+60 annulations recensées sur un week-end et des files interminables dans plusieurs hubs européens : le transport aérien vient de subir un stress test grandeur nature. Touché au cœur de sa chaîne opérationnelle, le logiciel MUSE de Collins Aerospace a été la porte d’entrée d’une perturbation massive, révélant le coût réel d’une dépendance logicielle devenue systémique.

Chronologie et périmètre technique de l’incident

Les premiers dysfonctionnements ont été observés vendredi 19 septembre 2025 en soirée. Rapidement, le nom de MUSE s’est imposé comme le point de défaillance commun. Cet outil, déployé dans de nombreux aéroports et escales, est central pour l’enregistrement des passagers et la gestion des bagages. Sa panne a précipité un basculement vers des procédures manuelles, ralentissant la quasi-totalité des opérations au sol affectées.

Le samedi 20 septembre, Collins Aerospace, filiale de RTX Corporation, reconnaît des activités malveillantes. L’éditeur indique travailler avec les autorités compétentes pour rétablir les services.

Le dimanche 21 septembre, il précise que ses équipes sont mobilisées 24 heures sur 24 et qu’un retour à la normale est attendu dans les prochaines heures. À ce stade, l’attribution formelle de l’attaque demeure en cours d’investigation.

Collins Aerospace : confirmation et rétablissement

L’entreprise a confirmé l’attaque et activé des plans de résilience. Elle a communiqué sur une sécurisation progressive de l’environnement MUSE. Le message clé reste constant : les systèmes critiques de navigation et la sécurité des vols n’ont pas été compromis, mais les services au sol ont été gravement ralentis.

Bruxelles, Londres et Berlin : foyers de perturbation identifiés

Dès les premières heures, plusieurs plateformes majeures ont signalé des impacts lourds : Bruxelles Airport, Heathrow à Londres et Berlin-Brandebourg ont fait état de retards étendus et d’annulations. À Bruxelles, l’exploitant a demandé de réduire de moitié les départs prévus pour le lundi 22 septembre, faute de rétablissement complet du logiciel.

Heathrow a appelé les passagers à anticiper leur arrivée de plusieurs heures et à vérifier le statut de leur vol. Berlin a mis en garde contre des temps d’attente prolongés, sans annulations massives au début.

Dans une escale, un DCS centralise des fonctions critiques : enregistrement, attribution des sièges, émission des cartes d’embarquement, étiquetage des bagages, transfert des listes passagers vers les compagnies et les autorités. Une panne MUSE ne touche pas la navigation, mais coupe la chaîne d’enregistrement et de traitement bagages. Conséquence immédiate : bascule en manuel, flux dégradés, retards qui se multiplient et effets d’entraînement sur les correspondances.

Opérations au sol dégradées : impacts chiffrés et gestion de crise

Le week-end a été marqué par un retour massif aux procédures manuelles. Les terminaux ont vu s’allonger les files d’attente, parfois pendant plusieurs heures.

Entre Bruxelles, Londres et Berlin, plus de 60 départs et autant d’arrivées ont été annulés selon des données de Cirium relayées dans la presse spécialisée. En Irlande, Dublin et Cork ont également été touchés, Dublin parvenant à un redémarrage partiel dès le dimanche 21 septembre, avant une normalisation plus poussée le lendemain.

Pour les exploitants, la priorité s’est déplacée vers la sécurité des flux et la reprogrammation des départs, tout en ménageant des créneaux pour absorber les passagers bloqués. Les compagnies, elles, ont fait face à un triptyque délicat : rebooking sur les vols disponibles, compensation lorsque nécessaire et assistance sur site.

Bruxelles Airport : réduction de moitié des départs le 22 septembre

Dans un communiqué du 21 septembre, Bruxelles a demandé aux compagnies de diviser par deux le nombre de départs prévus pour le lundi 22 septembre, un signal clair que le rétablissement complet n’était pas acquis. La mesure a contribué à stabiliser les opérations, au prix de suppressions supplémentaires.

