G7 Évian 2026 : Les Cyberrisques et nos Recommandations

Dans six semaines, les sept plus grandes économies du monde seront à notre porte. Le périmètre du sommet se trouve sur la rive française, mais l’essentiel des délégations, des journalistes et des observateurs corporate atterrira à Genève, dormira côté suisse et traversera le lac chaque jour. Pour toute organisation active sur l’arc Genève, Lausanne, Vaud, Valais et Haute-Savoie, la question n’est plus de savoir si le sommet va nous toucher, mais sous quelle forme.

Les sommets attirent un mélange prévisible d’adversaires : des hacktivistes qui cherchent un tableau d’affichage public, des services étatiques qui considèrent l’événement comme leur meilleure fenêtre de collecte de l’année, et des criminels qui exploitent le bruit ambiant pour faire passer leur travail à côté de défenseurs distraits. Bürgenstock 2024 a été la répétition générale, et la campagne contre La Poste de décembre 2025 a montré que les infrastructures critiques françaises et suisses restent des cibles de choix même en dehors des semaines de sommet. Évian sera plus intense, pas moins.

Les huit risques pour la fenêtre Évian

1. Vagues de DDoS hacktivistes calées sur le calendrier du sommet
2. Collecte de renseignement étatique via les hôtels, les transports et les telcos
3. Usurpation pilotée par l’IA : appels deepfake, voix clonées, fake news, criminalité agentique
4. SMS blasters et interception cellulaire dans et autour du périmètre
5. Compromission des systèmes hôteliers : keycards, property management, infrastructure en chambre
6. Spyware sur smartphone visant les délégués, les journalistes et les dirigeants
7. Perturbation des transports publics et de la logistique
8. Arnaques visant la population sous prétexte de gendarmerie, banques, marque du sommet et La Poste suisse

Risque 1 : vagues de DDoS hacktivistes calées sur le calendrier du sommet

Pourquoi c’est un risque

L’hacktivisme pro-russe est l’élément le plus prévisible du paysage de la menace. Des groupes comme NoName057(16) opèrent selon un modèle public : une liste de cibles quotidienne diffusée via Telegram, un client DDoS volontariste écrit en Go, et une préférence claire pour les dates symboliques. Sommets, élections, anniversaires et pics commerciaux sont les déclencheurs. La France est l’un des trois pays européen le plus ciblé, et la Suisse a été lourdement touchée pendant Bürgenstock. Pour toute organisation dont le nom apparaît sur une liste publique, une indisponibilité pendant la semaine du sommet est un événement visible des clients, indépendamment du niveau de sophistication technique de l’attaque.

Précédent récent

Pendant Bürgenstock 2024, NoName057(16) a lancé des vagues de DDoS chaque jour du sommet contre les sites fédéraux suisses et les organisations liées à la conférence. Du 22 au 24 décembre 2025, le même groupe a frappé La Poste et La Banque Postale au pic des livraisons de Noël et, le même jour, le métro de Rennes, le tramway d’Angers, plusieurs aéroports français, l’agence de sécurité routière et les portails EDF. La DGSI a repris l’enquête. L’opération Eastwood (Europol et Eurojust, juillet 2025) a saisi de l’infrastructure et émis des mandats d’arrêt, mais le groupe était de nouveau opérationnel quelques heures plus tard. Les groupes Z-Pentest, Sector 16, Dark Engine et CARR sont en train de dépasser le DDoS pour s’attaquer à l’OT, avec des intrusions documentées sur des HMI industriels dans les secteurs de l’eau, de l’énergie et de l’agriculture. La France a déjà été touchée : Le Monde a vérifié une vidéo montrant la Cyber Army of Russia accédant au système de contrôle d’un moulin à eau français en avril 2024.

Comment se protéger

Partir du principe que le DDoS aura lieu, et planifier pour continuer à fonctionner pendant.

