Licenciés exposés, fédérations prises de cours, ingénierie sociale redoutable : le sport français vit une très mauvaise saison numérique.
Dans le sport, la défaite se prépare souvent bien avant le coup de sifflet. Elle se loge dans ce qu’on n’a pas anticipé, dans la préparation qu’on a différée, dans l’adversaire qu’on a sous-estimé parce qu’il ne ressemblait pas à celui qu’on s’attendait à affronter. Les cybercriminels qui ont ciblé le sport français ces derniers mois ont, quelque part, parfaitement assimilé ce principe. Ils n’ont pas forcé les portes les mieux gardées. Ils ont cherché — et trouvé — celles qu’on avait laissées entrouvertes.
Depuis la fin de l’année 2024, une vague d’incidents de sécurité s’est abattue sur le mouvement sportif avec une constance remarquable. La Fédération française de football, la Fédération française de handball, celle de tennis de table, de tennis, de tir, de golf, de montagne-escalade, de gymnastique, l’Union nationale du sport scolaire, la Fédération française d’athlétisme : au total, plus de dix-neuf fédérations et le ministère des Sports lui-même ont subi des violations de données en quelques mois. Les informations du dispositif Pass’Sport ont été exfiltrées, exposant près de 3,5 millions de foyers. La plateforme FORÔMES a suivi, avec 450 000 candidats concernés.
Ce qui frappe, à la lecture de ces incidents, ce n’est pas tant leur sophistication que leur logique : partout, presque à l’identique, des comptes d’utilisateurs compromis, des logiciels de gestion mutualisés entre des dizaines de clubs, des bases de données de licenciés accessibles à qui sait frapper à la bonne fenêtre. Le sport, secteur de confiance par excellence, s’est retrouvé exposé précisément là où sa force résidait : dans l’ouverture, le collectif, le partage de ressources entre des structures qui ne s’étaient jamais vraiment demandé ce que signifiait les protéger.
Un secteur qui ne se croyait pas concerné
Il faut commencer par là, parce que c’est peut-être l’élément le plus révélateur : pendant longtemps, les structures sportives — fédérations, clubs, ligues, associations — ont estimé n’avoir rien à offrir aux pirates informatiques. Pas de données bancaires à voler en masse, pas de secrets industriels, pas de propriété intellectuelle monnayable. Une perception rassurante mais profondément erronée.
En réalité, ces organisations gèrent des bases de données considérables : noms, prénoms, dates de naissance, adresses postales et électroniques, numéros de téléphone, numéros de licence. Des informations personnelles complètes, fiables (les gens ne mentent pas pour prendre une licence de football), et collectées sur des millions de personnes en France. La Fédération française d’athlétisme aurait ainsi vu une base de données de plus de onze millions de lignes exfiltrée ; la Fédération française de gymnastique, près de 2,9 millions de personnes concernées, licenciés actuels et anciens confondus.
Ce type de données n’a l’air de rien, comparé à un dossier médical ou à un relevé bancaire. Sauf qu’associées les unes aux autres, elles constituent le socle parfait pour monter des campagnes de hameçonnage ciblées, des tentatives d’usurpation d’identité ou des escroqueries téléphoniques dites par « vishing ». Et pour peu que ces données croisent d’autres fichiers disponibles sur des marchés clandestins, leur valeur monte très vite.
L’ingénierie sociale : l’art de tromper mieux que n’importe quel logiciel
Oublions un instant l’image du pirate informatique qui passe ses nuits à chercher des failles techniques dans des lignes de code. Dans la majorité des incidents qui ont touché les fédérations sportives françaises, la méthode retenue est bien plus simple et autrement plus efficace : la manipulation humaine.
L’ingénierie sociale désigne l’ensemble des techniques qui exploitent la psychologie des personnes pour les amener à divulguer des informations confidentielles ou à effectuer des actions qu’elles n’auraient pas réalisées spontanément. Concrètement : un courriel habilement rédigé qui se fait passer pour une communication interne, un appel téléphonique imitant le service informatique, un message d’urgence qui incite à cliquer avant de réfléchir. Le vecteur d’attaque est l’être humain lui-même, et il présente l’avantage, du point de vue du cybercriminel, d’être infiniment plus difficile à patcher qu’un logiciel.
