Now Reading: Cybersécurité dans l’événementiel comment les agences se protègent
-
01
Cybersécurité dans l’événementiel comment les agences se protègent
Cybersécurité dans l’événementiel comment les agences se protègent
Deep fakes, rançonnage, vols de données… les agences événementielles n’échappent pas aux cyber-risques. Pour s’en prémunir, elles ont pris des mesures de sécurité.
Le secteur événementiel, comme tout autre secteur économique, n’est pas épargné par les cyberattaques. Dans la mesure où il s’appuie de plus en plus sur le numérique pour gérer les inscriptions, les accès et les données personnelles, il est vulnérable – et intéressant – aux yeux des hackers. Les grands événements internationaux, comme les Jeux olympiques, sont une cible de choix, mais pas que. Les salons, les séminaires, les webinars sont autant d’opérations à pirater. Les donneurs d’ordre le savent. D’après Christèle Brossier, directrice associée de l’agence Sagarmatha dans le groupe Hopscotch, les briefs des entreprises contiennent de plus en plus souvent des interrogations sur la cybersécurité autour de l’organisation d’événements. « Cela devient presque systématique au niveau du groupe, dit-elle. Mais ce ne sont pas toujours des questions très ciblées. Cela dépend de la maturité de l’entreprise cliente. » Selon elle, les entreprises les plus vigilantes viennent du secteur sensible de la défense, bien sûr, mais aussi des transports, de l’énergie, de la banque, de la finance et de la pharmacie. « Depuis 2022, le secteur industriel est très mature en ce qui concerne la sécurité informatique et digitale », dit-elle. La demande est particulièrement précise de la part des institutions publiques, comme les ministères.
Zoom sur le RGPD
Le but est de protéger le site web de l’événement, les technologies de production, telles que la billetterie ou la messagerie, et la base de données. En fait, l’enjeu majeur de la sécurité tourne autour de la protection des données. Le Règlement général de protection des données (RGPD), en application en Europe depuis 2018, est déjà très présent au quotidien dans l’événementiel. Les noms des clients, leur poste, leurs adresses mails et postales, jusqu’à leur allergie alimentaire et leurs coordonnées bancaires, sont des données sensibles à protéger. Par exemple, les listes des participants aux grands congrès professionnels sont une mine d’or, car elles représentent un fichier potentiel d’acheteurs qualifiés, qui se revendent très facilement.
L’IA augmente les risques d’autant plus que la menace est difficile à identifier et à détecter.
La protection doit être mise en place avant, pendant (attention à la sécurisation du réseau Wi-Fi sur place) et après un événement. Chez DSO, le directeur Éric Tordjman, détaille : « Les données sont stockées sur un PC spécialement dédié, et sur des serveurs protégés, hébergés en France. On fait plusieurs copies évidemment et on les supprime dès que l’événement est terminé. » Les clés USB ne sont pas autorisées, car elles peuvent potentiellement propager des virus, ce qui endommagerait les sites qui enregistrent les inscriptions des participants par exemple. Il constate que le RGPD figure régulièrement dans les briefs des clients, quel que soit le type d’entreprise.
Chez Moma Event, la procédure suit le même principe. « Nous supprimons les données personnelles des participants généralement six mois après un événement », reconnaît Michel Rivet, le directeur général. De même, la cybersécurité passe par la sécurisation des locaux et des ordinateurs, par le changement régulier des mots de passe. « Le but est de créer une bulle de sécurité autour de l’entreprise », résume-t-il. L’agence Made In Côte d’Azur à Cannes, qui a travaillé sur les Jeux olympiques de l’été 2024 pour une banque, s’est vue obligée de montrer patte blanche en matière de cybersécurité. « Nous avons eu à répondre à des questions précises sur notre système informatique et les pare-feu mis en place, avoue Marie-Christine Couette, la fondatrice. Notre certification ISO 20121 nous a aidés dans cette démarche, car elle englobe le respect du RGPD. »
Les données sont stockées sur un PC spécialement dédié, et sur des serveurs protégés, hébergés en France. On fait plusieurs copies évidemment et on les supprime dès que l’événement est terminé.
Les petites structures plus vulnérables
Quelle que soit leur taille, toutes les entreprises peuvent être victimes d’une cyber-attaque : celles qui bénéficient d’un « digital officer », d’une direction des services d’information (DSI), ou celles qui externalisent leur informatique. « Pour être honnête, qui n’a pas été cyberattaqué ?, lance Clément Faraon cofondateur de la société Shelaon Partners, experte en cybersécurité. Le risque zéro n’existe pas ! Les PME ne se sentent pas concernées alors qu’elles sont encore plus vulnérables puisqu’elles ne sont pas structurées pour prévenir ce type d’attaque. C’est même plus simple de s’en prendre à une petite structure ou un petit fournisseur.