• Scrubbing always-on en Layer 3, Layer 4 et Layer 7, pas en mode on-demand. La plupart des attaques de niveau réseau durent désormais moins de dix minutes, ce qui est plus rapide que tout cycle d’autorisation humain.
• S’abonner aux flux IOC de GovCERT.ch et surveiller les canaux Telegram pertinents pour repérer les mentions de votre marque ou de votre secteur dans les listes de cibles.
• Pré-autoriser le scrubbing provider à activer la protection sur la base d’une mention dans une target list, pas sur la base d’une métrique d’impact client.
• Renforcer les défenses Layer 7 sur les endpoints d’authentification : rate-limiting, filtrage par fingerprint JA3 et JA4, protections cache-bypass.
• Préparer un mode dégradé et le communiquer à l’avance : canaux de communication alternatifs pour les clients, pages de repli statiques ou en cache, allow-listing des plages IP des partenaires de confiance, procédures manuelles pour les workflows qui dépendent de systèmes exposés à internet.
• Construire de la redondance dans la connectivité elle-même : Même les fournisseurs hyperscale ont constaté des attaques d’une ampleur sans précédent ; la redondance doit donc inclure des hypothèses concernant le fournisseur, le DNS et la connectivité.

Risque 2 : collecte de renseignement étatique

Pourquoi c’est un risque

Les services étatiques ne ciblent pas la salle de négociation. Ils ciblent les fournisseurs autour de la salle de négociation, parce que c’est là que l’accès est durable et l’attribution difficile. Les hôtels font tourner IPTV, IP-PBX, vidéosurveillance, contrôle d’accès et Wi-Fi invité sur des réseaux souvent peu segmentés. Les opérateurs de transport portent de la télémétrie et des données de mouvement. Les telcos portent tout. Les mêmes opérateurs qui compromettent ces fournisseurs des années avant un sommet sont ceux qui exploitent cet accès pendant le sommet. La leçon d’Olympic Destroyer en 2018, c’est que les credentials et les points d’ancrage avaient été dérobés des mois à l’avance, et n’avaient été activés que le jour J. Pour les organisations du Léman, la question n’est pas de savoir si vous êtes une cible primaire, mais si vous êtes dans la supply chain de l’une d’elles.

Précédent récent

La France a publiquement attribué APT28, opéré par le GRU, à une campagne de quatre ans contre douze entités françaises en avril 2025. Les cibles incluaient des ministères, des sociétés de défense et d’aérospatiale, des think tanks et un organisme sportif impliqué dans Paris 2024. L’ANSSI a documenté l’usage d’edge devices compromis, de fausses pages Roundcube et Outlook Web Access, et un command-and-control caché dans des services cloud légitimes comme OneDrive et Google Drive. La compromission du Ministère de l’Intérieur français du 11 au 12 décembre 2025 a permis aux attaquants d’atteindre le portail CHEOPS, porte d’entrée des fichiers de police, via des mots de passe envoyés en clair dans des emails internes. Côté chinois, l’avis conjoint CISA, NSA et FBI d’août 2025 sur Salt Typhoon a explicitement nommé les telcos, les administrations, les transports, l’hôtellerie et les réseaux militaires comme secteurs ciblés, avec les routeurs de backbone et les edge devices comme point d’entrée privilégié. La fuite Webex de la Bundeswehr de février 2024, où un officier supérieur a rejoint un appel sensible depuis un hôtel à Singapour et où l’audio s’est retrouvé sur les médias d’État russes, reste l’illustration la plus claire du problème des réseaux hôteliers.

Comment se protéger

• Appliquer maintenant, pas en juin, les patches mentionnés dans les avis récents de l’ANSSI et de la CISA : Ivanti Connect Secure, Palo Alto GlobalProtect, chaînes Cisco IOS XE GuestShell, Roundcube, NTLM relay sur Outlook.
• Déplacer la gestion privilégiée des edge devices sur un réseau d’administration out-of-band dédié. Auditer les configurations actives par rapport aux baselines autorisées chaque semaine pendant la fenêtre du sommet.
• Hôtels, lieux de conférence et organisations fournisseurs doivent faire tourner les credentials d’administration avant le 1er juin et de nouveau après le 30 juin. Olympic Destroyer nous a rappelé que les credentials volés dorment des mois avant d’être utilisés ; la rotation casse ce schéma.
• S’assurer que toute recommandation issue du dernier penetration test est fermée avant le 1er juin. Après, c’est trop tard.
• Pour les dirigeants ou collaborateurs qui pénètrent dans le périmètre, leur demander d’éviter le Wi-Fi de l’hôtel et d’utiliser plutôt le forfait data de leur téléphone. La TV et les autres smart-devices de la chambre doivent être débranchés pendant les échanges sensibles.

