Le groupe Akira affirme détenir 46 Go de données provenant du Buffalo Convention Center. Ces fichiers incluraient des dossiers d’employés, des contrats, des informations financières et des données personnelles liées à environ 180 000 personnes.
Le centre n’a pas répondu aux demandes de commentaire. De son côté, Breach Sense a confirmé une fuite de données. Au-delà du cas Buffalo, cette affaire rappelle un point clé pour les professionnels de l’événementiel : les lieux ne gèrent plus seulement des espaces. Ils traitent aussi des données sensibles.
Les lieux événementiels concentrent désormais des données sensibles
Un centre de congrès n’est plus seulement un bâtiment avec des halls, des salles de réunion, des stands et des espaces de restauration. Il centralise aussi de nombreux fichiers liés à l’organisation des événements.
Ces fichiers peuvent concerner les participants, les exposants, les contrats fournisseurs, les accès techniques, les inscriptions, les paiements ou les outils utilisés par les équipes. C’est ce qui rend le sujet important pour les agences, les annonceurs et les prestataires. Une cyberattaque événementielle ne touche pas seulement le système informatique d’un lieu. Elle peut aussi fragiliser toute la chaîne de production d’un événement. Organisateurs, exposants, sponsors, sous-traitants, prestataires techniques et participants peuvent tous être concernés si des fichiers circulent entre plusieurs outils ou plusieurs acteurs.
Dans le cas de Buffalo, Akira revendique plusieurs types de données : employés, contrats, finances et informations personnelles. Toutefois, la prudence reste nécessaire. Ben Taylor, directeur résilience chez Gate 15, rappelle que les groupes de ransomware peuvent exagérer le volume ou la nature des données volées pour mettre la pression sur leurs victimes.
Cette nuance est importante. L’enjeu n’est pas d’affirmer trop vite l’ampleur exacte de l’incident. Il s’agit plutôt de constater que les données événementielles deviennent une zone de risque à part entière.
Ainsi, le sujet dépasse la sécurité informatique classique. Pour un salon B2B, une convention interne ou un congrès international, plusieurs questions deviennent centrales : quelles données le lieu collecte-t-il ? Qui peut y accéder ? Combien de temps les conserve-t-il ? Quels prestataires peuvent les utiliser ?
Le risque cyber entre dans le choix des centres de congrès
L’affaire Buffalo ne concerne pas seulement un lieu américain. Elle s’inscrit dans un contexte plus large pour le secteur des congrès, salons et événements professionnels.
D’autres lieux ont déjà été cités par des groupes de ransomware. Parmi eux figurent le Long Beach Convention & Entertainment Center, le Pennsylvania Convention Center, le Calgary TELUS Convention Centre et le Québec City Convention Centre.
Dans le cas de Long Beach, la ville a indiqué qu’une enquête avait identifié un risque d’accès non autorisé à certains fichiers personnels. Les notifications aux personnes concernées ont commencé en avril 2025, selon la communication officielle de la ville.
Par ailleurs, le contexte cyber reste tendu. Reuters rapporte que, selon le FBI, les plaintes liées aux ransomwares visant les infrastructures critiques aux États-Unis ont progressé de 9 % en 2024 par rapport à 2023. Le ransomware représentait alors presque la moitié des plaintes ransomware reçues par l’IC3 dans ce périmètre.
Dès lors, la cybersécurité événementielle devient un critère de vérification pour les organisateurs. Le choix d’un lieu ne peut plus se limiter à la capacité, au prix, à l’emplacement, à la restauration ou à la technique.
Il doit aussi intégrer la gestion des accès, les règles de notification, l’assurance cyber, les audits récents et la sécurité des prestataires connectés aux systèmes du lieu.
Les organisateurs ont donc intérêt à poser des questions précises avant de signer. Qui supervise la sécurité informatique du site ? Quand le dernier audit a-t-il eu lieu ? Quelles données participants ou exposants le lieu conserve-t-il ? Quel plan s’applique en cas d’incident ?
Pour les agences et les annonceurs, la leçon est directe : un événement professionnel repose aussi sur une chaîne numérique. Plus cette chaîne implique d’acteurs, plus les responsabilités doivent être claires avant l’ouverture des portes.
- Partager l'article :
