Conflit Moyen-Orient : derrière la crise aérienne, un risque cyber pour le tourisme [ABO]

Le 28 février 2026, les États-Unis et Israël lancent une offensive conjointe contre l’Iran.

En quelques heures, Téhéran riposte par des tirs de missiles et de drones visant Israël et plusieurs installations militaires américaines dans la région. Le Moyen-Orient bascule dans un conflit ouvert.

Pour l’industrie du tourisme, les conséquences sont immédiates et massives.

Plus de 27 000 vols annulés dans le monde en quelques jours. Au moins huit pays ferment leur espace aérien, dont l’Iran, Israël, l’Irak, la Jordanie, le Qatar, Bahreïn, le Koweït et les Émirats arabes unis.

Dubaï, le plus grand aéroport mondial en trafic international, est directement touché par des frappes de représailles iraniennes et doit être évacué. Des centaines de milliers de voyageurs se retrouvent bloqués, certains aussi loin que l’Australie, le Brésil ou les Maldives.

Les médias couvrent abondamment cette crise aérienne, et c’est normal. Mais en se concentrant exclusivement sur les vols annulés et les files d’attente dans les aéroports, on passe à côté d’une menace beaucoup plus discrète et potentiellement beaucoup plus dangereuse pour le secteur : la menace cyber.

Lire aussi : Faux sites de réservation : la menace fantôme qui s'attaque à vos clients

Pour comprendre l’ampleur du problème, il faut d’abord mesurer ce que représente le Moyen-Orient pour le transport aérien mondial.

Les hubs de Dubaï, Doha et Abu Dhabi constituent le carrefour principal des flux entre l’Europe, l’Asie et l’Océanie. Or l’espace aérien russe et ukrainien était déjà fermé à la majorité des compagnies depuis 2022.

Avec la fermeture simultanée de l’espace aérien du Golfe, c’est un corridor de contournement essentiel qui disparaît à son tour. Les avions doivent désormais emprunter des routes via le Caucase, l’Asie centrale ou l’Égypte, rallongeant les trajets de deux à quatre heures et faisant exploser la consommation de carburant.

Emirates, Etihad, Qatar Airways, flydubai : les grandes compagnies du Golfe ont suspendu ou réduit drastiquement leurs opérations.

Plusieurs gouvernements ont dû organiser des vols de rapatriement : le Royaume-Uni depuis Oman, l’Inde avec près de 15 000 passagers rapatriés en quelques jours, le Canada, l’Italie, l’Australie. Plus de 120 000 Israéliens attendent encore un moyen de rentrer chez eux.

Pour les agences de voyages et les tour-opérateurs, la situation est un cauchemar opérationnel : annulations massives, modifications de billets en cascade, voyageurs bloqués dans des destinations de transit, questions d’assurance et de remboursement.

Plusieurs tour-opérateurs européens rapportent déjà une explosion des demandes de modification, certains centres d’assistance ayant vu leur volume d’appels tripler en moins de 48 heures.

Dans certains cas, des agences doivent gérer simultanément plusieurs centaines de dossiers voyageurs bloqués dans des hubs de transit. Et tout cela dans un contexte où le prix du pétrole a franchi les 100 dollars le baril pour la première fois depuis plus de trois ans, alourdissant encore les coûts aériens.

Mais la crise que je veux mettre en lumière ici n’est pas celle des écrans de départ affichant « annulé ». C’est celle qui se joue en silence, dans les réseaux, les systèmes de réservation et les infrastructures numériques du secteur touristique.

Depuis le début des hostilités, le volet cyber du conflit a atteint une intensité inédite.

L’offensive américano-israélienne a été précédée et accompagnée d’une cyberattaque massive contre les infrastructures de communication iraniennes, réduisant la connectivité internet du pays à moins de 4% dès le matin du 28 février.

Côté iranien, la riposte cyber s’est organisée via un « Electronic Operations Room » établi le jour même du début du conflit.