Risque 3 : usurpation pilotée par l’IA, fake news et criminalité agentique

Pourquoi c’est un risque

Le coût de production d’un appel vidéo deepfake convaincant, d’une voix clonée de dirigeant, d’une opération de phishing taillée sur mesure ou d’un faux article de presse s’est effondré. Quelques secondes d’audio public suffisent pour produire un clone vocal exploitable. Une réunion Teams à plusieurs participants peut être mise en scène avec des visages synthétiques en temps réel. Côté criminel, les large language models sont utilisés de bout en bout pour mener des intrusions, calculer des montants de rançon et rédiger des notes d’extorsion, ce qui permet à des opérateurs aux compétences techniques limitées de se comporter comme une petite équipe. Autour d’un événement très exposé, les attaquants exploitent le rythme accéléré des décisions urgentes, des interprétations de sanctions et des paiements de dernière minute. Le moment dangereux, c’est l’appel vidéo d’un visage familier qui demande un virement confidentiel qui « ne peut pas attendre la fin du sommet », ou un faux communiqué de presse attribué à un participant ou à un fournisseur qui fait bouger marchés et réputations en quelques minutes.

Précédent récent

En janvier 2024, le bureau de Hong Kong de la société d’ingénierie Arup a transféré environ 25 millions de dollars après un appel Teams où le CFO et plusieurs collègues s’avéraient entièrement générés par IA. Ferrari a déjoué une tentative similaire contre son CEO en juillet 2024 grâce à une simple question sur une recommandation de livre ; WPP et LastPass ont déjoué des tentatives comparables la même année. Côté criminalité agentique, le rapport de threat intelligence d’Anthropic d’août 2025 a documenté un opérateur ayant utilisé son agent de coding pour mener une campagne d’extorsion de bout en bout contre dix-sept organisations, dont des structures de santé et des services d’urgence. Côté opérations d’influence, des vidéos de faux lanceurs d’alerte générées par IA et des déclarations fabriquées attribuées à des responsables politiques européens, des dirigeants et des marques sont passées d’occasionnelles à quasi quotidiennes au fil de 2025 et début 2026.

Comment se protéger

• Établir un protocole écrit de vérification voix et vidéo. Aucun virement au-dessus d’un seuil défini ne doit passer sur la seule base d’un appel vidéo ou vocal, quelle que soit la séniorité apparente du demandeur. Le protocole doit inclure un callback vers un numéro connu, un mot de code, et une politique board claire selon laquelle un dirigeant légitime ne se vexera pas d’une vérification.
• Inventorier les enregistrements audio et vidéo publics de chaque membre du C-suite pour que l’équipe communication puisse authentifier ou démentir un clip deepfake en quelques minutes.
• Pré-rédiger les holding statements pour les trois scénarios les plus susceptibles de demander une réponse publique rapide : un deepfake du CEO, un faux communiqué de presse attribué à l’organisation ou à un participant, et un hack-and-leak.
• Activer un service de monitoring de marque et de dirigeants couvrant Telegram, X, les clones de sites de presse et les agrégateurs de vidéos générées par IA, jusqu’au 31 août 2026.
• Traiter les fake news visant un participant ou un fournisseur comme un scénario prévisible, pas exotique. L’attaquant n’a pas besoin de vous compromettre pour vous nuire ; un faux communiqué crédible attribué à votre CEO, à votre fournisseur ou à un délégué bougera le marché et l’inbox avant tout cycle de vérification.

Risque 4 : SMS blasters et interception cellulaire

Pourquoi c’est un risque

Une fausse station de base 2G installée dans le coffre d’une voiture peut forcer chaque téléphone alentour à rétrograder en 2G. Une fois le téléphone en 2G, le même équipement peut faire trois choses : injecter directement des SMS dans l’appareil, intercepter les appels et les SMS entrants et sortants, et collecter les identifiants d’abonnés (IMSI) de toutes les personnes présentes dans le périmètre. Le matériel coûte environ 3’000 dollars en ligne. Pour une ville qui accueille des chefs d’État, cette capacité combine fraude opportuniste contre la population locale, fraude financière contre les délégations, écoute des appels et SMS, et collecte de renseignement sur qui était où et quand.

