Canada / Mexique / États-Unis: Les risques cyber de la Coupe du Monde 2026 dépassent les systèmes des stades

• La Coupe du Monde 2026 générera une exposition cyber au-delà des systèmes des stades. La billetterie, les voyages, l’hôtellerie, les transports, le streaming, les sponsors, les fournisseurs et les services des villes hôtes constitueront probablement des cibles plus accessibles que les opérations des matchs.
• Les activités criminelles opportunistes devraient représenter la menace cyber la plus persistante. Le phishing, les fausses offres de billets et de voyages, le vol d’identifiants et la compromission des emails professionnels cibleront les supporters, les fournisseurs, les sponsors, les diffuseurs, les hôtels et les partenaires locaux.
• Les acteurs étatiques (Iran, Russie, Chine et Corée du Nord) exploiteront le tournoi de différentes manières pour servir leurs objectifs stratégiques.
• Les organisations liées à l’événement devront prioriser les contrôles d’identité, la gestion des accès fournisseurs et la réponse aux incidents. Les différences transfrontalières entre le Canada, le Mexique et les États-Unis compliqueront la coordination. 

Les activités criminelles devraient constituer la menace cyber la plus persistante autour de la Coupe du Monde 2026, centrées sur le phishing, le vol d’identifiants, les faux sites de billetterie et de streaming, ainsi que la compromission des emails professionnels. Le Secrétariat de la Sécurité et de la Protection citoyenne du Mexique (SSPC) a averti en mars que des cybercriminels utilisaient déjà les moteurs de recherche, les réseaux sociaux et les applications de messagerie pour promouvoir des sites clonés, de faux portails d’agences de voyage et de fausses identités de conseillers. 

Corée du Nord

La Corée du Nord s’inscrit davantage dans une logique opportuniste et financière que dans celle d’une menace étatique ouvertement perturbatrice, malgré des capacités cyber matures et actives à l’échelle mondiale. Les groupes affiliés à Pyongyang ont démontré leur capacité à mener des vols financiers de grande ampleur, des campagnes de phishing prolongées et des intrusions dans les réseaux financiers et d’entreprises à l’échelle mondiale. Si la Corée du Nord n’a pas systématiquement ciblé les grands événements sportifs pour en perturber le déroulement, elle a exploité des environnements internationaux à forte visibilité ainsi que des secteurs connexes — tels que l’hôtellerie, les voyages et les services financiers — pour des opérations de fraude et de collecte d’identifiants. Dans le contexte de la Coupe du Monde, les activités nord-coréennes se traduiraient plus probablement par des opérations de phishing, de fraude ou de vol d’identifiants visant les supporters, les fournisseurs et les partenaires, plutôt que par des perturbations directes des systèmes centraux de l’événement.

Iran

Les acteurs soutenus par l’Iran représentent la menace cyber la plus politisée. Compte tenu des tensions accrues entre les États-Unis et l’Iran, ainsi que des dynamiques de conflit plus larges au Moyen-Orient, Téhéran et ses groupes affiliés constituent la menace étatique la plus claire pour la Coupe du Monde. Les autorités gouvernementales ont averti que des acteurs liés à l’Iran pourraient cibler des infrastructures critiques américaines et d’autres entités d’intérêt pendant le tournoi, une évaluation étayée par des précédents observés lors des Jeux olympiques de Paris 2024. Parallèlement, des groupes liés au Corps des gardiens de la révolution islamique (CGRI) ont mené des campagnes d’ingénierie sociale de longue durée, notamment par l’usurpation d’identité de journalistes et d’organisateurs d’événements, afin de dérober des identifiants et d’obtenir un accès aux environnements cloud. 

Russie 

La Russie possède un historique récent de ciblage d’événements sportifs de premier plan et pourrait chercher à embarrasser un événement majeur organisé par les États-Unis et leurs alliés. Des acteurs cyber russes ont mené des campagnes de spear phishing et des intrusions préparatoires dans des réseaux liés aux Jeux olympiques avant de déployer le malware Olympic Destroyer, qui a perturbé les systèmes informatiques lors de la cérémonie d’ouverture des Jeux olympiques d’hiver de PyeongChang en 2018. Des activités liées à la Russie ont également ciblé des sites web et des hôtels associés aux Jeux olympiques d’hiver de Milan-Cortina 2026. Pour la Coupe du Monde à venir, les objectifs russes viseront probablement à infliger des dommages réputationnels et politiques, plutôt qu’à provoquer une destruction technique durable des systèmes centraux du tournoi ; les opérations cyber soutenues par la Russie chercheront avant tout à présenter les pays hôtes comme vulnérables ou mal préparés sur le plan opérationnel.

