Le secteur aéronautique et toute la chaîne d'approvisionnement économique associée sont les cibles premières des APT state-sponsored qui frappent la propriété intellectuelle industrielle, et des supply-chain attacks qui entrent via e-mail et via les interconnexions cloud avec les fournisseurs et partenaires. Secteur étendu : OEMs, primes, sous-traitance, MRO, espace commercial, R&D — toute l'économie aéronautique européenne.
Le secteur aéronautique n'est pas "manufacturier comme les autres" : l'adversaire est structuré comme un État-nation, la chaîne d'approvisionnement compte 4-5 niveaux de profondeur avec interconnexions e-mail et cloud quotidiennes, et la PI industrielle a une valeur pluriannuelle. Trois facteurs qui changent radicalement la défense cyber requise.
Nous suivons APT28, APT41, Lazarus, MuddyWater actifs contre la chaîne d'approvisionnement aéronautique européenne : espionnage industriel, vol d'IP, modèles CAD, code avionique, R&D dual-use. Détection mappée MITRE ATT&CK.
Le BEC (Business Email Compromise) sur des comptes fournisseurs compromis est le vecteur le plus exploité : factures de substitution, ordres de paiement manipulés, payloads signés par des partenaires de confiance. Détection IA d'anomalies linguistiques et de schémas.
Les interconnexions cloud sont le nouveau vecteur : OAuth consent phishing, tenant-to-tenant trust abuse, API key compromise, federation attack sur SSO partagé, injection dans les pipelines CI/CD fédérés. Surveillance cross-tenant avec UEBA.
Fortgale suit activement ces groupes sur la base d'incidents documentés contre la chaîne d'approvisionnement aéronautique européenne au cours des 24 derniers mois. Les TTP sont intégrées aux règles de détection, les IOC alimentent le SOC.
Espionnage industriel. Spear phishing sur le personnel technique R&D, exploitation de 0-days Exchange et VPN. Cible historique de la chaîne aéronautique européenne.
Espionnage industriel à long terme. Vol d'IP aéronautique, modifications persistantes des build servers, accès pluriannuel. Aéronautique civile et technologies dual-use.
Espionnage industriel + finance. Job-offer impersonation via LinkedIn contre les ingénieurs aéronautiques, attaque supply chain sur les outils développeurs et CI/CD.
Phishing massif à faible coût, credential harvesting, persistance via PowerShell. Pivot vers les partenaires supply chain régionaux.
78 % des attaques contre le secteur aéronautique en 2025 n'entrent pas par le périmètre direct de la victime, mais par un maillon de la chaîne d'approvisionnement : un fournisseur, un partenaire, une interconnexion automatisée. Les relations de confiance e-mail et cloud sont les deux vecteurs dominants.
L'attaquant ne spoofe pas le fournisseur — il compromet le compte e-mail réel du fournisseur et envoie de là des communications légitimes. Schémas observés : factures de substitution avec IBAN modifié, ordres de paiement d'un CFO usurpé, mises à jour firmware ou documents techniques avec payloads signés. Détection Fortgale : IA d'anomalies linguistiques, baseline comportementale des schémas de paiement, lookahead authentifié sur les domaines lookalike, corrélation SOC e-mail-événements réseau.
Les chaînes aéronautiques partagent quotidiennement des environnements cloud : tenants Microsoft 365 fédérés entre OEMs et sous-traitants, OAuth consent phishing sur les comptes R&D, API key compromise sur intégrations ERP/CRM/PLM/MES, federation attack sur SSO partagé, injection dans les pipelines CI/CD fédérés (ex. GitHub Actions avec secrets partenaires). Détection Fortgale : UEBA cross-tenant, surveillance des OAuth consent grants inhabituels, audit continu des comptes invités Entra ID, MITRE ATT&CK T1199 et T1078.004.
L'économie aéronautique européenne regroupe des milliers d'entreprises du secteur pur — OEMs, primes, sous-traitants, MRO, espace commercial — avec plus de 70 % à l'export. En incluant l'activité induite (logistique spécialisée, certification, R&D), la base industrielle dépasse les dizaines de milliers d'entreprises. C'est la base que les APT state-sponsored ciblent — et que NIS2 classe comme essentielle pour le secteur spatial.
Fédérations aéronautiques européennes : OEMs, primes, sous-traitants mécaniques et électroniques, logiciel embarqué, MRO. ~92 % sont des PME de moins de 250 employés — le segment le plus exposé et le moins défendu de la chaîne.
Croissance year-over-year des attaques documentées contre des cibles aéronautiques européennes. 67 % attribuées à des groupes state-sponsored, APT28 et APT41 les plus récurrents.
Estimation ENISA de la part des incidents dans le secteur aéronautique qui entrent via supply chain (e-mail BEC, federation cloud, partenaires compromis) plutôt que par le périmètre direct. Time-to-detection moyen : 287 jours.
La plupart des incidents graves du secteur spatial signalés aux CSIRT nationaux l'année dernière impliquaient la compromission d'identifiants R&D ou l'accès aux build servers et dépôts CAD.
Mapping MITRE ATT&CK des techniques que Fortgale a observées dans des incidents réels et advisories d'intelligence contre des cibles aéronautiques européennes. Détections écrites et validées sur les SOC des clients, pas de la théorie.
Documents Office macro signés avec certificats valides (volés à des partenaires). Thèmes récurrents : "Mise à jour certification AS9100", "Notification fournisseur Tier-1", "Audit qualité OEM". Cibles : ingénieurs R&D, directeurs achats, security managers.
