Fuite de données de pilotes due à une erreur de configuration SharePoint.
Source : Pexels
La compagnie aérienne Swiss a confirmé un incident de protection des données ayant exposé, pendant environ deux mois, des informations sensibles issues des évaluations de pilotes. L’accès non autorisé ne résulte pas d’une cyberattaque, mais d’une erreur humaine dans la configuration d’un espace SharePoint.
Données concernées et ampleur de l’exposition
Les données compromises incluent :
- Dossiers de candidature ;
- Résultats de tests ;
- Rapports d’évaluation de pilotes.
Cette fuite touche à la fois des employés internes et certains candidats externes évalués pour le compte de Swiss.
Selon la compagnie, les données ont été consultées environ 70 fois par des personnes non autorisées. Ces dernières ont été contactées individuellement et se sont engagées à supprimer immédiatement toute copie et à ne pas diffuser les informations.
Origine
Swiss explique que l’incident provient d’une mauvaise configuration des autorisations d’accès dans SharePoint, réalisée par un employé.
Une fois le problème identifié, le 1er août 2025, la compagnie a :
- Corrigé la configuration défaillante ;
- Migré les données vers une plateforme sécurisée ;
- Chiffré les fichiers et ajouté des protections supplémentaires.
Mesures et communication
Swiss a informé les autorités de protection des données, ainsi que les organisations partenaires concernées.
Elle précise qu’aucune donnée de passagers ni d’autres collaborateurs n’a été compromise et qu’il n’y a pas eu d’intrusion informatique.
L’entreprise réaffirme sa volonté de renforcer la vigilance dans le traitement des données sensibles, notamment via des contrôles internes et des mesures de formation.
Cet incident illustre un risque courant en IT : les mauvaises configurations sur les plateformes cloud comme SharePoint, OneDrive ou Google Drive.
Pour limiter ce type de fuite :
- Appliquer le principe du moindre privilège ;
- Effectuer des audits réguliers des droits d’accès ;
- Utiliser des alertes automatiques en cas d’exposition inhabituelle ;
- Former le personnel à la sécurité des données.