir deux fois par jour, puis quotidiennement le deuxième mois. Le service informatique lui se «met dans une bulle» pour se concentrer sur la restauration du réseau. Il fait aussi appel à un deuxième prestataire dans un rôle de chef de projet pour gérer les décisions et les besoins prioritaires déterminés par la cellule de crise. Le salut vient d’une copie de sauvegarde sur réseau qui, grâce à la déconnexion rapide de tous les systèmes, n’a pas été encryptée.

Pour éviter d’allumer les serveurs avec le risque que les données contenues sur ces derniers ne s’encryptent, le DSI trouve une société spécialisée dans la récupération de données, Ricovéo, qui travaille régulièrement avec la police française. Neuf jours après l’attaque, cette dernière récupère les données contenues dans quelques 26 disques durs, sans allumer aucune machine. «Dès le lendemain, j’ai remonté le système de gestion de l’entreprise, auquel j’étais le seul à avoir accès. J’ai redonné des accès au compte-goutte, en fonction des priorités fixées par chaque responsable de site. Au bout d'un mois, près de 200 utilisateurs avaient récupéré un accès partiel», précise le chef du service informatique, dont les équipes ont travaillé 7 jours sur 7 pendant plus d’un mois.

Dans le même temps, il faut prévenir les donneurs d’ordre, au premier rang desquels Airbus, dans les 48 heures qui suivent l’attaque. «Certains clients se sont mis en autoprotection en allant jusqu’à interdire les échanges par email jusqu’à ce qu’on soit en mesure de montrer qu’on avait éloigné le danger... Mais nous n’avons perdu aucun client», assure-t-il. Pendant que les services informatiques travaillent à rétablir les systèmes, les différents métiers s’organisent pour assurer un service minimum.

Le temps des enseignements

La reprise d’activité sera finalisée fin janvier avec la remise en route de l’ensemble des réseaux, des serveurs et des postes de travail. «Nous avons totalement ségrégué les réseaux, séparant ordinateurs bureautiques et industriels, serveurs, équipement réseaux et imprimantes», précise Franck Poster.

Avant la cyberattaque, Satys avait commencé à se mettre en conformité avec BoostAerospace, un programme d’audit et de certification en cybersécurité crée par Airbus, Dassault Aviation, Safran et Thales qui vise la conformité avec la norme ISO 27001. «Nous étions en train de construire notre feuille de route pour atteindre le niveau bronze du programme Air Cyber de Boost Aerospace. L’attaque a évidemment accéléré la mise à niveau, d’autant que nous sommes repartis de zéro, ce qui fait qu’il n’y avait pas à gérer d’interruption de service ou de dépendance entre les outils». Le DSI estime qu’en trois mois, la mise à niveau a été équivalente à celle qui aurait été atteinte en trois ans en pleine activité. Parmi les principales mesures, la généralisation de l’authentification multifacteurs à la totalité des utilisateurs, la sauvegarde obligatoire sur le cloud ou encore la chasse aux comptes multi-utilisateurs, encore d’usage dans les ateliers. Mais aussi la souscription d’un contrat avec un SOC (centre des opérations de sécurité), qui permet de détecter les vulnérabilités et d'appliquer les patchs correctifs.

Des solutions qui ont fait passer le budget cybersécurité entre 15 et 20% du budget informatique, contre moins de 5% avant. «La cyberattaque nous a coûté plusieurs millions d’euros. Et elle a épuisé les équipes. Il était donc clair pour nous que c’était la seule solution». Une mise en conformité qui lui aurait permis d’éviter la cyberattaque d’il y a deux ans ? Sans doute. Mais, nuance Muriel Helye, «il faut rester très humble car les cybers attaquants ont toujours une longueur d’avance». Pour continuer d’avancer Satys vise la certification argent en 2025.

À lire aussi

Les plus lus : L'instant Tech
  1. Chimie : Le lyonnais H&B Materials imperméabilise les textiles sans utiliser de PFAS
  2. «Cela équivaut à plusieurs années de consommation de gaz naturel en France» : la Française de l’énergie avance vers l’exploitation de l’hydrogène du sous-sol lorrain
  3. Surveillance minière, CO₂, hydrogène... Geolinks veut rendre le sous-sol visible en temps réel grâce aux ondes sismiques
  4. «Au départ nous allons produire des dizaines d’unités» : ses essais cliniques validés, la start-up caennaise Arterya passe à l’industrialisation de son appareil de localisation instantanée des artères
  5. Maladie à corps de Lewy, puis Parkinson ou Alzheimer : le Fonds Clinatec lance l’essai clinique d’un casque de photobiomodulation pour traiter les maladies neurodégénératives par la lumière
  6. Corrosion à haute température et électrolyseurs : l’IRT M2P investit 2,5 millions d’euros pour accompagner la R&D de ses partenaires industriels
Newsletter La Quotidienne
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Ils recrutent des talents
Chez Framatome, façonnons les réacteurs nucléaires de demain !

Un avenir énergétique 100% électrique et bas carbone ? Tout le monde en rêve, mais le défi est bien vaste ! Entreprise industrielle de la métallurgie, au service de la filière nucléaire, chez Framatome, chaque innovation, chaque calcul d’ingénierie, chaque soudure, contribue à cet objectif.

Le témoignage
Emploi industrie
Responsable d’Activité – Directrice / Directeur de projets Transport et Mobilité
ARTELIA - 24/06/2025 - CDD - Lyon
Ingénieur - Ingénieure responsable d'offres de Maitrise d'Oeuvre
ARTELIA - 31/03/2025 - CDI - Choisy-le-Roi
Tous les postes disponibles
Les webinars
Tout voir
Talk de la rédaction - L'USINE NOUVELLE x GLOBAL INDUSTRIE : RADARS 2026 : CE QUI VA REVOLUTIONNER L'INDUSTRIE
19 mars 2026 - 08h00
240 min
12 inscrit(s)
Contenu proposé par Usine Nouvelle
S’inscrire au webinar
Talk de la rédaction Chimie - Comment concilier décarbonation et performance industrielle ?
11 mars 2026 - 08h30
180 min
11 inscrit(s)
Contenu proposé par Usine Nouvelle
S’inscrire au webinar
Transition écologique
Continuité de production et décarbonation : comment EDF sécurise les deux impératifs avec Aggreko
18 février 2026 - 10h00
45 min
143 inscrit(s)
Contenu proposé par Aggreko
S’inscrire au webinar
Les services L'Usine Nouvelle
Détectez vos opportunités d’affaires
78 - Montigny-le-Bretonneux
Location et entretien d'équipements de protection individuelle - vêtements de travail
Date de réponse 16/03/2026
+ 10 000 avis par jour
Tout voir
Proposé par
Service Marchés Online
Trouvez des produits et des fournisseurs
Publiscopies : aéronautique
Les cabines de peinture les plus économiques à l’exploitation
EUROPA
+ 240 000 produits
Tout voir
Proposé par
Service L'expo permanente