Comptes e-mail réels de fournisseurs compromis utilisés pour envoyer factures de substitution avec IBAN modifié, ordres de paiement, documents techniques avec payloads. Persistance moyenne de l'accès avant détection : 23 jours.
Exploitation de VPN SSL legacy non patchés (Pulse Secure, Fortinet FortiOS, Citrix NetScaler) comme accès initial. Temps moyen observé entre CVE publique et exploitation contre cibles aéronautiques européennes : 9 jours.
Identifiants Microsoft 365 du personnel R&D acquis via logs infostealer (RedLine, Lumma, Vidar) et revendus sur des forums underground. Bypass MFA via session token hijack ou token reissue.
Compromission d'intégrateurs systèmes ou de sous-traitants logiciels avec VPN site-to-site vers les systèmes du prime contractor. Persistance moyenne observée avant détection : 187 jours.
Tromperie des utilisateurs R&D pour qu'ils accordent un consentement OAuth à des apps malveillantes avec permissions Mail.Read, Files.Read.All, offline_access. Persistance via refresh tokens, survit au reset mot de passe.
Constructeurs principaux : cellules, moteurs, avionique, satellites commerciaux, systèmes de propulsion. Périmètres multi-sites avec build servers et dépôts CAD partagés.
Composants mécaniques et électroniques, logiciel embarqué, certification qualité (AS9100, EN 9100). PME aux périmètres IT/OT mixtes — le maillon le plus exposé de la chaîne.
Opérateurs satellitaires civils, segment sol, payloads commerciaux, Earth Observation, télécommunications satellitaires, lanceurs commerciaux. Entités essentielles NIS2.
Maintenance, réparation, révision : environnements mixtes IT/OT avec outils propriétaires, accès diagnostic aircraft connectés, ERP de certification airworthiness.
Chaînes d'approvisionnement aéronautiques : transport spécialisé, entreposage en salle blanche, traçabilité des lots, certifications qualité de filière.
Universités, consortiums, laboratoires R&D civils avec accès aux programmes nationaux et européens (Horizon Europe, ESA). Cibles récurrentes pour le vol d'IP pré-brevet.
180+ acteurs profilés, focus sur les APT state-sponsored et les access brokers actifs dans la chaîne aéronautique. Rapports et advisories verticaux.
Découvrir CTI →Détection mappée MITRE ATT&CK, containment médian ~11 min. Étendu aux sous-traitants critiques via SOC partagé.
Découvrir MDR →Pillar fabrication critique. Solutions pour machines industrielles, lignes de production et environnements MRO.
Découvrir →NIS2 inclut le secteur spatial parmi les entités essentielles et la fabrication critique (qui couvre une grande partie de la chaîne d'approvisionnement aéronautique) parmi les entités importantes. S'y ajoutent les exigences contractuelles des OEM et primes (ex. ISO/IEC 27001, NIST CSF, IEC 62443 pour l'OT), les normes ECSS pour les missions spatiales commerciales, et le RGPD pour les données personnelles. Fortgale produit une matrice unique de mapping.
Trois raisons : (1) propriété intellectuelle de très haute valeur (conceptions, brevets, code avionique, modèles CAD, données R&D dual-use) ; (2) accès à une chaîne d'approvisionnement stratifiée avec des centaines de sous-traitants interconnectés ; (3) capacité de pivoter vers des fournisseurs moins défendus pour atteindre les grands OEM. Groupes documentés : APT28 (Russie), APT41 (Chine), Lazarus (Corée du Nord), MuddyWater (Iran).
Les attaques supply chain par e-mail sont le vecteur le plus exploité : Business Email Compromise (BEC) avec un compte fournisseur réel compromis, factures de substitution, ordres de paiement manipulés, payloads signés par des partenaires de confiance. Quatre mesures : (1) application DMARC/DKIM/SPF ; (2) détection IA des anomalies linguistiques et des schémas de paiement ; (3) lookahead authentifié sur les domaines lookalike ; (4) MDR avec SOC corrélant les anomalies e-mail aux événements réseau.
Les interconnexions cloud sont le nouveau vecteur d'attaque supply chain : (1) OAuth consent phishing sur les tenants Microsoft 365 des fournisseurs ; (2) tenant-to-tenant trust abuse via les comptes invités Entra ID ; (3) API key compromise sur les intégrations SaaS (ERP, CRM, PLM, MES) ; (4) federation attack sur SSO partagé ; (5) injection dans les pipelines CI/CD fédérés. Fortgale surveille les accès cross-tenant avec UEBA et détection mappée MITRE ATT&CK (T1199, T1078.004, T1528).
Oui. Le secteur spatial est explicitement inclus parmi les entités essentielles NIS2. Beaucoup d'entreprises aéronautiques européennes relèvent également de la classification fabrication critique (importante). Lorsque plusieurs qualifications coexistent, le seuil le plus strict prévaut. Fortgale soutient l'auto-évaluation NIS2 et le mapping des contrôles.
Lorsque la cible est la chaîne d'approvisionnement aéronautique européenne, l'attaquant est structuré, financé et patient — et entre souvent par un maillon faible de la chaîne, pas par votre périmètre direct. Demandez un threat briefing sur les groupes APT actifs contre votre secteur et sur les schémas de supply-chain attacks observés via e-mail et cloud.
Aucune séquence de nurturing, aucune réponse automatique. Un de nos analystes vous rappelle sous un jour ouvré.
Le Report complet (executive summary · IoC opérationnels · runbook technique) est confidentiel. Envoyez-nous deux informations et un de nos analystes vous recontacte avec l'accès et un bref briefing technique.
Réponse en 30 minutes, confinement en 1 à 4 heures. Même si vous n'êtes pas client Fortgale.