Précédent récent

Le 14 octobre 2025, la police suisse a arrêté un ressortissant chinois qui circulait avec un SMS blaster autour de Muttenz près de Bâle, en diffusant de faux messages de La Poste, Migros et UBS. Une opération parallèle a permis l’arrestation de trois autres hommes opérant des dispositifs similaires en Suisse romande dans les semaines précédentes. La France prépare le procès de quatorze prévenus pour une campagne de smishing à 23 millions d’euro qui utilisait des IMSI catchers pour envoyer des centaines de milliers de faux SMS d’Ameli ; le marchand d’armes chinois qui avait fourni le dispositif a été arrêté à Genève alors qu’il attendait un vol pour Toronto. Le Royaume-Uni a poursuivi des cas comparables en 2024 et 2025, et fin septembre 2025 le US Secret Service a démantelé une opération beaucoup plus vaste dans la zone de New York dans les jours précédant l’Assemblée Générale des Nations Unies. La capacité décrite dans ce dossier incluait non seulement le smishing de masse, mais aussi la possibilité de perturber les antennes mobiles et les services d’urgence.

Comment se protéger

• Sur chaque smartphone de dirigeant et de délégué qui passera du temps dans le périmètre, désactiver le fallback 2G dans le système d’exploitation. Les SMS blasters et la plupart des attaques d’interception d’appels reposent sur la rétrogradation 2G ; un téléphone moderne contraint en 4G ou 5G uniquement devient une cible nettement plus difficile.
• Utiliser de la messagerie et des appels end-to-end encrypted pour tout ce qui est sensible : Signal ou Threema pour les messages, la voix et la vidéo. Cela ajoute une seconde couche de chiffrement qu’un IMSI catcher ne peut pas retirer, même s’il parvient à intercepter le canal cellulaire.
• Briefer le personnel et les familles pendant le mois de mai sur le fait qu’ils recevront des SMS de smishing, et sur le fait que la plupart des institutions ne demandent pas d’action via un lien embarqué dans un SMS.
• Pour les rôles les plus exposés, distribuer des burner devices pour la durée de l’événement.
• Pré-établir des contacts d’escalade chez Swisscom, Sunrise, Salt et chez les principaux opérateurs français ; ils disposent d’une télémétrie de détection que vous n’avez pas.

Risque 5 : compromission des systèmes hôteliers

Pourquoi c’est un risque

Les hôtels constituent une surface d’attaque unique parce qu’ils combinent un périmètre physique poreux, un réseau IT souvent à plat, un fort turnover de personnel à privilèges, et des invités sensibles. Quatre problèmes convergent pendant un sommet. Premièrement, l’écosystème de keycards sur lequel reposent la plupart des établissements présente des faiblesses bien documentées qui n’ont pas été entièrement corrigées. Deuxièmement, les groupes criminels spécialisés dans le social engineering des help-desks hôteliers se sont avérés extrêmement efficaces et restent actifs. Troisièmement, les credentials individuels du personnel et les données de réservation sont régulièrement échangés sur les marchés d’infostealers, ce qui offre à n’importe quel attaquant un chemin à faible coût vers les systèmes internes d’un établissement. Quatrièmement, l’infrastructure en chambre (smart TV, assistants vocaux, IPTV, tablettes en chambre, téléphones IP) est rarement segmentée des éléments sensibles.

Précédent récent

En mars 2024, des chercheurs ont divulgué l’ensemble de vulnérabilités Unsaflok touchant les serrures dormakaba Saflok, utilisées sur environ trois millions de portes dans treize mille hôtels et cent trente et un pays. Avec une seule keycard de l’établissement, y compris une carte expirée récupérée dans une boîte d’express checkout, plus un dispositif RFID à 300 dollars ou un Flipper Zero, un attaquant peut forger une master key qui ouvre toutes les portes, deadbolt compris. À la date de divulgation, environ un tiers des serrures seulement avait été mis à jour. Côté social engineering, Scattered Spider et les groupes adjacents ont produit les compromissions de MGM et Caesars en 2023, le ransomware Omni Hotels en 2024, et la compromission de Transport for London peu après. Le même playbook (usurpation auprès du help-desk, MFA fatigue, SIM-swap) est aujourd’hui d’usage courant dans la criminalité.

