À moins de deux semaines du coup d’envoi, Unit 42 (Palo Alto Networks) publie une analyse détaillée des risques cyber associés à la Coupe du monde de football. Le tableau est structuré, documenté, et concerne directement les équipes de sécurité des organisations liées à l’événement — de près ou de loin.
Seize villes, trois pays, un réseau de tournoi superposé à des infrastructures permanentes
L’édition 2026, coorganisée pour la première fois par trois nations, se déroule du 11 juin au 19 juillet sur 16 villes hôtes réparties aux États-Unis, au Canada et au Mexique. Ce qui rend cette configuration intéressante d’un point de vue technique : chaque site de match fait tourner un réseau de tournoi temporaire posé sur des infrastructures existantes — stades de football américain, de football canadien, de Liga MX — qui n’ont pas été conçues pour cet usage. Ce réseau s’appuie lui-même sur des services municipaux que l’organisateur ne maîtrise pas : eau, énergie, transports, aéroports, services d’urgence.
Le risque OT, révélateur d’un retard structurel
L’un des points les plus documentés de l’analyse de Unit 42 concerne les systèmes industriels. La CISA a publié début 2026 l’avis AA26-097A, confirmant une campagne active ciblant des automates programmables exposés sur internet dans des infrastructures hydrauliques et énergétiques américaines. Or une évaluation conduite par la même agence en 2024 établissait que plus de 70 % des installations hydrauliques américaines ne respectaient pas les exigences de sécurité existantes.
Le parallèle avec ce que l’on observe dans nombre d’organisations publiques et privées — des équipements OT connectés, peu patchés, accessibles via des outils d’accès à distance grand public — est direct. La Coupe du monde n’a pas créé ce problème ; elle le rend simplement plus visible, en concentrant l’attention d’acteurs motivés sur une fenêtre temporelle précise.
Quand la chaîne de sous-traitance devient la principale variable d’incertitude
Unit 42 rappelle un élément souvent cité mais rarement bien traité : lors des Jeux olympiques de Pyeongchang en 2018, les premières traces du wiper Olympic Destroyer avaient été détectées chez un prestataire IT du comité d’organisation, plusieurs minutes avant les systèmes cibles. La chaîne de sous-traitance avait été le point d’entrée.
Pour 2026, chaque ville hôte contracte indépendamment pour la sécurité, les transports, l’hébergement, la connectivité. Les niveaux d’exigence en matière de cybersécurité varient d’un contrat à l’autre, d’une juridiction à l’autre. C’est un problème de gouvernance de la chaîne de valeur que les responsables informatiques reconnaîtront sans peine — la visibilité sur le niveau de sécurité réel des tiers reste l’un des angles morts les plus persistants.
Paris 2024 comme étalon opérationnel
L’ANSSI avait recensé plus de 140 événements cyber pendant les Jeux de Paris, dont 22 intrusions avérées. Aucune n’a perturbé la compétition. Unit 42 attribue ce résultat non pas à une absence de tentatives, mais à une préparation engagée plusieurs années avant les Jeux, incluant des exercices sur 500 sites et une coordination continue entre acteurs publics et privés.
Ce que ce précédent illustre pour tout responsable sécurité : la résilience lors d’un incident ne s’improvise pas pendant l’incident. Elle est le produit de décisions prises bien en amont — sur les sauvegardes, les runbooks hors ligne, les exercices de crise, la segmentation réseau. Le contexte du méga-événement sportif est ici un cas d’école relativement bien documenté, ce qui est rare.