Moma Event (18 collaborateurs) a failli, de peu, être victime d’un phishing. « Notre messagerie ou celle de notre prestataire a été piratée, raconte Michel Rivet. En plein été, nous avons reçu un mail avec les nouvelles coordonnées bancaires du prestataire, qui nous demandait un virement important. Cette attaque n’est pas spécifiquement liée au secteur de l’événementiel, mais elle nous a appris à border au maximum les process de validation. » Chez DSO, Éric Tordjman reconnaît que, par principe, ses 8 collaborateurs n’ouvrent aucun mail provenant de banques ou de compagnies d’assurances. « On appelle avant pour vérifier la conformité des messages, car on sait que les banques et les assurances sont des cibles privilégiées des pirates informatiques. » L’agence a pris la précaution de s’assurer contre le rançonnage, au cas où.
Toujours plus de normes
En ce qui concerne les normes et les certifications, toutes les agences ne sont pas au même niveau. Le montant à investir explique cette différence. À titre d’information, la certification internationale ISO 27001, qui valide le système de protection des données, coûte en moyenne 30000 euros pour une PME de 20 personnes. « Cela revient à une fortune, s’exclame le patron de l’agence DSO. Nous avons déjà obtenu la certification 20121 pour la RSE. En fait, il faudrait une personne à plein temps pour gérer toutes les nouvelles procédures ! »
Clément Faraon le reconnaît bien volontiers : « Pour les entreprises de l’événementiel, il y a une inflation réglementaire avec des obligations qui se croisent. En outre, tous les clients n’ont pas les mêmes exigences. Les américains notamment sont paranos sur la cybersécurité ! »
Shelaon Partners a accompagné La Phratrie, qui agrège une quinzaine d’agences et 230 collaborateurs. Elle a obtenu la certification ISO 27001 en six mois seulement, l’année dernière. « L’impact sur le business a été immédiat, selon Clément Faraon. Un appel d’offre de 2 millions d’euros a été remporté et trois nouveaux clients grand compte ont été gagnés. » Au niveau opérationnel, il y a eu une réduction de 40 % des incidents sécurité, un temps de résolution divisé par deux, un process optimisé et documenté.
À ses yeux, la norme ISO 27001 est certes lourde à mettre en œuvre, mais elle rassure et apporte un avantage concurrentiel, surtout envers les entreprises du CAC 40. Il conseille en premier lieu d’obtenir une évaluation par CyberVadis, qui suit quatre axes : identifier, protéger, détecter et réagir. L’évaluation débouche sur un score. « Nous avons beaucoup travaillé pour obtenir le score de 800 sur un total de 1 000 chez CyberVadis, se félicite Michel Rivet. Depuis deux ou trois ans, les très gros clients demandent le résultat de l’évaluation, cela constitue même un avenant du contrat. »
Quant à la directive européenne NIS2 (Network and Information Security), transposable en France cette année, elle est censée s’adresser à des entreprises de plus de 50 salariés réalisant plus de 10 millions d’euros de chiffre d’affaires, dans 18 secteurs (banques, santé, transports, énergie, administrations publiques…). L’analyse des risques concerne également les fournisseurs et les partenaires.
L’IA plus risquée ?
Les outils de l’IA constituent, certes, des aides pour la conception des événements, mais ils peuvent entraîner des failles de sécurité. Par précaution, Marie-Christine Couette, utilise la version pro de ChatGPT et évite de fournir des données précises à l’outil. « Nous lui posons davantage de questions que nous lui apportons des informations ! », dit-elle. « Comment les prompts sont-ils protégés ? Quels sont les éléments de sécurisation par rapport aux deep fakes ? », se demande Michel Rivet. Chez Hopscotch, Christèle Brossier est lucide : « L’IA augmente les risques d’autant plus que la menace est difficile à identifier et à détecter. C’est pourquoi nous sensibilisons nos équipes aux usages des outils, raisonnables et raisonnés. » Clément Faraon insiste : « La veille technologique fait partie intégrante de la stratégie anti-menace. Il faut être très vigilants sur les attaques au deep fake ou sur la fraude au président. » Pour rappel, cette fraude consiste à usurper l’identité d’un dirigeant, en audio ou vidéo, pour exiger un virement important de façon confidentielle et urgente.
6 conseils en matière de cybersécurité
① Respecter le RGPD : c’est la base. La protection des données est essentielle.
② Sécuriser l’environnement. L’intrusion dans les locaux, le vol d’ordinateur, les clés USB, ainsi que la vérification du réseau wifi lors des
événements physiques sont des grands classiques à maîtriser.
③ Sensibiliser les collaborateurs aux bonnes pratiques.
④ Écouter les clients et respecter leur degré de confidentialité.
⑤ Faire de la veille technologique.
⑥ Lever les freins d’apprentissage auprès des équipes et miser sur la formation.