Dans le cas des fédérations sportives, le scénario s’est souvent répété : un compte d’utilisateur légitime (administrateur de club, bénévole, salarié de la fédération) a été compromis, permettant ensuite d’accéder à des logiciels de gestion des licenciés utilisés au quotidien par des centaines de clubs. En janvier 2025, une attaque dite « de la chaîne d’approvisionnement » a simultanément touché sept fédérations en exploitant une faille chez un prestataire informatique commun. Les données extraites ont rapidement été proposées à la vente sur des forums spécialisés, avant d’être redistribuées gratuitement quelques mois plus tard.
Ce qui rend l’ingénierie sociale particulièrement redoutable, c’est que même des personnes sensibilisées aux risques peuvent se faire piéger. La pression exercée sur la victime, l’urgence artificiellement créée, la légitimité apparente de l’interlocuteur : ces ressorts fonctionnent indépendamment du niveau de vigilance de base de la cible.
La CNIL en a fait l’amère démonstration lors de la sanction infligée à France Travail au premier trimestre 2024 : des attaquants s’étaient introduits dans le système d’information en usurpant des comptes de conseillers, via des techniques d’ingénierie sociale, accédant in fine aux données de l’ensemble des personnes inscrites au cours des vingt dernières années.
Les inscriptions en ligne : une mine de données peu surveillée
Il faut élargir le périmètre au-delà des seules fédérations pour comprendre l’ampleur du phénomène. Car les licenciés ne représentent qu’une partie de la population sportive exposée. Il existe en marge, et souvent bien moins protégés encore, les innombrables sites d’inscription à des événements sportifs grand public : courses à pied, trails, cyclosportives, triathlons, challenges associatifs… Autant de formulaires en ligne qui collectent des données personnelles de façon massive, parfois sans que les responsables de traitement aient une conscience claire de leurs obligations.
Lorsqu’un coureur s’inscrit à un trail ou à un semi-marathon, il confie à la plateforme d’organisation ses coordonnées complètes, parfois son certificat médical, des informations sur ses performances passées, voire ses données de paiement. Ces plateformes sont souvent gérées par des associations ou des petites structures qui n’ont ni les ressources ni les compétences pour sécuriser correctement ces données. Or, la CNIL est explicite : dès lors qu’une structure sportive collecte des données personnelles, elle est soumise au règlement général sur la protection des données (RGPD), qu’elle soit une grande fédération nationale ou une association de quartier organisant son premier 10 kilomètres.
Le risque ne se limite pas à la fuite de données elle-même. Les informations récupérées sur ces plateformes peuvent alimenter des bases de données croisées, enrichissant des profils déjà constitués à partir d’autres sources. La donnée isolée a peu de valeur ; la donnée recombinée, en revanche, ouvre des perspectives considérables pour des acteurs malveillants.
Note méthodologique : si les incidents touchant directement les grandes fédérations sont documentés et vérifiables, l’ampleur précise des fuites provenant de sites d’inscription à des courses reste difficile à quantifier. C’est une hypothèse solidement étayée par la logique des attaques observées, mais qui ne fait pas encore l’objet de statistiques officielles consolidées.
Les conséquences concrètes : bien au-delà du mauvais classement
Quand une fédération sportive annonce une violation de données, la communication officielle s’empresse généralement de préciser que « ni les données bancaires ni les données médicales n’ont été compromises ». Vrai, souvent. Mais réducteur, toujours. Car les données dites « légères » — nom, prénom, date de naissance, adresse, courriel, numéro de téléphone — suffisent amplement à alimenter des attaques particulièrement sophistiquées et difficiles à détecter.
Premièrement, le hameçonnage ciblé. Fort d’informations précises sur la personne (son club, son type de licence, ses coordonnées exactes), un cybercriminel peut envoyer un courriel dont la légitimité apparente est difficile à contester : votre fédération vous contacte pour renouveler votre licence, mettre à jour vos informations, régler un problème administratif. Le message connaît votre prénom, votre numéro de licence, votre club. Difficile de ne pas cliquer.
