Les petites structures plus vulnérables
Quelle que soit leur taille, toutes les entreprises peuvent être victimes d’une cyber-attaque : celles qui bénéficient d’un « digital officer », d’une direction des services d’information (DSI), ou celles qui externalisent leur informatique. « Pour être honnête, qui n’a pas été cyberattaqué ?, lance Clément Faraon cofondateur de la société Shelaon Partners, experte en cybersécurité. Le risque zéro n’existe pas ! Les PME ne se sentent pas concernées alors qu’elles sont encore plus vulnérables puisqu’elles ne sont pas structurées pour prévenir ce type d’attaque. C’est même plus simple de s’en prendre à une petite structure ou un petit fournisseur.
Moma Event (18 collaborateurs) a failli, de peu, être victime d’un phishing. « Notre messagerie ou celle de notre prestataire a été piratée, raconte Michel Rivet. En plein été, nous avons reçu un mail avec les nouvelles coordonnées bancaires du prestataire, qui nous demandait un virement important. Cette attaque n’est pas spécifiquement liée au secteur de l’événementiel, mais elle nous a appris à border au maximum les process de validation. » Chez DSO, Éric Tordjman reconnaît que, par principe, ses 8 collaborateurs n’ouvrent aucun mail provenant de banques ou de compagnies d’assurances. « On appelle avant pour vérifier la conformité des messages, car on sait que les banques et les assurances sont des cibles privilégiées des pirates informatiques. » L’agence a pris la précaution de s’assurer contre le rançonnage, au cas où.
Toujours plus de normes
En ce qui concerne les normes et les certifications, toutes les agences ne sont pas au même niveau. Le montant à investir explique cette différence. À titre d’information, la certification internationale ISO 27001, qui valide le système de protection des données, coûte en moyenne 30000 euros pour une PME de 20 personnes. « Cela revient à une fortune, s’exclame le patron de l’agence DSO. Nous avons déjà obtenu la certification 20121 pour la RSE. En fait, il faudrait une personne à plein temps pour gérer toutes les nouvelles procédures ! »
Clément Faraon le reconnaît bien volontiers : « Pour les entreprises de l’événementiel, il y a une inflation réglementaire avec des obligations qui se croisent. En outre, tous les clients n’ont pas les mêmes exigences. Les américains notamment sont paranos sur la cybersécurité ! »
Shelaon Partners a accompagné La Phratrie, qui agrège une quinzaine d’agences et 230 collaborateurs. Elle a obtenu la certification ISO 27001 en six mois seulement, l’année dernière. « L’impact sur le business a été immédiat, selon Clément Faraon. Un appel d’offre de 2 millions d’euros a été remporté et trois nouveaux clients grand compte ont été gagnés. » Au niveau opérationnel, il y a eu une réduction de 40 % des incidents sécurité, un temps de résolution divisé par deux, un process optimisé et documenté.
À ses yeux, la norme ISO 27001 est certes lourde à mettre en œuvre, mais elle rassure et apporte un avantage concurrentiel, surtout envers les entreprises du CAC 40. Il conseille en premier lieu d’obtenir une évaluation par CyberVadis, qui suit quatre axes : identifier, protéger, détecter et réagir. L’évaluation débouche sur un score. « Nous avons beaucoup travaillé pour obtenir le score de 800 sur un total de 1 000 chez CyberVadis, se félicite Michel Rivet. Depuis deux ou trois ans, les très gros clients demandent le résultat de l’évaluation, cela constitue même un avenant du contrat. »
Quant à la directive européenne NIS2 (Network and Information Security), transposable en France cette année, elle est censée s’adresser à des entreprises de plus de 50 salariés réalisant plus de 10 millions d’euros de chiffre d’affaires, dans 18 secteurs (banques, santé, transports, énergie, administrations publiques…). L’analyse des risques concerne également les fournisseurs et les partenaires.
L’IA plus risquée ?
Les outils de l’IA constituent, certes, des aides pour la conception des événements, mais ils peuvent entraîner des failles de sécurité. Par précaution, Marie-Christine Couette, utilise la version pro de ChatGPT et évite de fournir des données précises à l’outil. « Nous lui posons davantage de questions que nous lui apportons des informations ! », dit-elle. « Comment les prompts sont-ils protégés ? Quels sont les éléments de sécurisation par rapport aux deep fakes ? », se demande Michel Rivet. Chez Hopscotch, Christèle Brossier est lucide : « L’IA augmente les risques d’autant plus que la menace est difficile à identifier et à détecter. C’est pourquoi nous sensibilisons nos équipes aux usages des outils, raisonnables et raisonnés. » Clément Faraon insiste : « La veille technologique fait partie intégrante de la stratégie anti-menace. Il faut être très vigilants sur les attaques au deep fake ou sur la fraude au président. » Pour rappel, cette fraude consiste à usurper l’identité d’un dirigeant, en audio ou vidéo, pour exiger un virement important de façon confidentielle et urgente.
Face à ces nouvelles menaces, les agences se forment. « Nous avons prévu de suivre des sessions sur le sujet en 2025 », dit Éric Tordjman. Même démarche pour l’agence Made In Côte d’Azur, à la demande d’Afnor, qui va être accompagnée par le cabinet de conseil Green Expertise. Chez Moma Event, la sensibilisation à la cybersécurité a eu lieu via Lévénement, l’association qui regroupe une centaine d’agences événementielles et une soixantaine de prestataires. « C’est un nouvel enjeu pour les agences, estime Christèle Brossier chez Sagarmatha. Il faut mener une opération séduction en interne pour mobiliser les collaborateurs. Rendre le sujet sexy en somme ! »
