Mondial 2026 : pendant que les stades se remplissent, qui tient vraiment les clés de vos infrastructures ?

# Mondial 2026 : pendant que les stades se remplissent, qui tient vraiment les clés de vos infrastructures ?

Un événement mondial de cette ampleur, c'est des millions de connexions simultanées, des systèmes de billetterie sous pression maximale, des réseaux de transport saturés, des hôpitaux en alerte renforcée. C'est aussi, et c'est moins visible, une surface d'attaque qui explose.

Pour les équipes IT des PME et ETI européennes, la question n'est pas de gérer la sécurité du tournoi. C'est une autre : est-ce que votre SI tient debout quand tout le monde est sous tension — et est-ce que vous gardez la main dessus ?

Ce que « infrastructure critique » veut vraiment dire

Un SI critique (Système d'Information critique), ce n'est pas réservé aux opérateurs d'importance vitale — les fameux OIV, catégorie définie par l'ANSSI, l'Agence Nationale de la Sécurité des Systèmes d'Information. C'est n'importe quel système dont l'arrêt paralyse votre activité.

Pour une ETI logistique, c'est le WMS (Warehouse Management System, le logiciel de gestion d'entrepôt). Pour un hôpital privé, c'est le DPI (Dossier Patient Informatisé). Pour un gestionnaire de transport régional, c'est la plateforme de supervision des flottes.

Ces systèmes partagent souvent un point commun : ils tournent sur des briques américaines. Hébergement cloud chez un acteur dominant américain, authentification déléguée à un fournisseur d'identité US, supervision réseau via des outils dont les données transitent hors de l'UE. En temps normal, ça fonctionne. En période de crise ou de pic d'activité — comme un Mondial —, la dépendance devient risque opérationnel.

Le vrai problème : vous ne savez pas toujours où vos données vont

C'est là que le travail quotidien des équipes IT est directement impacté.

Imaginez : votre outil de monitoring réseau envoie des alertes vers un SIEM (Security Information and Event Management, un système centralisé de gestion des alertes de sécurité) hébergé aux États-Unis. En cas d'incident majeur — une cyberattaque coordonnée pendant un match à forte audience, par exemple —, vos données d'alerte traversent l'Atlantique avant de vous revenir. Le délai peut être négligeable. La perte de contrôle juridique, elle, ne l'est pas.

Depuis l'invalidation du Privacy Shield en 2020 et les tensions persistantes autour du Data Privacy Framework, tout transfert de données vers les États-Unis reste juridiquement fragile. Un contrôle CNIL mal anticipé, et c'est votre RSSI (Responsable de la Sécurité des Systèmes d'Information) qui porte le chapeau.

Ce que les équipes IT peuvent faire concrètement

Pas question ici de vous proposer une liste de solutions toutes faites. L'objectif est de pointer un réflexe de travail à adopter dès maintenant.

Ce réflexe s'appelle la cartographie de dépendance. Concrètement : pour chaque brique critique de votre SI, vous documentez trois choses.

Où sont les données hébergées ? Pas le nom commercial du service — le datacenter physique, sa localisation, et la loi qui s'y applique.

Qui a accès en cas d'incident ? Certains contrats cloud accordent à l'éditeur un accès support à vos environnements. C'est une porte d'entrée potentielle.

Quelle est votre capacité de bascule ? Si le service tombe ou si l'accès est coupé — par une décision réglementaire américaine, un conflit géopolitique, ou simplement une panne —, combien de temps avant de récupérer la main ?

Cet exercice prend du temps. Il est rarement fait. Et pourtant, c'est lui qui transforme votre équipe IT d'un groupe d'urgentistes en pilotes réels de leur SI.

Le signal européen à ne pas rater

La directive NIS 2 (Network and Information Security, version révisée), en cours de transposition dans les États membres, élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité renforcées. Des milliers de PME et ETI européennes entrent dans son champ d'application sans le savoir encore.

Parmi les exigences : la gestion des risques liés à la chaîne d'approvisionnement numérique. Autrement dit, vous êtes responsable de ce que font vos prestataires avec vos données. Y compris si ces prestataires sont des acteurs dominants américains.

C'est une contrainte. C'est aussi une opportunité pour les acteurs européens capables de proposer des alternatives hébergées sur sol européen, auditables, conformes par design.

Ce que ça change pour votre quotidien

Un Mondial, c'est dix-huit mois de montée en puissance des menaces ciblées sur les infrastructures liées à l'événement — transports, hôtellerie, santé, énergie. Vos équipes IT ne gèrent pas la sécurité des stades. Mais elles gèrent des SI qui gravitent autour.

La vraie question souveraine n'est pas « avons-nous le bon antivirus ? ». C'est : en cas de crise, qui décide pour votre infrastructure — vous, ou votre fournisseur américain ?

Reprendre la main commence par savoir répondre à cette question.