Deuxièmement, l’usurpation d’identité. Avec suffisamment d’éléments biographiques, il devient possible d’ouvrir des comptes en ligne, de souscrire à des services, voire d’effectuer des démarches administratives au nom de la victime. Les mineurs sont particulièrement exposés dans ce cadre : beaucoup d’entre eux figurent dans les bases de données des fédérations sportives, et leur identité n’est pas encore associée à un historique financier protégé.
Troisièmement, les répercussions sur la confiance. Chaque incident érode un peu plus la relation entre les licenciés et les institutions sportives. Et dans un écosystème majoritairement associatif, qui fonctionne largement sur l’adhésion volontaire et le bénévolat, cette confiance est un bien précieux qui se reconstruit lentement.
RGPD, ANSSI, CNIL : un cadre réglementaire qui existe, mais qu’on applique après l’incident
La réglementation n’est pas absente. La CNIL a publié des outils pédagogiques dédiés au secteur sportif amateur, incluant des guides d’autoévaluation, des fiches pratiques et des réponses aux questions les plus fréquemment posées. Le règlement général sur la protection des données s’applique à toutes les structures sportives sans exception, qu’elles soient fédérations nationales ou clubs de boules.
L’ANSSI, de son côté, avait anticipé la problématique en amont des Jeux olympiques et paralympiques de Paris 2024, publiant une évaluation de la menace dès août 2023 et organisant des exercices de crise avec l’ensemble de l’écosystème sportif. Ce travail préventif a porté ses fruits lors des Jeux eux-mêmes, qui se sont déroulés sans incident majeur côté cybersécurité — preuve que la préparation fonctionne quand elle est sérieusement menée.
Sauf que cette rigueur n’a pas débordé au-delà du périmètre olympique. En dehors de l’événement vedette, la plupart des fédérations et des clubs sont revenus à leur situation antérieure : peu de ressources dédiées, peu de formation des utilisateurs, des prestataires mutualisés dont la sécurisation n’est pas systématiquement auditée. Le ministère des Sports a annoncé, après les incidents de fin 2025, une session de sensibilisation destinée aux directeurs des systèmes d’information des fédérations, programmée pour mars 2026. Ce qui est une bonne nouvelle, avec quelques mois de retard.
La maturité cybersécurité du sport : un chantier qui commence à peine
Disons-le sans détour : le secteur sportif, dans sa grande majorité, présente une maturité numérique qui ferait frémir n’importe quel responsable de la sécurité des systèmes d’information. Non par mauvaise volonté, mais par construction. Les fédérations sportives sont des structures associatives fonctionnant souvent avec des équipes réduites, des bénévoles motivés mais non formés à ces enjeux, et des budgets qui ne permettent pas de financer un responsable de la sécurité des systèmes d’information à temps plein. Les clubs locaux, eux, n’ont tout simplement pas conscience qu’ils constituent un maillon de la chaîne.
La mutualisation des outils de gestion entre de nombreuses fédérations a été présentée comme une solution d’efficience. Elle s’est révélée être également un multiplicateur de risques : compromettre un seul prestataire, c’est accéder simultanément à des dizaines d’organisations. C’est précisément ce qu’a exploité l’attaque de janvier 2025 attribuée à l’individu opérant sous le pseudonyme TheFrenchGuy.
Les clubs sportifs professionnels ne sont pas beaucoup mieux lotis que leurs homologues amateurs, bien qu’ils disposent de davantage de moyens. Des incidents comme celui ayant visé le Montpellier Hérault Rugby (rançongiciel) ou le Paris Saint-Germain (attaque en déni de service) illustrent que la notoriété n’est pas une protection, et que la dépense en sécurité reste souvent réactive plutôt qu’anticipatrice.
L’avis de Rehackt : quand on joue avec le feu sans avoir de bouclier
Permettez-nous d’être directs, avec la bienveillance qui nous caractérise et le franc-parler qui fait notre réputation. Le sport français vient de découvrir, à ses dépens, une vérité que le reste du monde de l’entreprise connaît depuis un moment : on ne décide pas si on sera attaqué, on décide seulement si on sera prêt.
