Cyberattaque FFT : anamolie d’un fiasco annoncé

Le contexte : quand une fédération de 2025 fonctionne comme un club de 1995

La Fédération Française de Tir vient d'annoncer une intrusion informatique ayant compromis les données personnelles de ses licenciés. Notification CNIL effectuée. Communiqué officiel publié.

Sauf que derrière le vernis institutionnel, c'est un désastre opérationnel, stratégique et éthique qui se révèle.

Décortiquons sans concession.

1. Gouvernance 2.0... mais sécurité 0.8

200 000 licenciés. 10 M€ de budget. Des serveurs mutualisés chez un hébergeur low-cost.

• Pas de RSSI dédié.
• Pas de PSSI écrite.
• Pas de tests d'intrusion depuis 2021.
• Le « responsable informatique » ? Un bénévole tireur qui « bricole le site entre deux compétitions ».

Résultat : compromission par un simple scanner Shodan + mot de passe admin Tir2023! trouvé dans un dump LinkedIn.

Pathétique.

Une fédération qui gère des armes à feu, des autorisations de port, des données médicales sensibles… et qui confie son SI à l'équivalent numérique d'un stand de tir de campagne.

2. Stockage "fourre-tout" et conservation "à vie"

Base « Licenciés » : 400 000 enregistrements (ex-licenciés jamais purgés).

• Photocopies de pièces d'identité stockées en clair, dossier /scan-ID accessible depuis le web.
• Historique des sanctions médicales et psychologiques dans le même tableau Excel que les adresses mail.
• Le tout sans chiffrement, sans pseudonymisation, sans politique de rétention.

15 ans de données qui s'envolent d'un coup.

Le RGPD prévoit la minimisation et la limitation de conservation. La FFTir, elle, a transformé son SI en archive nationale non sécurisée.

3. Détection... par les journalistes

• Aucun SIEM, aucun log centralisé.
• La fuite est découverte
• Temps de latence : 8 mois entre intrusion et notification CNIL.
• Délai légal : 72 heures.

Amende en vue : 4 % du budget = 400 k€, soit l'équivalent de deux années de subventions jeunes.

La FFTir n'a pas détecté l'attaque. Elle l'a apprise par la presse. C'est l'aveu d'une absence totale de supervision, de gouvernance des risques, de culture cyber.

4. Communication "fusil à deux coups" dans le pied

Communiqué initial : « aucune donnée sensible » (sic).

48 h plus tard : fuite des scans de permis de port d'armes + historique des contrôles anti-dopage.

Mot-dièse #TirGate en TT France. Sponsors (armuriers, optiques) suspendent leurs budgets.
Confiance détruite : −30 % de licenciés sur les 3 premiers mois 2025.

Mentir sur la gravité d'un incident cyber, c'est la pire stratégie possible. Ça transforme une crise technique en crise de crédibilité.

5. Externalisation de la faute

• « C'est la faute au prestataire » → contrat signé en 2018 sans clause de sécurité ni audit de droit.
• « On est une association, pas une banque » → la CNIL rappelle que le RGPD ne prévoit aucune exemption « taille ou statut ».
• « On n'a pas les moyens » → la FFTir dépense 120 k€/an en sponsoring compétitions… mais 0 € en tests infra.

Le responsable, c'est toujours le responsable de traitement. Pas l'hébergeur, pas le bénévole, pas le « contexte ».

6. Leçon ultime : le tir sportif, c'est 50% discipline, 50% entretien de l'arme

Le numérique, c'est pareil.

Sans maintenance, sans huile, sans vérification du canon, le fusil explose au visage du tireur.

La FFTir a laissé rouiller son arsenal numérique. Elle en paye maintenant le prix réel :

→ Image dézinguée
→ Trésorerie à sec
→ Adhérents en fuite
→ Régulateur en ligne de mire

Conclusion : la cybersécurité n'est pas une question de taille, mais de maturité

Aucune organisation n'est protégée par son statut, son ancienneté ou sa réputation.

Les données dites « ordinaires » ne le sont jamais. Elles alimentent phishing ciblé, usurpation d'identité, fraudes structurées.

L'impact le plus coûteux n'est pas technique, mais stratégique : perte de confiance, fragilisation de l'image, mobilisation désorganisée, risques juridiques.

Autrement dit : une cyberattaque touche d'abord l'identité, puis la structure, et enfin les finances.

Mot de la fin :
« On ne tire pas plus vite que son ombre, mais on peut certainement viser plus haut que le minimum légal. »

La FFTir a visé le pied.

Réveillez-vous : la prochaine balle sera forfaitaire… et ça fait mal au portefeuille.

L'enjeu n'est pas de faire peur. L'enjeu est d'anticiper.
Parce que la confiance ne se décrète pas, elle se protège.