Milan-Cortina 2026 : les JO d'hiver viennent de rappeler une vérité simple: tout le monde attaque les grands événements
Les JO d'hiver de Milan-Cortina 2026 ont commencé le 6 février. Et comme prévu, la cybersécurité n'a pas attendu la cérémonie d'ouverture pour entrer dans l'arène.
Les JO d’hiver de Milan-Cortina 2026 ont commencé le 6 février. Et comme prévu, la cybersécurité n’a pas attendu la cérémonie d’ouverture pour entrer dans l’arène.
En quelques jours, l’Italie a annoncé avoir déjoué plusieurs cyberattaques attribuées à une origine russe. Des attaques qui visaient des sites liés aux Jeux, des hôtels à Cortina d’Ampezzo, mais aussi des actifs plus sensibles : des portails du ministère des Affaires étrangères, jusqu’à l’ambassade à Washington. Un groupe pro-russe a revendiqué sur Telegram une campagne de DDoS, présentée comme une “réponse” au soutien italien à l’Ukraine.
À ce stade, aucune perturbation majeure. Les défenses ont tenu, appuyées par l’Agence nationale de cybersécurité italienne (ACN). Tant mieux.
Mais ce serait une erreur de se rassurer trop vite.
Parce que le message n’est pas “ils ont tenté”. Le message, c’est : ils tentent tout de suite. Et quand ça tape dès les premiers jours, ce n’est pas juste pour faire tomber un site. C’est pour prendre la température, mesurer les temps de réaction, cartographier les dépendances, et montrer qu’ils peuvent transformer un événement mondial en terrain d’affrontement.
On n’attaque pas “les JO”. On attaque l’attention mondiale.
Un grand événement sportif, c’est une vitrine planétaire. Et ça attire trois profils, toujours les mêmes :
Les acteurs étatiques (ou leurs proxys) : démonstration, pression, influence.
Les criminels : fraude, revente de données, monétisation rapide.
Les opportunistes : phishing, arnaques aux billets, usurpations, faux SAV.
La dimension “russe” s’inscrit dans un contexte évident : la Russie reste exclue des compétitions sous bannière nationale depuis l’invasion de l’Ukraine. Les JO deviennent alors un terrain parfait pour des opérations hybrides : un peu de nuisance, un peu de symbole, un peu de récit politique.
Le DDoS, c’est la partie visible. Le vrai risque est ailleurs.
Le DDoS, c’est spectaculaire. Ça fait des titres. Ça se revendique bien sur Telegram.
Mais le vrai risque, celui qui coûte, celui qui fait mal, celui qui fait paniquer un COMEX, ce n’est pas juste “un site lent”.
C’est :
- une attaque qui touche un prestataire clé, au mauvais moment ;
- une compromission qui se propage via des interconnexions ;
- une action sur des environnements OT (infrastructures opérationnelles) ;
- une campagne d’influence qui crée un incident “informationnel” plus vite que la cellule de crise ne sait répondre.
Et sur un événement comme les JO, tout est interconnecté. Tout est temporaire. Tout est sous tension.
Paris 2024 l’a montré : c’est une guerre d’usure, pas un match en une attaque
On a déjà vu ce film.
À Paris 2024, la défense a dû encaisser des volumes délirants. Des milliards de requêtes malveillantes bloquées, des DDoS massifs attribués à des acteurs étatiques, une pression continue.
La leçon : ce n’est pas “une attaque”. C’est une campagne.
Milan-Cortina arrive avec un handicap supplémentaire : plus de dépendance au cloud et une couche IoT/edge encore plus épaisse.
Capteurs. Billetterie connectée. Streaming. Contrôle d’accès. Logistique. Gestion des sites. Remontées mécaniques. Chronométrage. Tout ce qui “parle” devient une surface d’attaque. Et plus tu ajoutes d’objets et de prestataires, plus tu ajoutes d’angles morts.
La trinité 2026 : géopolitique + IA + IoT
Aujourd’hui, le cocktail est simple.
1) Géopolitique
Les JO sont une scène parfaite pour envoyer un message sans franchir le seuil d’un acte militaire classique.
2) IA
L’IA rend l’arnaque plus crédible et plus rapide :
phishing hyper-personnalisé ;
deepfakes d’officiels olympiques ;
faux communiqués “urgents” ;
usurpation de dirigeants chez les sponsors ;
et demain (en réalité déjà), des agents qui enchaînent reconnaissance > exploitation > rebond.
3) IoT / Edge
C’est le point faible structurel.
Parce que l’IoT est souvent hétérogène, mal inventorié, patché tard, opéré par plusieurs équipes. Et aux JO, on ne parle pas d’un seul Système d'Information : on parle d’un écosystème.
Les recommandations récentes de la CISA (l'agence américaine pour la cybersécurité) et l’esprit de la directive NIS2 insistent justement sur cette zone : visibilité, segmentation, durcissement, gestion des accès, maîtrise de la supply chain.
Business : sponsors, partenaires, prestataires… les plus exposés ne sont pas ceux qu’on croit
Les JO, ce n’est pas qu’un événement sportif. C’est une machine économique.
Sponsors, partenaires tech, diffuseurs, plateformes de billetterie, hôtellerie, transport : tout le monde est branché.
Et c’est exactement pour ça qu’une attaque “annexe” suffit à faire des dégâts :
- fuite de données clients ;
- interruption de service ;
- fraude ;
- perte financière directe ;
- et surtout : perte de confiance.
Ajoute un facteur souvent sous-estimé : l’assurance.
Sur ce type d’événement, les primes montent et les exclusions “actes de guerre cyber” (war exclusion) deviennent un sujet sérieux depuis NotPetya et la montée des tensions géopolitiques. Autrement dit : même si tu es victime, tu peux te retrouver à discuter couverture et responsabilité dans un brouillard juridique.
Les JO sont le crash-test de notre maturité cyber
Milan-Cortina 2026 le confirme : les grands événements sont devenus des arènes cyber-géopolitiques.
Les attaques déjouées depuis l’ouverture ne sont probablement pas le pic. Juste l’échauffement.
Pour les entreprises et les institutions européennes, le signal est clair : la question n’est plus “comment empêcher toute attaque”. La question est : comment encaisser sans rupture, sans perte de confiance, sans chaos opérationnel.
La France, avec son retour d’expérience (ANSSI, Paris 2024), a une carte à jouer. Parce que si les JO célèbrent l’excellence sportive, ils exposent aussi nos fragilités numériques collectives.
Et ça, en 2026, c’est un sport mondial.