Heathrow et Berlin-Brandebourg : consignes voyageurs et maîtrise des files

Heathrow, premier hub du Royaume-Uni, a multiplié les alertes aux passagers, préconisant d’arriver tôt et de vérifier registres et applications. À Berlin-Brandebourg, la consigne a porté sur l’anticipation et la patience, l’aéroport privilégiant la continuité opérationnelle plutôt qu’une vague d’annulations préventives.

Irlande : Dublin et Cork, retour partiel dès le dimanche

En Irlande, Dublin Airport a communiqué sur un redémarrage partiel dès le dimanche 21 septembre. Cork est également revenu progressivement à des niveaux de service plus normaux. La situation a néanmoins varié d’une compagnie à l’autre, selon leur exposition au périmètre MUSE et leur habileté à basculer en manuel.

Chiffres clés à retenir pour ce week-end de perturbations

Les volumes consolidés restent parcellaires, mais quelques ordres de grandeur ressortent :

  • Plus de 60 départs annulés, et un volume similaire d’arrivées, cumulés sur Bruxelles, Londres Heathrow et Berlin au cours du week-end.
  • À Bruxelles, environ 5 000 passagers impactés d’après des estimations médiatiques locales.
  • Le logiciel MUSE identifié comme vecteur commun aux perturbations.

Source indicative pour les annulations et l’ampleur à Bruxelles, via la presse spécialisée et les médias belges (source: L’Alsace, 20 septembre 2025).

Fragilité structurelle de la chaîne aérienne face aux cybermenaces

Au-delà des retards et des queues, l’incident met à nu un angle mort de la chaîne de valeur : une dépendance accrue à des logiciels tiers qui concentrent des fonctions de base. Lorsque l’un d’eux tombe, l’écosystème complet subit un effet domino. Pour les exploitants et les compagnies, le sujet n’est plus uniquement technique. Il devient contractuel, financier et, de plus en plus, réglementaire.

Le secteur, par nature très numérisé, jongle avec des interfaces multiples : systèmes des compagnies, infrastructures aéroportuaires, gestion des bagages, contrôle aux frontières, applications de sûreté. La complexité est telle qu’une remise en service ne se limite pas à redémarrer un serveur. Chaque flux doit être revérifié pour éviter des incohérences de listes passagers, d’étiquettes bagage ou de correspondances.

Dépendance aux logiciels tiers et effets domino

Les plateformes DCS externalisées apportent des économies d’échelle et une harmonisation des process. En contrepartie, elles créent des points de défaillance uniques.

L’incident MUSE rappelle que la mise en redondance, le cloisonnement et les plans de débrayage manuel doivent être conçus en pensant l’extrême, pas la moyenne. La résilience passe aussi par des accords contractuels imposant des tests réguliers et des métriques de reprise réellement vérifiées, non déclaratives.

Les systèmes de navigation et de contrôle de vol sont hautement redondés et soumis à des exigences de certification spécifiques. Les systèmes au sol, dont les DCS, fonctionnent dans un cadre plus ouvert, interconnecté avec un grand nombre d’acteurs.

Un incident au sol provoque un chaos logistique mais ne compromet pas, par nature, l’intégrité des systèmes de vol. Cette distinction explique pourquoi l’impact se traduit par des retards, pas par un risque de sécurité aérienne.

Procédures manuelles, sûreté et La RGPD : ce que cela implique

Le retour au manuel ne se résume pas à « travailler plus lentement ». Il entraîne :

  • Risques d’erreur sur l’identification, l’affectation des sièges et l’étiquetage bagages.
  • Traçabilité dégradée en cas de contrôle ou d’audit, notamment si des justificatifs papier sont multipliés.
  • Exposition accrue à une mauvaise manipulation de données personnelles si des fiches papier ou des feuilles de calcul ad hoc sont utilisées.

Si des données personnelles étaient compromises, le régime de notification applicable au titre de la protection des données impliquerait des délais encadrés. L’incident en cours ne documente pas de violation de données, mais la bascule manuelle doit rester strictement gouvernée.

Angle financier, assurantiel et conformité en France et dans l’UE

La facture se lit en heures de travail additionnelles, en vols annulés et en réputation mise à l’épreuve. Des sources gouvernementales européennes estiment des pertes de plusieurs millions d’euros pour les compagnies et les aéroports affectés, sans consolidation immédiate. Pour les directions financières, l’épisode pose trois questions : coûts, assurances, conformité.