Les analystes de Palo Alto Networks (Unit 42) ont recensé une soixantaine de groupes hacktivistes actifs dès les premiers jours, mêlant groupes pro-iraniens, pro-palestiniens et pro-russes.

Et l’aviation figure explicitement parmi les cibles. Des groupes comme Dark Storm Team se sont spécialisés dans les attaques DDoS contre les infrastructures critiques, en ciblant notamment les secteurs de l’aviation, de la défense et des systèmes gouvernementaux. D’autres, comme les FAD Team, revendiquent des accès non autorisés à des systèmes de contrôle industriel (SCADA/PLC) en Israël et dans d’autres pays.

Il faut le dire clairement : le secteur du tourisme est l’une des industries les plus exposées aux cybermenaces en période de conflit, et pourtant l’une des moins préparées.

Pourquoi ? Parce que le tourisme repose sur un écosystème numérique massif mais fragmenté : plateformes de réservation, systèmes de paiement en ligne, bases de données de voyageurs contenant passeports et informations bancaires, logiciels de gestion hôtelière, systèmes de contrôle aérien.

Des milliers d’acteurs interconnectés, des petits fournisseurs technologiques jusqu’aux grands groupes internationaux.

Et c’est précisément cette fragmentation qui crée la vulnérabilité : un maillon faible chez un prestataire de taille modeste peut devenir la porte d’entrée vers l’ensemble de la chaîne.

En période de crise, cette vulnérabilité structurelle se double d’une vulnérabilité conjoncturelle. Les voyageurs modifient leurs billets en urgence, les plateformes enregistrent des pics de trafic anormaux, les équipes techniques travaillent sous pression, les processus de vérification sont bâclés. C’est précisément dans ces fenêtres de chaos que les attaquants frappent.

Arrêtons-nous un instant sur les scénarios concrets, parce que c’est là que la plupart des analyses s’arrêtent, au générique. Voici ce qui se passe réellement dans le cyberespace en ce moment.

Le phishing ciblé sur les voyageurs explose. Dans un contexte où des centaines de milliers de personnes attendent désespérément des nouvelles de leur vol, un email imitant Emirates ou Qatar Airways et proposant de « confirmer votre nouveau vol de rapatriement » a un taux de clic considérablement plus élevé qu’en temps normal. Les attaquants le savent, et ils calibrent leurs campagnes en conséquence.

Les attaques par déni de service (DDoS) visent les plateformes de réservation et les sites de compagnies aériennes. L’objectif n’est pas nécessairement de voler des données : c’est de créer un chaos supplémentaire, d’amplifier la désorganisation, de rendre les sites inaccessibles au moment précis où les voyageurs en ont le plus besoin. C’est une arme de déstabilisation, pas de vol.

Les ransomwares contre les chaînes hôtelières et les agences représentent un risque majeur. Les analystes de Halcyon ont signalé l’émergence de variants comme Sicarii, un ransomware qui présente un défaut de conception dans sa gestion des clés de chiffrement rendant la récupération des données impossible même en cas de paiement de la rançon. Quand un hôtel ou une agence est touché par ce type d’attaque en pleine crise, les données clients peuvent être définitivement perdues.

Enfin, le vol de données voyageurs reste une menace permanente. Les bases contenant des copies de passeports, des coordonnées bancaires et des itinéraires de voyage complets sont des actifs extrêmement valorisés sur les marchés noirs. En période de tension géopolitique, ces données peuvent aussi servir à des fins de renseignement.

Ce que le conflit iranien révèle, au-delà de l’urgence immédiate, c’est l’émergence d’un modèle de crise que le secteur du tourisme n’a pas encore intégré dans ses schémas de pensée : la crise hybride.

Une crise hybride, c’est la combinaison simultanée de perturbations physiques et de menaces numériques qui se renforcent mutuellement.

