Après plusieurs fuites de données dans le tourisme, le sujet dépasse le seul cadre des vacanciers. Les attaques récentes contre des acteurs comme Pierre & Vacances-Center Parcs, Belambra ou Gîtes de France rappellent que les bases de réservation, les plateformes client et les outils de paiement constituent des cibles sensibles.
Pour les professionnels de l’événementiel d’affaires, le signal est clair : inscriptions, billetterie en ligne, badges, données participants et prestataires techniques créent aussi une surface d’exposition importante. L’enjeu n’est plus seulement informatique. Il devient opérationnel, juridique et réputationnel.
Les données participants deviennent un actif sensible pour les organisateurs
Les cyberattaques visant le tourisme reposent sur une logique simple : les plateformes concentrent beaucoup d’informations personnelles au même endroit. Dans le cas Pierre & Vacances-Center Parcs, la fuite signalée concerne 1,6 million de réservations, avec des données liées aux séjours, aux occupants, aux numéros de téléphone et aux dates de naissance, sans donnée bancaire selon le groupe.
Pour l’événementiel d’affaires, la comparaison est directe. Un salon, un congrès ou une convention collecte souvent des noms, fonctions, entreprises, e-mails, numéros de téléphone, préférences d’accès, informations de paiement, parfois même des données liées au transport ou à l’hébergement.
Ainsi, la donnée participant ne sert plus seulement à gérer une inscription. Elle peut être utilisée pour du phishing ciblé, de l’usurpation d’identité ou des messages frauduleux se faisant passer pour l’organisateur, l’hôtel, la plateforme de badge ou le prestataire de voyage.
Par ailleurs, les événements professionnels réunissent souvent des publics à forte valeur : dirigeants, acheteurs, exposants, partenaires, journalistes, institutionnels. Dès lors, une base mal protégée peut avoir une valeur particulière pour des cybercriminels, même si elle ne contient aucune information bancaire.
Le rapport Cyberint / Check Point sur le secteur travel & tour operations observe déjà, entre 2023 et 2025, une hausse d’attaques ciblées incluant DDoS, ransomware, fuites liées au cloud et compromissions de prestataires.
La chaîne événementielle expose aussi les agences et leurs prestataires
Le risque ne se limite pas au site de l’événement. Dans un projet événementiel, plusieurs outils et acteurs interviennent : plateforme d’inscription, CRM, billetterie, contrôle d’accès, application mobile, agence, lieu, traiteur, hébergeur, régie technique, prestataire Wi-Fi ou solution de networking.
Cette chaîne de sous-traitance crée une dépendance forte. En effet, une faille chez un prestataire peut perturber l’ensemble du dispositif. Le cas Vivaticket l’a montré dans le secteur culturel : une cyberattaque contre cette plateforme de billetterie a entraîné des difficultés d’accès aux services de réservation en ligne pour plusieurs grands sites français, dont des musées et monuments.
Pour un salon ou un événement BtoB, l’impact peut être immédiat : impossibilité d’éditer des badges, ralentissement de l’accueil, perte d’accès aux listes d’inscrits, interruption des ventes en ligne ou messages frauduleux envoyés aux participants.
Toutefois, la réponse ne consiste pas à bloquer la digitalisation des événements. Elle impose plutôt de mieux encadrer les choix techniques. La CNIL a indiqué vouloir renforcer ses contrôles sur les grandes bases de données et souligne l’importance de mesures comme l’authentification multifacteur.
Concrètement, les agences et annonceurs ont intérêt à vérifier les pratiques de leurs prestataires : hébergement des données, droits d’accès, sauvegardes, délais de suppression, plan de continuité, gestion des incidents et conformité RGPD.
Enfin, l’ANSSI rappelle avoir traité 3 586 événements de sécurité en 2025. Ce niveau d’activité confirme que la cybersécurité n’est plus un sujet périphérique pour les professionnels exposés à des bases de données et à des flux numériques. Pour l’événementiel d’affaires, elle devient un critère de fiabilité au même titre que la sécurité physique ou la maîtrise logistique.
- Partager l'article :
