Cybersécurité des fédérations sportives: vol de données Deux fédérations françaises révèlent des incidents cyber exposant des données personnelles et décrivent des mesures renforcées après des attaques par phishing.
La cybersécurité des fédérations sportives est au cœur de l’actualité après deux incidents distincts touchant le rugby et le karaté. La Fédération française de karaté et disciplines associées (FFKDA) et la Fédération française de rugby (FFR) ont annoncé l’exposition partielle des données personnelles de licenciés et affirment renforcer leurs dispositifs de sécurité.
Cas FFKDA : données exposées et mesures
La FFKDA a communiqué le 11 mars qu’un accès non autorisé à l’un de ses systèmes informatiques avait pu entraîner l’extraction de certaines données personnelles, notamment des noms, prénoms, coordonnées (adresse e-mail et adresse postale), le numéro de licence et des informations administratives associées. En revanche, les mots de passe et les données bancaires seraient épargnés.
La fédération précise qu’elle regrette l’incident et indique avoir mis en œuvre des mesures correctives pour « renforcer nos dispositifs de sécurité » et prévenir une répétition. La FFKDA a aussi rappelé l’usage d’un progiciel de gestion développé en interne, Sikada, et d’une application mobile baptisée « FFKarate e-licence », réalisée par une agence tierce, alors qu’un prestataire (Exalto via sa solution e-licence) a été impliqué dans les incidents cybres passés.
Cas FFR : phishing et réaction rapide
La Fédération française de rugby a publié le 17 mars que l’incident ne résultait pas d’une intrusion directe dans ses systèmes, mais d’un accès non autorisé rendu possible par une campagne d’ingénierie sociale ciblant certains licenciés ou administrateurs.
Les investigations techniques évoquent une attaque par phishing (usurpation d’identité numérique) visant les personnes licenciées. Une fuite évoquée sur Breach Forums évoquait potentiellement les données de 530 000 licenciés, avec des photos, des copies de pièces d’identité et des déclarations d’accidents. La FFR n’a pas confirmé le volume exact des données exposées.
La fédération précise qu’elle communiquera directement auprès de ses licenciés et que l’intrusion a été circonscrite. Elle a mis en œuvre des mesures rapides: suspension temporaire de certains services, renforcement des contrôles d’accès, réinitialisation des mots de passe et déploiement de dispositifs de sécurité complémentaires. La plateforme Oval-e, cœur des échanges clubs-licenciés et gestion des documents (déclarations d’accident, feuilles de match dématérialisées, etc.), a été mise hors ligne temporairement.
Contexte et limites à considérer
À la suite d’un renouvellement des vols de données observé au début de 2025, plusieurs fédérations ont été victimes d’incidents en 2026, y compris l’UNSS. Ces cas illustrent les risques croissants liés à l’ingénierie sociale et à la cybersécurité des organisations sportives, qui gèrent des bases de licenciés volumineuses et des documents sensibles.
Pour terminer
Ces incidents montrent que les fédérations prennent la cybersécurité au sérieux, mais ils soulignent aussi la nécessité d’une vigilance permanente face au phishing et aux accès non autorisés. Le suivi des mesures, la transparence envers les licenciés et l’adoption de standards communs resteront des points à surveiller dans les mois à venir.