L’espace aérien ferme, les systèmes sont surchargés, les équipes travaillent en mode dégradé, et c’est exactement à ce moment-là que les cyberattaques trouvent leur fenêtre d’opportunité. Le chaos physique crée les conditions du chaos numérique. Et le chaos numérique aggrave le chaos physique.

Ce modèle va se répéter. L’Ukraine l’a montré. Gaza l’a confirmé.

L’Iran en est la démonstration la plus spectaculaire à ce jour, avec ce que des analystes décrivent comme une intégration sans précédent des capacités cyber dans une campagne militaire.

Le tourisme ne peut plus se permettre de traiter la cybersécurité comme un sujet technique réservé à la DSI. C’est désormais un enjeu stratégique de résilience business.

Je ne vais pas vous servir les « dix commandements de la cybersécurité » que l’on retrouve dans tous les articles sur le sujet.

Vous les connaissez : mettez à jour vos systèmes, formez vos équipes au phishing, sauvegardez vos données. Ces conseils ne sont pas faux, mais ils sont insuffisants. Ils donnent l’illusion d’une préparation sans en fournir la substance.

Ce que la crise iranienne enseigne au tourisme, c’est que la cybersécurité ne se réduit pas à une checklist technique. C’est une capacité de résilience organisationnelle qui doit être pensée à trois niveaux.

Le premier niveau est celui de la chaîne de sous-traitance. Dans le tourisme, la surface d’attaque réelle n’est pas le site web de l’agence ou de l’hôtel. C’est l’ensemble des prestataires technologiques, des passerelles de paiement, des intégrateurs, des moteurs de réservation tiers. Si vous ne savez pas qui sont vos fournisseurs critiques et quel est leur niveau de sécurité, vous ne savez pas où se trouve votre risque réel.

Le deuxième niveau est celui du plan de crise cyber. Pas un document théorique rangé dans un tiroir, mais un scénario testé et répété. Combien d’agences de voyages ont réalisé un exercice de simulation d’attaque par ransomware ? Combien de chaînes hôtelières ont testé leur capacité à fonctionner sans accès à leur système de réservation pendant 48 heures ? La réponse, dans la grande majorité des cas, est aucune.

Le troisième niveau est culturel, et c’est le plus important. La cybersécurité ne sera jamais efficace si elle reste confinée au service informatique. Elle doit devenir un réflexe partagé par l’ensemble de l’organisation, du réceptionniste d’hôtel qui reçoit un email suspect au dirigeant qui valide un nouveau prestataire technologique. Ce n’est pas un problème IT. C’est un problème de gouvernance.

Le tourisme restera toujours une industrie profondément humaine.

C’est sa force, et c’est ce qui fait que les voyageurs reviennent toujours, même après les crises les plus sévères.

Mais la stabilité de cette industrie dépend désormais d’un élément que l’on ne voit pas dans les halls d’aéroport, ni dans les lobbys d’hôtel : la sécurité de son infrastructure numérique.

Le conflit iranien n’est pas un accident isolé. C’est un révélateur. Les crises du tourisme seront désormais hybrides : conflits militaires, perturbations aériennes, cyberattaques et campagnes de désinformation se combineront pour créer des chocs systémiques.

La capacité du secteur à anticiper et absorber ces chocs déterminera quels acteurs survivront et quels acteurs disparaîtront.

Le choix est simple : adapter le tourisme à cette nouvelle réalité hybride. Car la prochaine crise ne se jouera pas seulement dans le ciel, elle se jouera aussi dans les systèmes.

Christophe Mazzola est expert en cybersécurité, fondateur de la Cyber Academy et directeur de la pratique GRC chez Cresco Cybersecurity.

Son objectif : rendre la cybersécurité accessible à tous.

Conférencier, auteur et RSSI, il accompagne entreprises et institutions dans une approche pragmatique de la sécurité numérique, à la croisée du leadership, de la pédagogie et de la souveraineté digitale.