Coûts opérationnels et couverture assurantielle

Les polices d’assurance cyber couvrent rarement l’ensemble des préjudices liés à une indisponibilité de prestataire tiers, surtout lorsque les clauses d’exclusion ou les plafonds par sinistre s’enclenchent. Le dialogue assureur-assuré se concentrera sur l’analyse de l’origine de l’incident, la durée d’indisponibilité, l’étendue géographique et le statut exact du prestataire. Les pénalités contractuelles liées à la non-prestation ou à la chute de niveaux de service peuvent, de leur côté, reposer sur le prestataire de logiciel selon la rédaction des SLA et les limites de responsabilité.

NIS2, ANSSI et obligations de notification

La vague de réformes en cours en Europe fait évoluer la ligne de crête pour les aéroports, compagnies et fournisseurs tiers. Les entités essentielles doivent procéder à des notifications d’incident rapides et documentées.

En France, l’ANSSI promeut une approche par le risque, des audits réguliers et une élévation des exigences de résilience pour les infrastructures dites critiques. Le ministère des Transports a rappelé l’impératif de coopération internationale, y compris sur la chaîne d’approvisionnement logicielle.

Thales : coopération et marché de la cybersécurité

Thales avait déjà sonné l’alarme en 2025 sur une hausse prononcée des attaques visant l’aviation, recensant 27 incidents majeurs entre janvier 2024 et avril 2025. Le groupe fait partie des partenaires mobilisés pour soutenir l’analyse et la remédiation, aux côtés de Collins Aerospace. Au-delà de l’urgence opérationnelle, l’épisode confirme une accélération des investissements en cybersécurité dans l’aviation européenne, tant pour la détection en temps réel que pour la segmentation et les plans de continuité.

  1. Notification précoce aux autorités compétentes sur incident majeur, typiquement sous 24 heures avec des informations initiales.
  2. Rapport technique complété ensuite, détaillant cause probable, périmètre, mesures de mitigation, enseignements.
  3. Gouvernance : responsabilités claires, revue des sous-traitants essentiels, formalisation des tests de reprise et scénarios d’exercice.

Objectif central : prouver la maîtrise du risque et la capacité à restaurer les services dans un délai compatible avec l’activité.

Tendances 2024-2025 et signaux pour l’investissement

L’incident arrive sur un terrain déjà fragilisé. L’ENISA signale une hausse de 40 % des incidents critiques en Europe en 2024, l’aviation figurant parmi les secteurs les plus visés.

En France, Cybermalveillance.gouv.fr observe une montée des ransomwares et des campagnes de phishing sur les segments critiques. La mécanique est désormais connue : les attaquants ciblent les fournisseurs à forte capillarité, espérant maximiser l’impact avec un seul point d’entrée.

Sur la couche géopolitique, le ministère de l’Europe et des Affaires étrangères a attribué, le 29 avril 2025, des cyberattaques contre la France au groupe APT28, lié au renseignement militaire russe, indépendamment de l’événement présent pour lequel l’attribution reste ouverte. Le signal à retenir n’est pas la seule attribution, mais la professionnalisation des attaques et leur recherche de levier systémique.

Statistiques européennes et cas France

Les données publiées en 2024-2025 tracent une pente ascendante. Le rapport d’activité de Cybermalveillance.gouv.fr 2024 pointe les secteurs des transports comme fortement ciblés. En parallèle, les acteurs industriels ont noté une progression spectaculaire des attaques contre l’aviation sur 15 mois, avec une démultiplication des cas et une sophistication accrue.

IA de défense et besoins CAPEX cyber

La prochaine vague d’investissement concernera les technologies capables d’apprendre les comportements anormaux en continu, de corréler des indices faibles et de limiter l’effet de surprise. À court terme, l’enjeu est d’intégrer ces capacités dans des architectures zéro confiance et dans des centres opérationnels de sécurité déjà sous tension. La priorité porte aussi sur des tests de panne en conditions réelles pour mesurer la robustesse des procédures manuelles et des retours au nominal.

