Le 23 septembre 2025, Boyd Gaming a déposé un formulaire 8-K auprès de la US Securities and Exchange Commission (SEC), confirmant qu’un cyberincident a permis à un tiers non autorisé d’accéder à son système informatique interne. L’incident, bien qu’il n’ait pas perturbé ses opérations selon l’entreprise, a déclenché plusieurs poursuites et enquêtes en recours collectif visant les pratiques de sécurité des données de l’opérateur.
Boyd Gaming a révélé que les données volées comprenaient des informations sur ses employés et un « nombre limité d’autres individus ». L’entreprise a envoyé une notification à ceux dont les données pourraient avoir été affectées et a informé les autorités compétentes. Malgré le sérieux de la situation, Boyd a précisé que l’incident n’a pas impacté ses opérations de casino ou d’hôtel et qu’il ne devrait pas avoir d’effet matériel sur sa santé financière ou ses résultats d’exploitation.
Pour se protéger, Boyd a déclaré disposer d’une « politique d’assurance cybersécurité complète », s’attendant à ce que celle-ci couvre les coûts liés aux expertises judiciaires, aux actions en justice, et aux amendes réglementaires, sous réserve des limites de la politique. Cependant, le moment exact, la durée, le temps de réponse et l’étendue complète de la fuite restent flous. La société collabore avec des experts externes en cybersécurité et les forces de l’ordre fédérales pour enquêter sur le problème.
Quelques jours seulement après la révélation du cyberincident, Scott Levy, ancien employé de Boyd, a intenté une action en justice devant le tribunal de district des États-Unis dans le Nevada. Levy accuse Boyd de négligence, de rupture de contrat implicite, d’enrichissement injustifié, et de violation de la loi sur la fraude aux consommateurs du Nevada. Il allègue que l’entreprise n’a pas mis en place de mesures de cybersécurité raisonnables, et que les données volées pourraient inclure des identifiants sensibles tels que les numéros de sécurité sociale.
Levy cherche à établir une action collective par un jugement déclaratoire. Ses avocats soutiennent que l’aveu de Boyd selon lequel un « tiers non autorisé a retiré certaines données » indique que les informations n’ont pas simplement été consultées mais volées, augmentant ainsi le risque de vol d’identité et de fraude financière. Moins d’une semaine après que Boyd ait informé la SEC de la fuite de données, trois cabinets d’avocats — Markovits, Stock & DeMarco, et Strauss Borrelli PLLC — ont déposé quatre poursuites supplémentaires au nom de plaignants résidant à Las Vegas, au Texas, en Louisiane, et dans l’Ohio. Les quatre poursuites cherchent également à établir une action collective impliquant des milliers d’employés actuels et anciens de Boyd Gaming, ainsi que des clients.
Les défenseurs des consommateurs soulignent que, comme pour les précédentes fuites de casinos, la vaste base d’employés de Boyd à l’échelle nationale pourrait considérablement élargir le pool de plaignants potentiels. La situation de Boyd met en lumière la vulnérabilité de l’industrie du casino aux cyberattaques, où le vol de données conduit de plus en plus à des règlements judiciaires de plusieurs millions de dollars.
Avant l’actualité de Boyd, plusieurs autres incidents ont attiré l’attention sur la cybersécurité dans le secteur des jeux. En août 2025, Bragg Gaming a confirmé un incident de cybersécurité affectant ses systèmes informatiques, bien que la société ait déclaré qu’il n’y avait aucun impact sur ses opérations ni indication de compromis des informations personnelles. En juillet 2025, Flutter Entertainment, la maison mère de FanDuel, a informé ses clients d’une cyberattaque compromettant les données de ses plateformes Paddy Power et Betfair. Bien que la violation se soit limitée à des détails de comptes de paris de base, elle a révélé la vulnérabilité des systèmes même pour des détails apparemment mineurs.
Les incidents de Caesars Entertainment et MGM Resorts en 2023, où des violations ont coûté jusqu’à 100 millions de dollars à MGM et ont forcé un règlement de 45 millions de dollars en début 2025, montrent que les opérateurs de jeux sont une cible privilégiée pour les cybercriminels. Les poursuites suivent souvent rapidement, obligeant ces entreprises à payer des règlements de plusieurs dizaines de millions de dollars.
Boyd Gaming fait maintenant face au même cycle de surveillance et de litiges qui a englouti ses rivaux, posant les bases d’une bataille juridique prolongée. Tandis que certains analystes prévoient des coûts juridiques élevés pour Boyd, d’autres considèrent que l’assurance cybersécurité de l’entreprise pourrait atténuer ces impacts. Toutefois, ces événements soulèvent des questions cruciales sur la nécessité de renforcer la résilience cybernétique dans le secteur du jeu, un défi majeur que les entreprises doivent relever pour protéger à la fois leurs intérêts et ceux de leurs clients et employés. Le débat persiste : faut-il investir davantage dans la prévention des cyberincidents ou se contenter de réagir aux attaques lorsque celles-ci surviennent ?
Luc Lemaire est un blogueur passionné qui adore écrire sur les casinos et l’industrie du jeu. Joueur à temps partiel depuis plusieurs années, il est fasciné par la psychologie du jeu.