Cybersécurité : nouvelle priorité pour l’événementiel ?
Site internet rendu inaccessible, demande de rançons, vol de données personnelles… les cyberattaques sont devenues monnaie courante. Et touchent également l’organisation d'événements. Savoir s’en protéger est devenu une nécessité pour les professionnels du secteur.
Les chiffres donnent le tournis. Aux Jeux Olympiques de Tokyo en 2021, des milliards d’événements cyber ont été recensés, 70 000 alertes avérées à contrôler pendant les 20 jours de la compétition sportive, pour un total de 3500 par jour, rappelle dans Le Figaro, le général Marc Boget, commandant de la gendarmerie dans le cyberespace. À l’instar de tous les secteurs économiques, l’événementiel est devenu ces dernières années une cible de choix pour les hackers.
Toutefois, ce risque n’est pas réservé aux événements de grande ampleur comme les Jeux Olympiques ou les sommets internationaux : la cybersécurité concerne l’ensemble du secteur, du webinar au salon professionnel en passant par les festivals. La solution passe par une meilleure prise en compte des règles de cybersécurité. Mais qu’entend-on exactement par là ?
“On n’avait jamais entendu parler de clients s’intéressant à la cybersécurité”
Didier Roux, directeur marques expertes au sein du groupe S’Cape a été confronté pour la première fois aux questions de cybersécurité il y a une dizaine d’années. Alors qu’il s’apprête à confirmer un accord-cadre avec un grand groupe américain, on lui envoie un questionnaire. Il se souvient : “Nous avons dû remplir un document extrêmement détaillé où nous devions décrire tout ce qui avait été mis en place pour assurer notre et leur cybersécurité.” Panique à bord. “On n’avait jamais entendu parler de clients s’intéressant à la cybersécurité. Il a fallu s’organiser pour répondre à des questions très techniques qui concernaient l’échange de données, que nous avons dû traiter avec notre prestataire informatique”, indique-t-il.
C’est en 2018, lorsque le Règlement général de protection des données (RGPD) entre en vigueur que les problématiques de cybersécurité s’invitent chez toutes les agences françaises. Encore une fois, l’inspiration vient des États-Unis au sein du groupe S’Cape. “Ce sont les entreprises américaines qui nous ont poussés à faire tous les investissements nécessaires pour être au niveau. Nous avons créé des équipes pour travailler sur ce sujet là. C’est un réel investissement mais c’était la condition sine qua none”, précise Didier Roux.
Pendant plusieurs mois, des consultants viennent mettre l’ensemble des procédures à jour et opèrent les modifications au sein du département chargé de la sécurité. En deux ans, le groupe transforme la totalité de son parc informatique, s’équipe de serveurs modernes, en systèmes de pare-feu, de cryptage de données. “Tout ce qui est indispensable de faire pour pouvoir travailler avec des gens qui prennent les questions de la cybersécurité très au sérieux”, ajoute-t-il.
Motivations économiques ou politiques, les événements sont des cibles de choix
Selon Thomas Kerjean, directeur général de Mailinblack, entreprise spécialisée dans la protection des messageries et des simulations d’attaques, les cyberattaques peuvent être motivées par des raisons comme la revente de données, mais aussi politiques. Elles concernent en effet souvent les ministères ou collectivités territoriales.
“Aujourd’hui les attaques d’un hacker visent à engager des ressources de type phishing, ransomware ou attaque par DDoS*. Mais les attaques qui ont le meilleur retour sur investissement ont lieu par email, provoquant des ransomwares, des rançongiciels ou bien des paralysies de serveurs. L’autre modalité d’attaque, c’est celle du site web qui va pouvoir vendre de faux billets, paralyser un site, le vol de bases de données qualifiés de prospects ou de clients”, indique Thomas Kerjean.
Pour Olivier Armbruster, CEO de Voilà, plateforme numérique centrée sur l’expérience live, les principaux risques se font au niveau de l’inscription à un événement ou bien du crash de l’événement lui-même. Le but est souvent le même : récupérer les données personnelles.
Et les risques sont nombreux. Pour Bertrand Guede, Chief information security Officer de l’agence Egg Events, cela induit deux objectifs principaux pour les agences événementielles. “Le premier c’est la data privacy, la protection des données, respecter les informations à caractère personnel que vous donne le client qui relèvent du RGPD. La deuxième partie c’est la sécurité purement technique, les contraintes de sécurité données par le client.”
ISO 27 001, DPIA, logiciels : des outils pour protéger son évènement
On l’a vu, la cybersécurité n’est pas une lubie d’agences super geeks. C’est l’affaire de toutes et tous. “Aujourd’hui, si vous ne savez pas faire de la cybersécurité, vous n’arriverez pas à avoir un marché. C’est devenu un atout commercial qui vous rendra plus compétitif. La capacité à gérer la privacy et la sécurité des événements, c’est ce qui va faire la différence avec les autres parties”, rappelle Bertrand Guede.
De quels outils disposent les agences et les annonceurs pour prévenir les risques cyber ? Pour Thomas Kerjean de Mailinblack, il y a trois choses à mettre en place au début d’un projet événementiel : la protection du site web, la protection des technologies de production, comme la billetterie ou l’emailing, et la protection de la base de données.
“Lorsque l’on étudie un projet, on commence par faire ce que l’on appelle des études d’impact sur la vie privée, cela s’appelle des Data Privacy Impact Assessment, les DPIA”, précise Bertrand Guede. Cette analyse d’impact sur la protection des données permet d’identifier les données personnelles et de savoir comment réagir en cas de vol. “En fonction de cette étude de gestion des risques, vous allez savoir sur quoi mettre le curseur pour assurer la sécurité”, ajoute-t-il.
Obtenir la certification ISO 27 001 peut être un bon premier signe envoyé aux clients, preuve de l’implication de l’agence dans les problématiques de cybersécurité. “Elle définit une méthodologie pour identifier les cyber-menaces, maîtriser les risques associés aux informations cruciales de votre organisation, mettre en place les mesures de protection appropriées afin d’assurer la confidentialité, la disponibilité et l’intégrité de l’information”, indique le site de l’Afnor.
Enfin, pour les événements physiques, n’oubliez pas de sécuriser le réseau Wi-Fi : les données qui y transitent peuvent être interceptées. Trop souvent sous-estimées, les problématiques en lien avec la cybersécurité deviennent petit à petit une propriété absolue tant pour les agences que les annonceurs. De nouveaux réflexes à adopter pour la sécurité de toutes et tous.
Lexique :
• Phishing : ou hameçonnage, est une forme d'escroquerie en ligne dans laquelle le fraudeur se fait passer pour un organisme et envoie un mail à un utilisateur lui demandant de mettre à jour ou de transmettre ses coordonnées bancaires, par exemple.
• Ransomware : ou rançongiciel, est un type d’attaque informatique bloquant l’accès à un appareil en échange d’une rançon.
• DDoS (Denial of Service attack) : ou attaque par déni de service, est un type d’attaque informatique qui a pour but de rendre indisponible un service.