L’actualité récente a fait l’effet d’un tacle pour le sport français. Des fuites de données massives touchant la Fédération Française de Football (FFF), de Rugby (FFR) ou encore de Tir (FFTir) ont révélé un problème inquiétant : c’est tout l’écosystème français du Sport qui est attaqué. Pour ces organismes, le RGPD n’est plus une simple case à cocher, mais un enjeu de confiance publique important.
L’écosystème sportif français : une mine d’or pour les hackers
Si les fédérations sportives sont autant attaquées, c’est en raison de la facilité que cela représente au regard des gains possibles :
- Volumes massifs : les fédérations sportives traitent des données de millions d’adhérents ;
- Données de mineurs : les fédérations sportives peuvent traiter des données de mineurs, qui pourront par la suite être croisées avec d’autres données de futures violations pour obtenir des profils complets sur les personnes ;
- Données financières : comme beaucoup d’autres organismes, les fédérations sportives traitent bien sûr des informations bancaires – IBAN, numéros de carte bancaire, informations de paiement, …
- Données de santé : concernant certains sportifs, les fédérations sportives vont traiter de données très intimes, et notamment des données de santé (blessures, performances, certificats médicaux, …).
Surtout, les fédérations sportives ne sont pas prêtes (comme elles l’ont par ailleurs démontré). Obtenir ces informations, riches, auprès des fédérations sportives est bien plus simple que d’attaquer de grands magasins de commerce ou des organismes publics. C’est pourquoi elles sont aujourd’hui autant ciblées : ce sont des cibles plus faciles.
Les points de vigilance
La conservation des données
Selon le RGPD, toute donnée personnelle doit être supprimée au bout d’un certain temps. Pour certaines, le délai peut être aussi court qu’un mois, pour d’autres, le délai se compte en dizaines d’années. L’important est d’identifier la durée applicable aux données, et surtout de la respecter, en procédant à des suppressions régulières des données « périmées ».
Moins il existe de données au sein d’une fédération sportive, moins il y aura de données dans la nature en cas de faille de sécurité, ou d’incident.
La gestion des mineurs
Alors que les attaquants peuvent déjà connaître beaucoup d’informations sur nous, issues de précédentes violations dont les données finissent par former de gigantesques bases, ils anticipent déjà en cherchant à obtenir des informations rapidement sur personnes encore peu connues dans les violations : les mineurs.
En effet, ceux-ci ayant un rapport fondamentalement différent à la technologie ou ne disposant pas encore des mêmes moyens que les adultes (compte bancaire ou moyens de paiement, préférences et habitudes de consommation, …), il est plus complexe d’obtenir leurs données.
Or, les fédérations sportives traitent des données de mineurs, notamment leur identité, leurs performances ou encore leur lieu de vie. Un très bon début pour préparer de futurs profilages.
Les transferts
Les transferts de données entre professionnels ou bénévoles, et entre clubs, ligues, fédérations, organisations sportives, etc. multiplient les risques de faille de sécurité, car ce sont autant d’environnements informatiques divers, sécurisés différemment, qui permettront de traiter la donnée.
Si quelques clubs ont aujourd’hui des bénévoles capables d’intervenir de façon professionnelle sur la sécurité des données, cela n’est évidemment pas suffisant lorsque l’écosystème lui-même dans lequel le club évolue est bourré de failles.
La formation aux enjeux cyber & RGPD
Un constat partagé dans bon nombre de secteurs : la formation ou la sensibilisation, des salariés, bénévoles, sportifs, … aux enjeux de sécurité des données et de conformité à la réglementation en matière de protection des données, reste encore aujourd’hui très faible.
Qu’est-ce que le RGPD ? Pourquoi s’embêter à supprimer les données ? Pourquoi limiter la publication des informations au sein même d’un club ? Les décideurs comme les travailleurs ne comprennent pas forcément les enjeux derrière les recommandations d’organismes comme la CNIL ou l’ANSSI.
Prévenir les risques sur les données
La conformité réglementaire est rarement le sujet prioritaire des organismes. Il est néanmoins nécessaire d’adopter des mesures préventives, organisationnelles et techniques, car une fois les données violées il est trop tard pour faire marche arrière.
L’identification des traitements
Il est primordial d’identifier les données qui sont traitées, pour quelles raisons, et par quels outils / au sein de quels environnements informatiques. Ce travail est la base qui permet ensuite de piloter la sécurité des données et la conformité des pratiques.
La désignation d’un référent
Désigner un personne chargée de réaliser une veille en matière de sécurité ou de protection des données, un référent interne ou externe (voire un délégué à la protection des données), est une mesure nécessiare à assurer un maintien du niveau de sécurité ou de conformiité : les réglementations changent, les risques évoluent, les attaques se complexifient, … une personne doit rester attentive à ces changements afin d’anticiper les risques.
La sensibilisation aux bonnes pratiques
Les données passent dans les mains de nombreuses personnes lors de leur traitement : comptabilité, direction des associations sportives, jurys, sportifs, bénévoles, consultants, … En interne et auprès des partenaires réguliers, il est important de rappeler quelques règles de base de la sécurité : clés USB, branchage des ordinateurs, utilisation de whatsapp, antivirus, …
L’adoption de standards de sécurité
Certaines mesures de sécurité basiques et faciles à mettre en oeuvre permettent de repousser un nombre importants d’attaques différentes. Même s’il ne s’agit que des attaques les plus simplistes, réussir à s’immuniser à de telles attaques pour des coûts faibles participe à une meilleure sécurisation de l’écosystème global.
S’informer sur les sites spécialisés
Pour accélérer la sécurisation des environnements et traitements portant sur des données de sportifs, des organismes, comme la CNIL, ont publié des référentiels, guides ou conseils pour les clubs, ligues, fédérations ou associations. Collectes de données, durées de conservation, risques principaux, … ces publications vous aident à mieux comprendre vos obligations et à les respecter.
Les ressources INSEP pour les fédérations
C’est avec plaisir que DATANAOS s’est engagé dans un projet de l’INSEP visant à former les décideurs des fédérations sportives et leurs délégués à la protection des données aux enjeux de sécurité et de protection des données.
Bientôt disponible pour les fédérations : retrouvez différents professionnels de la sécurité, de la protection des données (dont vos professionnels de DATANAOS), ou de l’analyse des données sportives, sur les outils de formation en ligne de l’INSEP ! Profitez de formations animées par des experts agréés et passez les certifications qui seront proposées en partenariat avec l’INSEP.