Comment se protéger

Pour les organisations qui hébergent des délégations :

• Demander à l’établissement, par écrit, l’état de patching de son système de keycard Saflok ou équivalent et l’état de migration de MIFARE Classic vers MIFARE Ultralight C.
• Auditer la segmentation réseau entre Wi-Fi invité, IPTV, IP-PBX, property management system, vidéosurveillance et systèmes de contrôle d’accès. Exiger un SSID dédié aux délégués en WPA3-Enterprise.
• Faire tourner tous les credentials d’administration du property management system, de la plateforme de booking, des encodeurs de keycards et du plan de gestion Wi-Fi, avant le 1er juin et de nouveau après le 30 juin. La leçon d’Olympic Destroyer s’applique ici directement : les attaquants volent les credentials hôteliers des mois à l’avance et les déclenchent au pire moment.

Pour vos propres collaborateurs et délégués qui arrivent en tant que clients :

• Traiter le réseau de l’hôtel comme hostile par défaut.
• Ne pas utiliser l’infrastructure de communication en chambre pour quoi que ce soit de sensible : ne pas appeler depuis le téléphone en chambre, ne pas streamer de réunions sur la TV en chambre, ne pas appairer un laptop avec les écrans en chambre. Si la chambre est équipée d’une smart TV ou d’un assistant vocal, le débrancher.
• Ne rien laisser de sensible dans la chambre quand vous n’y êtes pas : laptops, notes papier, badges et téléphones partent avec vous ou dans une enveloppe scellée déposée à la consigne. Si l’hôtel propose un coffre à la réception qui utilise un système de clé différent, le préférer au coffre en chambre.
• Utiliser le verrou physique (chaîne ou deadbolt) lorsque vous êtes dans la chambre. Le problème Saflok rend la serrure électronique moins fiable qu’elle n’en a l’air.

Risque 6 : spyware sur smartphone

Pourquoi c’est un risque

Les attaques sur mobile se sont intensifiées fortement depuis le début de 2026. Ce qui était une menace exotique réservée aux journalistes et aux dissidents est désormais déployé en masse contre toute personne pouvant avoir un intérêt financier ou politique. L’outillage est passé d’une poignée de vendeurs à des éditeurs commerciaux de spyware et à des canaux de prolifération criminelle. Le modèle d’infection a aussi changé : watering-hole, où la simple visite d’un site légitime dans lequel du code malveillant a été silencieusement injecté suffit à compromettre le téléphone. Il n’y a rien à cliquer, rien à repérer, et le training de sensibilisation classique n’aide pas.

Précédent récent

Deux chaînes d’exploit iOS liées, Coruna et DarkSword, ont fait surface entre novembre 2025 et mars 2026, et ont été observées en utilisation par plusieurs acteurs : éditeurs commerciaux de surveillance russes, alignés Saoudiens et turcs, plus une prolifération criminelle après la publication d’une version sur GitHub. Elles infectent les appareils dès la simple visite d’un site légitime compromis, utilisent une chaîne de vulnérabilités pour s’échapper du sandbox du navigateur, et exfiltrent silencieusement messages, appels, géolocalisation, historique de navigation, mots de passe Wi-Fi, données de santé, notes et crypto wallets. Apple a publié des patches d’urgence sur iOS 15, 16 et 18 pour les corriger, mais des centaines de millions d’appareils restent non patchés. Les campagnes Pegasus, Predator et TriangleDB se poursuivent en parallèle contre journalistes et hauts fonctionnaires.

Comment se protéger

• Activer le hardening mode sur chaque iPhone de dirigeant et de délégué (iOS Lockdown Mode) et sur Android (Google Advanced Protection Program). Ces modes réduisent volontairement la surface d’attaque en désactivant des fonctionnalités sur lesquelles s’appuient les chaînes d’exploit, et constituent désormais la baseline pour tout rôle exposé autour du sommet.
• Exiger le dernier niveau de patch avant le déplacement et pendant la fenêtre du sommet. Coruna comme DarkSword sont neutralisés par les patches actuels.
• Déployer une solution de Mobile Threat Defence (MTD) en standard sur les smartphones de dirigeants, de délégués et de journalistes. Il n’est plus raisonnable de laisser les smartphones hors du périmètre de détection corporate.
• Redémarrer le téléphone tous les jours. Coruna et DarkSword sont fileless et ne survivent pas à un reboot. Le redémarrage quotidien est le contrôle le moins coûteux qui élève réellement le coût de ces attaques.
• Restreindre l’installation d’applications aux stores officiels ; passer en revue les VPN, « battery savers » et applications clavier installées, qui sont des vecteurs de spyware classiques.
• Pour les profils les plus exposés, faire tourner un baseline forensique avant et après le déplacement.
• Avant toute réunion réellement sensible, éteindre le téléphone (pas mode silencieux, pas mode avion) et le placer un bloqueur de signal (passif) et voix dans la pièce. Un téléphone allumé, même sur écran verrouillé, reste un microphone.