Ce qui est frappant dans la série d’incidents de 2025, c’est moins la sophistication des attaques (certaines sont franchement basiques) que la facilité avec laquelle elles ont réussi. Des comptes d’utilisateurs sans authentification renforcée, des prestataires mutualisés sans audits de sécurité réguliers, des bénévoles non sensibilisés qui constituent le premier point de contact avec des attaquants patients : voilà la recette d’un désastre annoncé.
On peut éprouver de la compassion pour des structures qui n’ont pas été construites pour gérer ces enjeux. Mais la compassion ne protège pas les licenciés dont les données se retrouvent aujourd’hui sur des forums clandestins. Et les millions de personnes concernées, elles, n’ont pas choisi de participer à cette expérience de sécurité grandeur nature.
La bonne nouvelle : ce n’est pas une fatalité. Des structures associatives de taille comparable, dans d’autres secteurs (santé, éducation, services publics), ont démontré qu’il est possible de progresser significativement en matière de sécurité sans nécessairement y consacrer des budgets colossaux. Ce qui manque le plus souvent, c’est la combinaison d’une volonté politique interne et des compétences humaines pour la mettre en œuvre. Et pour identifier ces compétences dans un marché aussi tendu que celui de la cybersécurité, avoir à ses côtés un cabinet de recrutement spécialisé dans ce domaine change sensiblement la donne.
Le recrutement cybersécurité dans le sport : un réflexe qui n’a pas encore pris
Voici la question que personne ne pose encore vraiment dans les couloirs des fédérations sportives : qui, au sein de notre organisation, est responsable de la sécurité numérique ? Dans la plupart des cas, la réponse est soit un prestataire externe dont le contrat ne couvre pas explicitement la gestion des incidents, soit personne de façon clairement identifiée.
Or, le marché de l’emploi en cybersécurité envoie des signaux très clairs. En France, selon l’Observatoire des métiers de la cybersécurité porté par l’ANSSI, entre juin 2023 et juin 2024, plus de 23 000 offres d’emploi dans le domaine ont été recensées, soit une hausse de 49 % par rapport à 2019. Le secteur compte aujourd’hui 45 000 professionnels dans l’Hexagone, avec une projection à 70 000 d’ici 2028 selon l’OPIIEC. Mais 25 % des postes restaient non pourvus en 2023, soit environ 15 000 emplois vacants. Et à l’échelle mondiale, le cabinet BCG estime la pénurie à 2,8 millions de talents.
Ces chiffres décrivent un marché sous tension permanente, dans lequel les grandes entreprises et les structures spécialisées concentrent l’essentiel des recrutements. Et pour identifier ces compétences dans un marché aussi tendu que celui de la cybersécurité, avoir à ses côtés un cabinet de recrutement spécialisé dans ce domaine change sensiblement la donne. Les organisations sportives, elles, n’ont même pas encore engagé la réflexion sur ce que pourrait recouvrir un premier poste dédié à la sécurité informatique.
Quels profils pour un secteur sportif en cours de structuration ?
La nature des risques identifiés dessine assez clairement les besoins. Une structure sportive de taille intermédiaire (fédération régionale, club professionnel, organisateur d’événements d’envergure) a davantage besoin d’un profil polyvalent capable de structurer une politique de sécurité à partir de zéro, de former les équipes internes, de superviser les prestataires et de réagir aux incidents, plutôt que d’un expert ultraspécialisé en tests d’intrusion. Ce type de profil correspond grosso modo à un responsable de la sécurité des systèmes d’information qui sache aussi parler à des non-techniciens, ce qui est, soit dit en passant, une compétence plus rare qu’il n’y paraît.
Pour les clubs et fédérations de taille plus modeste, la mutualisation reste une piste sérieuse : partager un référent cybersécurité entre plusieurs structures permet de rendre le poste économiquement viable tout en répartissant les coûts. Le modèle du responsable de la sécurité des systèmes d’information à temps partagé existe dans d’autres secteurs et commence à faire ses preuves.
