M-1 coup d’envoi de la Coupe du Monde … et des cyberattaques ?
Pendant que les supporters organisent leur voyage, les cybercriminels construisent leurs pièges numériques. Et avec un tournoi réparti sur trois pays, l’économie des escroqueries devient plus complexe que jamais. À l’approche de la Coupe du monde de la FIFA, le secteur sportif fait face à un véritable test : sa capacité à sécuriser un écosystème devenu critique, sans en avoir encore pleinement les moyens.
Le sport cumule aujourd’hui trois caractéristiques clés d’une cible idéale : forte visibilité médiatique, données sensibles en volume, et maturité cyber encore inégale.
Avec un score moyen de 770/900 en France en avril 2026*, le secteur du sport est exactement à la moyenne française toutes industries confondues (770), mais fait partie des rares secteurs où la moyenne française reste inférieure à la moyenne mondiale. En effet, cyberscore de la filière est correct, mais sa surface d’attaque sous-estimée
Une explosion des fuites de données, terrain fertile pour les attaquants
Le premier facteur d’attractivité réside dans la nature même des données collectées. Les fédérations et clubs sportifs gèrent des informations sensibles sur des millions de licenciés : identité, coordonnées, parfois données médicales ou bancaires.
Ces bases de données constituent une cible de choix pour les cybercriminels, notamment pour :
- mener des campagnes de phishing ciblées
- alimenter des bases de revente sur le dark web
- faciliter des fraudes ou usurpations d’identité
« Le sport concentre aujourd’hui un volume massif de données personnelles, souvent moins bien protégées que dans d’autres secteurs régulés. C’est un terrain d’opportunité évident pour les attaquants », explique Martin Kraemer, expert en cybersécurité chez KnowBe4
Une surface d’attaque mal maîtrisée
Au-delà des données, c’est la structure même de l’écosystème sportif qui pose problème. Contrairement aux grandes entreprises ou aux opérateurs critiques, les organisations sportives reposent sur une multitude d’outils numériques hétérogènes : plateformes d’inscription, solutions de paiement, applications mobiles, sites web événementiels…
Cette fragmentation rend la visibilité sur les actifs numériques particulièrement complexe.
« Les fédérations sportives, par exemple, ont un système d’information plus critique qu’il n’y paraît : licences, officiels, clubs, billetterie, applications, paiements, partenaires. Cette superposition d’outils crée une surface d’attaque large, mouvante et souvent sous-inventoriée. », souligne Thomas Gayet, co-fondateur de Scovery.
Dans le sport, où coexistent structures professionnelles et associatives, cette problématique est encore plus marquée : peu de ressources dédiées, gouvernance IT diffuse, et recours fréquent à des prestataires multiples.
Au-delà des failles techniques, les cybercriminels exploitent de plus en plus le facteur humain, notamment via des campagnes de phishing. Un risque amplifié dans le sport, où coexistent salariés, bénévoles et licenciés, avec des niveaux de sensibilisation très variables.
Selon KnowBe4, plus de 90 % des cyberattaques réussies impliquent une erreur humaine. « Les attaquants utilisent l’actualité sportive et l’émotion autour des événements pour piéger les utilisateurs : faux billets, messages urgents, offres exclusives… Le facteur humain reste la première faille exploitée », analyse Martin Kraemer, expert en cybersécurité chez KnowBe4.
Des infrastructures critiques… sans en avoir le statut
Autre paradoxe : si le sport n’est pas considéré comme un secteur critique au sens réglementaire, son impact sociétal et économique est pourtant majeur.
Un incident cyber peut entraîner :
- l’interruption de compétitions ou d’événements
- des pertes financières liées à la billetterie ou aux sponsors
- une atteinte durable à l’image des organisations
« Les grandes compétitions sportives sont devenues des cibles privilégiées pour les attaques applicatives et les bots. Sans protection adaptée des applications et des API, les organisations s’exposent à des perturbations majeures », explique Arnaud Lemaire, expert en cybersécurité chez F5.
Des attaques de plus en plus sophistiquées
Les modes opératoires évoluent également. Les cybercriminels ne se contentent plus de voler des données : ils exploitent les vulnérabilités applicatives, ciblent les API ou lancent des attaques par déni de service (DDoS) pour perturber les événements.
Avec la montée en puissance des usages numériques (streaming, billetterie en ligne, applications fans), ces points d’entrée se multiplient.
Selon Arnaud Lemaire, expert en cybersécurité chez F5, les attaques applicatives web et API ont connu une croissance significative ces dernières années, devenant un vecteur d’attaque majeur. « Les applications et les API sont devenues le cœur des interactions numériques dans le sport. Elles concentrent aussi les risques. Sans protection adaptée, elles deviennent des portes d’entrée privilégiées ».
L’enjeu dépasse désormais la simple protection technique : il s’agit de mieux comprendre et maîtriser son exposition réelle, dans un environnement de plus en plus complexe.
« Dans le sport, la cybersécurité ne peut plus être une réponse ponctuelle à la menace. Elle doit partir d’une connaissance précise et actualisée du périmètre numérique exposé. Sans cela, les organisations défendent à l’aveugle un système qu’elles ne maîtrisent qu’en partie. Pour beaucoup, le changement de paradigme est déjà là », conclut Thomas Gayet, co-fondateur de Scovery.
*World Cyber Ranking de Scovery
