Une attaque informatique d’une ampleur inédite chez AKTO
Le 23 mars 2025, AKTO, opérateur de compétences reconnu dans le domaine de la formation professionnelle, a été victime d’une cyberattaque d’envergure. Cette intrusion ciblée dans son système d’information a rapidement contraint l’organisation à suspendre temporairement ses plateformes numériques afin de limiter les dégâts. Les premières analyses ont révélé un chiffrement partiel de données ainsi qu’une probable exfiltration de fichiers sensibles. Ce type d’attaque, souvent associé à des ransomwares, vise à paralyser les services tout en dérobant des informations exploitables par des cybercriminels.
L’impact a été immédiat : des milliers d’utilisateurs, organismes de formation et entreprises partenaires ont vu leurs accès bloqués. Des données personnelles appartenant aux salariés, entreprises clientes et collaborateurs ont potentiellement été compromises. Si aucune perte financière directe n’a été rapportée, cette situation reste préoccupante au regard de la réglementation en matière de protection des données, notamment le RGPD. Ce genre d’incident soulève la question de la solidité des systèmes de sécurité informatique dans des structures pourtant bien établies.
L’affaire AKTO n’est pas isolée mais s’inscrit dans une vague plus large d’attaques qui ciblent des institutions publiques et parapubliques. Elle met en lumière le besoin d’anticiper ces menaces grâce à des stratégies robustes de gestion de la sécurité de l’information.
Réaction rapide et mobilisation des autorités compétentes
Face à l’ampleur de l’attaque, AKTO a déployé une stratégie de réponse rapide. L’accès aux services a été suspendu de manière préventive afin d’éviter toute propagation du logiciel malveillant ou exploitation supplémentaire des données compromises. Cette décision, bien que difficile, s’est avérée nécessaire pour sécuriser l’ensemble de l’infrastructure numérique. La cellule de crise interne a été immédiatement activée pour évaluer la situation et coordonner les actions urgentes.
AKTO a également fait preuve de transparence en communiquant rapidement avec ses parties prenantes par le biais d’un communiqué officiel. Cette démarche a permis d’instaurer un climat de confiance dans un contexte délicat. Dans la foulée, plusieurs institutions ont été saisies. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été appelée à intervenir pour fournir un accompagnement technique, tandis que la CNIL a été informée de la fuite de données à caractère personnel comme l’exige le RGPD.
Par ailleurs, une plainte a été déposée auprès de la Direction nationale de la police judiciaire, qui a lancé une enquête via son office dédié à la cybercriminalité. Cette mobilisation institutionnelle rapide montre que la cybersécurité n’est plus seulement une affaire interne : elle est désormais une responsabilité partagée entre organisations, autorités et experts.
Certification Qualiopi et cybersécurité : un lien indirect mais essentiel
La certification Qualiopi, obligatoire pour les organismes de formation souhaitant accéder à des financements publics, est aujourd’hui un repère incontournable dans le secteur de la formation professionnelle. Elle atteste de la qualité des processus déployés, de l’accompagnement pédagogique jusqu’à la gestion administrative des formations. Pourtant, cette norme, centrée sur la qualité des prestations, n’intègre pas directement la cybersécurité dans ses critères d’évaluation. Cela ne signifie pas qu’elle soit étrangère aux enjeux de sécurité, bien au contraire.
En réalité, plusieurs indicateurs de Qualiopi exigent une rigueur organisationnelle qui touche à la sécurisation des données. La traçabilité des parcours de formation, la conservation des documents administratifs, la gestion des informations personnelles des stagiaires, ou encore l’accessibilité aux ressources numériques sont autant d’éléments qui, s’ils sont compromis par une attaque informatique, peuvent mettre en péril la conformité à la certification.
L’affaire AKTO le démontre clairement : une faille dans le système d’information, même si elle n’est pas due à une négligence dans les processus de formation, peut compromettre la continuité des services et affaiblir la fiabilité perçue de l’organisme. Ainsi, intégrer la cybersécurité dans la logique de qualité devient non seulement pertinent, mais absolument nécessaire pour garantir la crédibilité d’un acteur certifié Qualiopi.
Pourquoi Qualiopi ne suffit pas à elle seule à garantir la sécurité numérique – Attaque subie par Akto
Bien que la certification Qualiopi établisse des standards élevés en matière de qualité pédagogique et organisationnelle, elle ne constitue pas une barrière suffisante contre les menaces numériques. L’attaque subie par AKTO en est une démonstration concrète. Un organisme peut être totalement conforme aux exigences Qualiopi tout en étant vulnérable sur le plan informatique. Cela s’explique par le fait que la norme ne prévoit pas de mécanisme de contrôle ou d’audit dédié à la sécurité des systèmes d’information.
Les cyberattaques actuelles sont de plus en plus sophistiquées, ciblées, et automatisées. Elles exploitent des failles techniques, mais aussi humaines, telles que l’ouverture d’un fichier malveillant ou l’utilisation de mots de passe faibles. Sans dispositifs de protection, comme une gestion rigoureuse des accès, une politique de sauvegarde, ou un plan de réponse aux incidents, une organisation peut voir ses activités paralysées du jour au lendemain.
La complémentarité entre Qualiopi et un système de management de la sécurité de l’information devient alors incontournable. Qualiopi structure l’action pédagogique et la satisfaction des bénéficiaires, tandis qu’un SMSI permet de sécuriser l’environnement dans lequel cette action se déroule. En somme, la qualité sans la sécurité n’est plus une option viable pour les organismes modernes.
Le rôle central du SMSI pour prévenir et réagir aux attaques comme Akto
Un Système de Management de la Sécurité de l’Information, ou SMSI, représente aujourd’hui un pilier fondamental pour toute organisation qui manipule des données sensibles, comme c’est le cas dans le secteur de la formation professionnelle. Ce dispositif repose sur des normes internationales, notamment l’ISO/IEC 27001, qui offrent un cadre structuré pour identifier les risques, définir les priorités, mettre en place des mesures de prévention, et planifier des réactions adaptées en cas d’incident.
Un SMSI ne se limite pas à la technique. Il englobe également les aspects organisationnels et humains, en instaurant une culture de la sécurité à tous les niveaux de l’entreprise. Les collaborateurs sont sensibilisés, les processus sont documentés, et des audits internes sont réalisés pour vérifier que les bonnes pratiques sont respectées. L’objectif est clair : réduire la surface d’exposition aux menaces et accroître la résilience de l’organisation face aux imprévus.
Dans le contexte d’AKTO, la présence d’un SMSI aurait probablement permis de détecter plus rapidement l’anomalie, d’en limiter les effets, et d’assurer une reprise plus fluide des services. Le SMSI n’élimine pas le risque, mais il permet de le gérer avec méthode, rigueur et efficacité. C’est un levier stratégique que toute structure devrait intégrer dans sa gouvernance.