Chine

La Chine considère très probablement la Coupe du Monde comme une opportunité de mener des activités d’espionnage et de renforcer ses accès à des informations sensibles. Des communications intergouvernementales indiquent que des acteurs liés à la Chine se sont positionnés depuis des années au sein des secteurs des communications, des transports, de l’hébergement et d’autres infrastructures, et que les données exfiltrées peuvent permettre de suivre les communications et les déplacements de cibles. Les acteurs cyber liés à la Chine sont peu susceptibles de tenter des perturbations visibles de la Coupe du Monde, car de telles actions entraîneraient des conséquences diplomatiques et économiques disproportionnées par rapport aux bénéfices stratégiques. Ils privilégieront plutôt la collecte de données, l’établissement d’accès persistants et la surveillance de cibles à forte valeur, notamment liées aux gouvernements, aux transports, aux télécommunications et aux opérations de l’événement. 

Les États-Unis, le Canada et le Mexique considèrent la Coupe du Monde FIFA 2026 comme une priorité de sécurité nationale, avec la cybersécurité intégrée aux dispositifs plus larges de sécurité publique et de protection des infrastructures critiques.

• Aux États-Unis, une Task Force de la Maison-Blanche dédiée à la Coupe du Monde FIFA 2026 a été créée en mars 2025 afin de coordonner les préparatifs fédéraux. La CISA, en collaboration avec le FBI et les agences de gestion des risques sectoriels, mène des exercices de préparation avec des partenaires étatiques, locaux et du secteur privé. Ces activités portent sur la coordination de la réponse aux incidents, le partage d’informations et la simulation de scénarios impliquant des ransomwares, des attaques par déni de service distribué (DDoS) et des perturbations ou manipulations de services numériques accessibles au public liés au tournoi.
• Au Canada, Sécurité publique Canada coordonne les préparatifs dans le cadre fédéral-provincial-territorial (FPT), avec l’appui du Centre canadien pour la cybersécurité, qui soutient l’engagement auprès des villes hôtes et des opérateurs d’infrastructures critiques.
• Au Mexique, le SSPC, en collaboration avec la Garde nationale et les unités nationales de cybersécurité, coordonne les dispositifs d’alerte précoce et a déjà émis des avertissements concernant des fraudes cyber visant les services de billetterie, de voyage et d’hébergement liés au tournoi.

Dans les trois pays, une part importante de l’exposition repose sur les opérateurs du secteur privé — notamment dans l’hôtellerie, les transports, les télécommunications et les services événementiels — ce qui renforce la dépendance à la coordination des fournisseurs et au partage rapide d’informations. Les différences en matière de cadres juridiques et de procédures opérationnelles entre les États-Unis, le Canada et le Mexique compliqueront probablement la gestion des incidents en temps réel pendant le tournoi, en particulier lorsque des fournisseurs communs ou des services transfrontaliers sont impliqués. L’efficacité des mesures d’atténuation dépendra de la capacité des trois gouvernements à maintenir une coordination étroite via des structures communes, à assurer une communication continue entre agences et acteurs privés, et à conserver une visibilité sur un environnement opérationnel fragmenté et évolutif. 

Les organisations impliquées dans les opérations des villes hôtes doivent partir du principe qu’elles peuvent être ciblées, même si elles ne sont pas des entités officielles de la FIFA ; l’exposition est souvent héritée via l’intégration dans des systèmes et réseaux de fournisseurs partagés, plutôt que par un ciblage direct. Les mesures de protection les plus efficaces seront transversales et viseront à limiter l’impact des défaillances courantes :

• Considérer les systèmes d’identité comme des infrastructures critiques, car ils constituent le principal point de contrôle de l’écosystème. Mettre en œuvre l’authentification multifacteur, renforcer la gestion des accès à privilèges, surveiller les tentatives de collecte d’identifiants et analyser les comportements de connexion inhabituels.
• Segmenter autant que possible les systèmes technologiques des sites, les technologies opérationnelles et les systèmes liés aux services publics par rapport aux systèmes informatiques d’entreprise et aux services accessibles au public, tout en reconnaissant que ces séparations sont plus difficiles à maintenir dans des environnements événementiels temporaires où les fournisseurs et les systèmes à court terme créent des chevauchements.
• L’intégration rapide de partenaires temporaires dans des délais contraints peut compliquer la supervision ; il est donc essentiel de renforcer la gouvernance des fournisseurs dans les domaines de la billetterie, du streaming, de l’hôtellerie, des paiements et des transports.
• Tester en amont les dispositifs de réponse aux incidents transfrontaliers, de communication de crise et de restauration des services avant le début du tournoi. Veiller à ce qu’ils intègrent des scénarios de ransomware, DDoS, fuite de données et désinformation, ainsi que les différences juridiques, réglementaires et de divulgation entre le Canada, le Mexique et les États-Unis, susceptibles de compliquer la coordination en temps réel. 

En savoir plus sur l’exploitation de l’intelligence et de la gestion intégrée des risques pour des événements complexes et multisites comme la Coupe du Monde.