Données concernées

Cette attaque a entrainé un accès non autorisé aux données associées à la fiche :

• des licenciés pour la saison en cours et des personnes qui étaient licenciées il y a moins de quatre ans : nom, prénom, date de naissance, sexe, adresse postale, adresse mail, numéro de téléphone, n° de licence ;
• des personnes qui ont été licenciées à la Fédération depuis 2004 et qui ne le sont plus depuis quatre ans : nom, prénom, date de naissance, n° de licence.

2 900 000 licenciés/anciens licenciés sont concernés par la violation de certaines données de leur fiche licence.

Nous vous rassurons quant au fait qu’aucune donnée sensible (donnée bancaire, médicale…) n’a été compromise. En outre, aucune utilisation frauduleuse des données n’a été constatée à ce stade.

Mesures mises en place

Afin de limiter les conséquences de cette intrusion et assurer la sécurité des données, soyez assurés que la Fédération met en place toutes les mesures nécessaires pour y mettre fin et pour renforcer la protection de vos données personnelles.

Aussi, dès la découverte de cette attaque, la Fédération :

1) a immédiatement déclenché une enquête interne, aidée d’une équipe externe et des experts en cyber-incident de l’assureur STOÏK de la Fédération, qui est toujours en cours ;

2) a suspendu, par mesure de précaution, le service FFGym Licence. Nous vous tiendrons informés lorsqu’il sera à nouveau fonctionnel ;

3) a effectué les formalités nécessaires et notamment les déclarations auprès des autorités compétentes comme la CNIL et l’ANSSI. Une plainte va également être déposée ;

4) a prévu de renforcer dans les meilleurs délais les accès à FFGym Licence via un procédé de double authentification.

Au-delà d’assurer la sécurité des données, la Fédération œuvre pour permettre la continuité de son activité et de ses compétitions.

Préconisations

Par mesure de précaution, nous vous recommandons :

• de rester vigilants face aux risques de phishing, d’usurpation d’identité et aux éventuels courriels, appels ou messages suspects que vous pourriez être amenés à recevoir, ayant par exemple pour objectif de vous inciter à communiquer des données personnelles (données bancaires, etc.) 
• de ne jamais communiquer vos identifiants / mots de passe pour accéder aux outils fédéraux et notamment FFGym Licence ;
• d’utiliser un mot de passe fort et unique pour accéder à FFGym Licence et de le modifier une fois le service rétabli si ce n’est pas le cas ;
• en cas de doute, signaler à la Fédération tout comportement inhabituel à l’adresse ci-dessous.

Vous pouvez consulter les bonnes pratiques de sécurité numérique de la CNIL sur le lien suivant : https://www.cnil.fr/fr/mon-quotidien/ma-securite-numerique

Nous contacter

Pour toute question ou demande d'information complémentaire, le Délégué à la Protection des Données (DPO) est à votre disposition à l’adresse suivante : dpo@ffgym.fr

De prochaines communications seront effectuées au fur et à mesure de l’évolution de la situation.

La Fédération est pleinement mobilisée sur cet incident d’origine malveillante, met tout en œuvre pour en limiter les conséquences et assurer durablement la sécurité de vos données.