Risque 7 : perturbation des transports publics et de la logistique

Pourquoi c’est un risque

Les réseaux de transport pendant un sommet sont le ventre mou du dispositif de sécurité. Perturber un aéroport, un métro, un tramway ou un service postal ne demande pas de percer des défenses de niveau diplomatique ; il suffit de percer celui des fournisseurs de billettique, de signalisation, de paiement sans contact ou d’information voyageurs dont l’hygiène IT est la plus faible. L’impact réputationnel est asymétrique : six heures d’indisponibilité de la billettique d’un tramway font la une de tous les journaux qui couvrent le sommet, alors que l’incident de sécurité réel est enterré quelques semaines plus tard dans un dépôt réglementaire.

Précédent récent

Transport for London a été compromis le 31 août 2024 dans une intrusion attribuée à Scattered Spider. Les trains continuaient de rouler, mais Oyster et le paiement sans contact, l’API Citymapper, les caméras de circulation, le dial-a-ride et les systèmes de licensing sont tombés pour des semaines. Les dommages ont atteint environ 40 millions de livres, et les données personnelles d’environ dix millions de voyageurs, y compris numéros de comptes bancaires et sort codes, ont été exfiltrées. NoName057(16) a mené une campagne au premier trimestre 2026 qui a frappé les réseaux de transport de Munich et de Dortmund plus de cent fois chacun. La France a connu des incendies sur des armoires de signalisation ferroviaire pendant les Jeux Olympiques de Paris 2024, et le même mode opératoire s’est répété en Allemagne et en Pologne depuis.

Comment se protéger

• Pour les opérateurs de transport, de logistique et d’hôtellerie de la région, traiter mai 2026 comme la dernière date acceptable pour le durcissement du help-desk, la revue MFA sur tous les identity providers exposés aux clients, la rotation des credentials d’administration sur les plateformes de billettique et d’opérations, et un walk-through de la procédure de réinitialisation des credentials que Scattered Spider a transformée en arme.
• Valider que les canaux de billettique et d’information voyageurs de secours existent et ont été testés.
• Pour les organisations dépendantes de ces opérateurs, diversifier les chemins de paiement, pré-établir les procédures manuelles pour la semaine du sommet, et préparer des templates de communication pour les journées en service partiel.

Risque 8 : arnaques visant la population pendant la fenêtre du sommet

Pourquoi c’est un risque

Les grands événements modifient la baseline cognitive de toutes les personnes présentes dans la zone. Les gens s’attendent à plus de présence policière, plus de SMS officiels, plus de barrages, plus de restrictions de stationnement, plus de messages de dernière minute des banques et des opérateurs de transport. Les criminels exploitent précisément cela. La fenêtre Évian va produire un pic de fausses amendes, de fausses accréditations sommet, de faux pass presse, de faux PV de stationnement, de faux contrôles routiers, de faux appels de gendarmerie ou de police, de faux taxis et de fausses réservations d’hôtel. Les cibles ne sont pas que les délégués ; ce sont aussi les résidents locaux, les collaborateurs des organisations voisines, et les proches âgés des employés, qui peuvent être manipulés au social engineering avec des clones vocaux IA.

