Le géant des casinos Boyd Gaming a reconnu un vol de données touchant ses employés, sans impact direct sur ses opérations. L’affaire souligne une nouvelle faille critique dans le secteur du jeu.
Boyd Gaming, exploitant majeur de casinos aux États-Unis, a révélé à la SEC avoir subi une cyberattaque ciblant ses systèmes internes. Les pirates ont dérobé des informations concernant des employés et un nombre limité d’autres personnes. Aucune perturbation n’a affecté les établissements ou l’activité opérationnelle, mais l’entreprise a engagé une procédure de notification des victimes et des régulateurs. Les autorités fédérales sont impliquées dans l’enquête. Cette attaque survient après plusieurs incidents similaires ayant touché récemment le secteur des jeux d’argent, notamment Caesars, MGM et la loterie de l’Ohio.
Une attaque ciblée sur les données internes
Boyd Gaming, groupe basé à Las Vegas et opérant 28 établissements dans dix États américains, a confirmé une intrusion dans son réseau informatique. Selon son dépôt de formulaire 8-K auprès de la SEC, l’incident n’a pas affecté les activités commerciales ni le fonctionnement des casinos, mais a entraîné le vol de données sensibles relatives à des employés et à « un nombre limité d’autres individus ».
L’entreprise n’a pas précisé la date exacte de l’attaque ni confirmé l’implication d’un ransomware. Les forces de l’ordre fédérales participent aux efforts de remédiation et de récupération. Boyd Gaming a lancé la notification des personnes concernées ainsi que des régulateurs d’État.
L’absence de perturbation visible dans les établissements montre que l’attaque a ciblé les systèmes administratifs plutôt que les infrastructures opérationnelles. Mais la compromission de données RH expose l’entreprise à des risques juridiques et réputationnels durables.
Un secteur fragilisé par une série de brèches
Ce nouvel incident s’inscrit dans une tendance inquiétante. Le secteur du jeu et des casinos connaît une recrudescence d’attaques informatiques. En novembre, Ainsworth Game Technology et International Game Technology ont subi des cyberincidents perturbant leurs opérations. Bragg Gaming Group a, pour sa part, signalé il y a un mois une compromission de ses systèmes.
Aux États-Unis, la loterie de l’Ohio a également été ciblée l’an dernier. Plus marquant encore, les attaques par ransomware contre Caesars Entertainment et MGM Resorts ont provoqué plus de 100 millions $ (94,6 millions €) de pertes cumulées. Le département de la Justice a récemment inculpé plusieurs membres présumés du groupe responsable, dont un adolescent qui s’est livré aux autorités.
Ces épisodes confirment que les opérateurs de jeux, qui stockent d’importants volumes de données financières et personnelles, sont devenus des cibles de choix pour les cybercriminels.
Dans son communiqué, Boyd Gaming assure que l’incident n’aura pas d’impact significatif sur sa situation financière. Le groupe, qui a enregistré 1 milliard $ (946 millions €) de revenus au dernier trimestre et encaissé 1,75 Md$ (1,65 milliard €) en juillet grâce à la cession de sa participation dans FanDuel, bénéficie d’une police de cyberassurance. Celle-ci devrait couvrir l’ensemble des frais de réponse, y compris les sanctions réglementaires.
L’épisode illustre toutefois une évolution du risque : les cyberattaques ne visent plus uniquement la continuité opérationnelle mais exploitent la valeur stratégique des bases de données internes. Pour les géants du jeu, la protection des infrastructures RH et des systèmes administratifs devient aussi critique que celle des machines ou des plateformes de paris.
La multiplication des brèches dans le secteur du jeu montre une vulnérabilité croissante face aux cybercriminels. La prochaine question est de savoir si les régulateurs imposeront de nouvelles obligations de cybersécurité aux opérateurs pour protéger non seulement les joueurs mais aussi leurs propres employés.