La dimension humaine de l’ingénierie sociale appelle également un profil que l’on mentionne encore trop rarement dans les discussions sur la cybersécurité : le sensibilisateur. Former des bénévoles, des administrateurs de clubs, des salariés non techniques à reconnaître une tentative de manipulation, à ne pas cliquer sous la pression, à vérifier une identité avant d’accorder un accès : ce travail de terrain est aussi important que n’importe quelle solution technique.
Rehackt comme partenaire de structuration, pas seulement de recrutement
C’est là que Rehackt intervient avec une proposition qui dépasse le simple placement de candidats. Accompagner une fédération ou un club dans sa démarche de sécurisation, c’est d’abord comprendre où en est la structure sur ce sujet (souvent au tout début), définir avec elle les profils dont elle a réellement besoin en fonction de sa maturité et de ses ressources, puis identifier les candidats capables non seulement de maîtriser les aspects techniques, mais aussi de s’adapter à un environnement très différent d’une grande entreprise du CAC 40.
Recruter un responsable de la sécurité des systèmes d’information pour une fédération sportive, ce n’est pas recruter le même profil que pour une banque. Les enjeux de budget, de culture d’organisation, d’interlocuteurs non techniques, de gouvernance associative sont autant de paramètres qui changent le cahier des charges. C’est précisément ce type de lecture fine du contexte qui fait la différence entre un recrutement réussi et un recrutement qui tourne court au bout de six mois.
Rehackt accompagne également les structures dans la réflexion préalable au recrutement : avez-vous besoin d’un poste à temps plein, d’une prestation mutualisée, d’une mission de conseil ponctuelle pour poser les bases ? Ces questions méritent d’être posées avant de rédiger une offre d’emploi, et les réponses diffèrent selon la taille, le niveau d’exposition et les ressources disponibles.
En guise de conclusion : la mi-temps est finie
Le sport français sort d’une période pendant laquelle il a découvert, dans la douleur, qu’il n’était pas une exception dans le paysage des cibles numériques. Plus de dix-neuf fédérations touchées, des millions de licenciés exposés, un ministère de tutelle lui-même victime à deux reprises : le message est suffisamment clair pour ne plus prêter à interprétation.
La réponse ne peut pas être uniquement technologique. Les attaques qui ont réussi n’ont pas exploité des failles techniques sophistiquées : elles ont exploité des comportements humains, des processus insuffisamment sécurisés, des habitudes d’administration qui n’avaient jamais été remises en question. Ce sont exactement les mêmes vecteurs qui continueront d’être utilisés demain, avec des techniques toujours mieux affinées.
Construire une réponse durable implique de former, de sensibiliser, d’organiser, et oui, de recruter. Non pas dans la précipitation d’une réaction post-incident, mais dans la logique d’une stratégie pensée, adaptée à la réalité d’un secteur qui n’a pas les mêmes moyens qu’une multinationale, mais qui porte la responsabilité de données personnelles de millions de citoyens. Sur ce dernier point, s’appuyer sur un cabinet de recrutement en cybersécurité qui comprend les contraintes spécifiques des structures associatives et sportives, c’est éviter de chercher le bon profil au mauvais endroit, avec les mauvais critères.
C’est, en définitive, une question d’équité envers les licenciés. Ils ont fait confiance à leur club, à leur fédération, en fournissant leurs données. Cette confiance mérite d’être respectée, avec les compétences humaines qui vont avec.
Transparence sur les sources et la méthode
Les incidents cités dans cet article (fédérations touchées, volumes de données, techniques d’attaque) reposent sur des sources publiques vérifiées : communiqués officiels des fédérations concernées, publications de l’ANSSI, de la CNIL, et de sites spécialisés comme ZATAZ.com et Décideurs du Sport (Patrick Bayeux). Les chiffres relatifs au marché de l’emploi cybersécurité proviennent de l’Observatoire des métiers de la cybersécurité (ANSSI/AFPA/DGEFP, édition 2025), de l’étude OPIIEC (mai 2025) et du rapport BCG (novembre 2024). La problématique des plateformes d’inscription à des événements sportifs est fondée sur une analyse logique des vecteurs d’attaque observés, mais ne dispose pas à ce jour de statistiques officielles consolidées.
Laisser un commentaire