Repères chiffrés utiles aux directions

  • 40 % d’augmentation des incidents critiques en Europe en 2024 sur les secteurs sensibles, aviation incluse.
  • 27 incidents majeurs recensés sur l’aviation entre janvier 2024 et avril 2025.
  • 4,5 millions de dollars : coût moyen d’une cyberattaque dans l’aviation selon une estimation publiée en 2025.

Pour la France, le rapport 2024 de Cybermalveillance.gouv.fr confirme l’essor des attaques sur les secteurs transports (source: Cybermalveillance.gouv.fr, 27 mars 2025).

Ce que les entreprises françaises doivent retenir

Pour les directions générales et comités d’audit, trois axes se dégagent. D’abord, la gouvernance : la continuité d’activité ne peut pas reposer uniquement sur des plans papier.

Il faut des exercices réguliers et des métriques opposables sur la reprise. Ensuite, la chaîne d’approvisionnement : la relecture des contrats avec les prestataires clés doit adresser la sécurité par conception, les garanties de redondance, les audits indépendants et des plafonds de responsabilité alignés avec l’exposition réelle. Enfin, la communication financière : la matérialité cyber devient un sujet d’information pour les investisseurs, au croisement de l’ESG, de la conformité et du risque opérationnel.

Sur le volet public-privé, le renforcement des liens entre entreprises et autorités est devenu un facteur de vitesse de rétablissement. Les retours d’expérience doivent alimenter des référentiels communs, avec un focus sur le partage de signaux précoces et la gestion des dépendances logicielles. Les coopérations industrielles annoncées, incluant des acteurs comme Thales, confirment une dynamique européenne en recherche de solutions intégrées.

ANSSI : doctrine de résilience et durcissement

L’ANSSI promeut un corpus de recommandations compatible avec les réalités terrain : segmentation, gestion des accès, durcissement des configurations, surveillance continue, tests de pénétration, sauvegardes isolées et procédures de bascule testées. Sur un incident comme MUSE, ces principes trouvent une traduction très concrète : isoler, diagnostiquer, restaurer, puis auditer et corriger.

Attribution étatique : enseignements d’APT28 pour la France

Le rappel par le ministère de l’Europe et des Affaires étrangères d’attaques attribuées à APT28 en avril 2025 éclaire la pression persistante sur les actifs français et européens. Sans tirer de conclusion sur l’événement présent, l’enseignement pour les entreprises est clair : l’hypothèse d’acteurs étatiques est structurante pour dimensionner la défense, négocier l’assurance et définir les seuils d’alerte.

  • SLA chiffrés et pénalités graduées en fonction de la durée de l’indisponibilité.
  • Plans de continuité et de reprise audités, avec preuves de tests trimestriels.
  • Journaux et preuves d’investigation partageables rapidement en cas d’incident majeur.
  • Capacité de bascule vers une solution alternative ou un mode dégradé prédéfini.

Ces éléments changent de statut après l’incident : ils deviennent des conditions essentielles pour la signature et le renouvellement des contrats.

Après le week-end noir, feuille de route immédiate

La priorité à court terme est double : sécuriser MUSE et cartographier précisément les dépendances susceptibles de devenir des angles morts. À moyen terme, l’équilibre à trouver passe par une stratégie de résilience fondée sur la redondance, des exercices concrets de bascule et l’élévation des exigences contractuelles auprès des prestataires critiques.

Les chiffres publiés par les agences et industriels montrent que la pression va durer. Les plateformes européennes sont donc incitées à accélérer leurs investissements dans la détection et la réponse, et à décloisonner les échanges d’information à l’échelle sectorielle.

L’épisode rappelle une évidence trop souvent différée : la sécurité numérique est devenue aussi déterminante que la sécurité physique pour la continuité du transport aérien. L’Europe dispose d’acteurs industriels et institutionnels capables de hausser le niveau. Reste à transformer l’essai en contractualisant cette exigence dans toute la chaîne.

Le véritable test ne sera pas la remise en route après crise, mais la capacité du secteur à ne plus dépendre d’un seul maillon pour faire tenir tout un aéroport.