La violation des données de Qantas met en danger six millions de profils clients
Début juillet 2025, Qantas a confirmé avoir été victime d’une violation de données majeure ayant compromis les données à caractère personnel de près de six millions de clients. Les données concernées incluaient les noms, numéros de téléphone, adresses e-mail, dates de naissance et numéros de fidélité. Heureusement, aucune donnée financière ou relative aux passeports n’était stockée sur le système compromis.
Ce qui rend cette violation particulièrement notable, au-delà de son ampleur, c'est l'endroit où elle s'est produite : une plateforme de service client tierce utilisée par le centre de contact de la compagnie aérienne. Ce n’est pas un cas isolé, mais bien le reflet d’un phénomène plus large qui montre à quel point même les entreprises les plus établies et les mieux dotées en ressources peuvent se révéler vulnérables face aux cybermenaces.
Cette violation s’inscrit dans une tendance inquiétante. Plus tôt en 2025, AustralianSuper et Nine Media ont également subi d’importantes violations de données. Et selon le Bureau du Commissaire à l'information d’Australie (OAIC), l’année 2024 a été la pire année jamais enregistrée en matière de violations de données depuis la mise en place du système de déclaration obligatoire en 2018.
L’OAIC a signalé que ces menaces s'intensifient, non seulement sous l’impulsion de pirates informatiques isolés, mais surtout par des réseaux cybercriminels transfrontaliers de plus en plus sophistiqués et bien financés. L'un de ces groupes, « Scattered Spider », a notamment été impliqué dans plusieurs attaques récentes visant de grandes compagnies aériennes et des enseignes majeures, en Amérique du Nord comme au Royaume-Uni.
Ce que les chefs d’entreprise doivent retenir de la violation de données subie par Qantas
Ce à quoi nous assistons n'est pas seulement une série d’incidents malheureux. Il s’agit d’un problème systémique, profondément enraciné dans le fonctionnement de l’économie numérique. Voici les principales leçons à tirer de cet incident :
1. Les risques liés aux prestataires tiers sont des risques commerciaux
Les systèmes internes de Qantas n’ont pas été directement compromis. La faille provenait d’une plateforme tierce chargée des opérations de service client.
Trop souvent, les entreprises concentrent leurs investissements en cybersécurité interne, sécurisant leur propre infrastructure tout en supposant que leurs fournisseurs et plateformes externes répondent aux mêmes standards. En réalité, la chaîne d’approvisionnement est souvent le maillon faible.
Il convient désormais de considérer les prestataires et plateformes externes comme des extensions directes de votre entreprise. Appliquez une diligence raisonnable régulière, exigez la transparence et établissez des exigences contractuelles en matière de cybersécurité et de réponse aux violations. Vos risques ne s'arrêtent pas là où s'arrêtent vos serveurs. Certaines entreprises choisissent même de développer leurs propres logiciels ou plateformes en interne afin de garantir le respect total de leurs politiques internes et de maintenir un contrôle plus strict sur la sécurité. Cependant, cela suppose un budget conséquent et de l'accès à des développeurs qualifiés.
2. Les données « non financières » ont toujours une grande valeur
Même si aucun numéro de carte de crédit ni aucune information relative aux passeports n'ont été divulgués, les données consultées comprenaient des adresses e-mail, des numéros de téléphone et des dates de naissance. Ces informations peuvent toujours être utilisées à des fins d'escroquerie ciblée, de phishing ou d'ingénierie sociale.
Dans le contexte actuel de cybercriminalité, même les données qui paraissent peu sensibles peuvent être utilisées pour usurper une identité, accéder à d’autres comptes ou mener des attaques plus élaborées.
Il convient de repenser la manière dont vous qualifiez les données à caractère personnel. Toutes les données relatives aux clients doivent être considérées comme sensibles. Il faut limiter la collecte de données, crypter les données stockées, et évaluer régulièrement celles qui peuvent être supprimées en toute sécurité.
3. La cybersécurité est désormais une question de continuité d’activité
Qantas a indiqué qu'il n'y avait eu aucune perturbation des vols ou des opérations aériennes et que les comptes des voyageurs fréquents restaient sécurisés. Mais si le système compromis avait été plus profondément intégré aux infrastructures critiques, les conséquences auraient pu être bien plus graves.
Les répercussions dépassent les simples désagréments pour les clients ou les retombées en termes d’image. Une violation majeure peut compromettre vos capacités opérationnelles, entraîner des contrôles réglementaires, déclencher des réclamations d’assurance, voire engager la responsabilité des dirigeants au titre de la législation australienne sur la protection de la vie privée.
La cybersécurité doit être considérée comme une fonction stratégique essentielle à votre activité. Les plans d’intervention en cas d’incident doivent être intégrés dans tous les services, et non pas laissés à la seule charge des équipes informatiques. Des exercices de simulation et entrainements réguliers doivent préparer les équipes dirigeantes aux scénarios critiques.
4. La transparence et la rapidité de réaction sont essentielles
Qantas a réagi rapidement pour contenir la violation, a notifié les autorités compétentes, et à mis en place d’une ligne d’assistance dédiée à ses clients. A l’heure actuelle, cette réactivité est non seulement attendue, mais elle est également une obligation légale.
En vertu du système australien de notification des violations de données (NDB), les entreprises doivent informer l’OAIC et les personnes concernées lorsqu’une violation est susceptible de causer un préjudice grave. Une réaction lente ou floue peut nuire à la confiance bien plus que la violation elle-même.
Élaborez votre plan d'action en matière de notification des violations avant d'en avoir besoin.
Qui prend la décision ? Comment vérifiez-vous les faits avant de les rendre publics ? Qui s'exprime au nom de l'entreprise ?
Ce sont là des questions auxquelles il faut répondre bien avant que la violation ne fasse la une des médias.
5. La cybersécurité est désormais une question de réputation
Les compagnies aériennes figurent parmi les marques les plus fiables au monde, non seulement pour leurs services, mais aussi pour la quantité colossale de données à caractère personnel qu’elles détiennent. Qantas, emblème national, se retrouve désormais dans la liste croissante des grandes entreprises qui doivent rassurer le public sur la sécurité de leurs données.
Les conséquences réputationnelles d’une violation de données peuvent perdurer bien après la résolution technique de l’incident. Dans des secteurs tels que l’aviation, la finance ou la santé, une perte de confiance peut mettre des années à être rétablie.
Être perçue comme une entreprise qui prend la sécurité des données au sérieux devient un véritable avantage concurrentiel, surtout à une époque où la confiance est au cœur de la fidélité des clients.
La violation de données subie par Qantas souligne un changement de paradigme dans la manière dont les entreprises australiennes doivent envisager la cybersécurité. Il ne s’agit plus simplement de mettre à jour ses systèmes ou de former ses équipes. Il faut intégrer la cyberrésilience dans l’ADN de votre entreprise, de la gestion des prestataires à la stratégie de la direction.
Les régulateurs aussi intensifient leur surveillance. Avec les réformes sur la protection de la vie privée toujours à l’ordre du jour au niveau national et la sensibilisation accrue du public aux droits en matière de données, les entreprises devront relever leurs standards… ou en assumer les conséquences.
Comment Gerrish Legal peut vous aider?
Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.
Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.
Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations.
Article de Marina Danielyan, Paralegal de Gerrish Legal, et de Nathalie Pouderoux, Consultante pour Gerrish Legal