Quand la cybersécurité rencontre la continuité d’activité

Le ciel européen s’assombrit. Ces dernières semaines, après plusieurs attaques en Belgique, c’est au tour d’Air France-KLM d’être confronté à un incident qui rappelle une évidence : la cybersécurité ne s’arrête pas aux frontières de l’entreprise.

Air France / KLM – L’alerte venue d’un prestataire

Ce qui s’est passé — Septembre 2025 Un prestataire externe du programme Flying Blue a été compromis, exposant certaines données personnelles :

• Noms, e-mails, numéros d’adhérents
• Historique de vol

En revanche, aucun mot de passe ni donnée de paiement n’a été compromis.

La leçon ? Les pirates n’ont pas attaqué Air France directement, mais la porte latérale : un tiers mal sécurisé.

Réaction : notification à la CNIL, suspension du prestataire, audits, communication publique. Une gestion maîtrisée… mais révélatrice d’un angle mort : la dépendance critique aux tiers.

Belgique — Même menace, autre scénario

Quelques semaines plus tôt, plusieurs hôpitaux, communes et universités belges ont été frappés par des ransomwares (LockBit, Akira, etc.) :

Conséquences :

• Paralysie totale des services
• Données médicales volées
• Retour improvisé au papier
• Des jours à des semaines d’interruption

Dans la plupart des cas, les organisations avaient des sauvegardes, mais : non isolées, non testées, parfois inutilisables.

Résultat : le numérique tombe, et l’activité tombe avec.

Ce que ces deux crises révèlent

Elles posent la question centrale : Sommes-nous capables de continuer à fonctionner quand le numérique s’effondre ?

Or aujourd’hui, la majorité des organisations ont :

✅ de la sécurité (ISO 27001) → elles construisent des murs

❌ peu ou pas de continuité (ISO 22301) → elles ne prévoient pas les issues de secours

Construire une forteresse sans plan d’évacuation reste une illusion de sécurité.

Le duo gagnant : ISO 27001 + ISO 22301

Si Air France-KLM, comme beaucoup, a probablement un SMSI solide, la certification ISO 22301 reste encore rare en Europe. Pourtant, elle apporte les garanties suivantes :

✅ Analyse d’impact (BIA) sur les services vitaux

✅ PCA et PRA testés (pas juste rédigés)

✅ Simulation d’incidents intégrant les prestataires

✅ Chaîne de décision et communication de crise validées

Passer de « réagir vite » à « résister longtemps »

Ce que devraient mettre en place les organisations :

1. Auditer et exiger des garanties de continuité chez les prestataires critiques
2. Tester le PCA/PRA chaque année, avec scénarios réalistes
3. Mettre la continuité au niveau COMEX, pas dans un tiroir DSI
4. Former les équipes à la culture de la résilience, pas seulement à la cybersécurité

Conclusion

L’affaire Air France-KLM n’est pas une catastrophe, c’est un signal faible. La Belgique, elle, en montre la version forte.

Même cause, même faiblesse : sécurité ≠ résilience. Protéger ne suffit plus. Il faut continuer.

Sources (articles vérifiables)

• Air France and KLM confirm customer data stolen in third-party breach — IT Pro (2025)
• Air France-KLM confirm customer data exposure in third-party breach — Security Boulevard (2025)
• Belgian hospitals hit by LockBit ransomware — Privacy-Web (2025)
• Ransomware impact in Belgium (LockBit / Akira incidents) — Ransomware.live (2025)