Précédent récent

Une campagne coordonnée de smishing documentée de décembre 2025 jusqu’en 2026 a envoyé des dizaines de milliers de faux SMS de PV de stationnement et de péages dans au moins douze pays, dont la France. Les faux emails de gendarmerie et d’Europol Child Protection Unit accusant le destinataire d’avoir consulté du contenu illégal restent un phénomène récurrent en France ; le Ministère de l’Intérieur rappelle régulièrement qu’il ne procède jamais ainsi. Le 6 mars 2025, à Douzillac (Dordogne), une dame de 94 ans s’est fait dérober ses bijoux et 1’000 euros en espèces par deux individus portant des casquettes marquées « police », sous prétexte d’un contrôle de bien-être. Les faux contrôles routiers, en civil avec un brassard « gendarmerie » de fortune, exigeant 135 euros en espèces sur place, ressurgissent à chaque moment de confusion publique en France depuis 2020. Pour Paris 2024, des éditeurs de threat intelligence ont documenté plus d’une centaine de domaines typosquatés sur le thème olympique et des dizaines de faux sites de revente de billets ; attendez-vous à la même vague de fraudes brandées « G7 Évian ».

Comment se protéger

Faire de ce sujet une communication aux collaborateurs et à leurs familles, pas seulement un sujet SOC.

• Dire à chaque employé par écrit quelles arnaques anticiper pendant la fenêtre du sommet : faux SMS d’amendes, faux appels de la gendarmerie, visites domiciliaires, appels à des proches utilisant des clones vocaux IA.
• Répéter les règles simples : un gendarme ne perçoit pas d’argent en espèces sur place auprès d’un résident, le Ministère de l’Intérieur ne convoque pas par email, aucune institution légitime ne demande d’information sensible via un lien cliquable dans un SMS, et tout appel inhabituel d’un proche prétendant être détenu ou en urgence près d’Évian doit être vérifié par un callback vers un numéro connu.
• Pré-enregistrer les typosquats évidents de votre marque, y compris les variantes thématiques sommet, et briefer l’équipe communication pour qu’elle surveille les clones de votre domaine et de vos dirigeants.

Checklist pour le CEO

Le rôle du CEO pendant la fenêtre Évian est de fixer les seuils, de tenir le protocole de vérification, et de s’assurer qu’aucune décision n’est forcée par une urgence fabriquée.

Avant le 11 juin 2026

• Convoquer une seule revue de readiness avec le CISO, le General Counsel, le Head of Communications, le COO, le CFO et le DRH ; une réunion, des décisions claires
• Fixer par écrit les seuils qui déclenchent une communication publique, une notification réglementaire et une décision sur une rançon pendant la semaine du sommet
• Confirmer les limites de la cyber-assurance, les exclusions « war-and-hostile-act » et les clauses de notification ; obtenir une confirmation écrite
• Approuver et faire circuler le protocole de vérification voix et vidéo pour les instructions financières et liées aux sanctions inhabituelles ; signaler explicitement que le protocole s’applique aussi aux instructions semblant venir de vous
• Pré-approuver les holding statements pour les scénarios les plus susceptibles de demander une réponse rapide : deepfake du CEO, faux communiqué de presse attribué à l’entreprise ou à un participant, hack-and-leak, ransomware opportuniste
• Décider et communiquer la politique de déplacement : par défaut, refus des trajets non essentiels dans le périmètre Léman entre le 11 et le 20 juin 2026, avec un processus d’exception défini
• Envoyer une communication claire aux collaborateurs et à leurs familles expliquant les arnaques attendues pendant la fenêtre et la conduite à tenir
• Vérifier que les retainers cybersécurité sont actifs au minimum jusqu’au 30 juin 2026 : incident response, forensique, relations publiques, takedown d’usurpation de marque, juridique
• Demander au CISO un brief d’exposition d’une page : quels domaines, dirigeants, fournisseurs, partenaires hôteliers et partenaires transport sont les plus susceptibles d’être ciblés, et quel est le risque résiduel après les contrôles en place
• Confirmer avec le CISO que toutes les remontées du dernier penetration test ont été corrigées avant le 1er juin

Pendant le 11 au 20 juin 2026

• Recevoir chaque jour une situation snapshot du CISO à un horaire fixe
• Être joignable sur deux canaux indépendants avec des fingerprints vérifiés ; par défaut Signal ou Threema pour les messages et appels sensibles
• Considérer toute instruction urgente financière, de sanctions ou média comme suspecte par défaut, et la vérifier hors-bande ; le protocole de vérification s’applique même quand la demande semble venir du board
• Si un deepfake de vous-même ou un faux communiqué attribué à l’entreprise apparaît, ne pas s’engager sur les plateformes sociales ; activer le holding statement et laisser Communication et Juridique gérer la réponse
• Si un régulateur appelle, passer par le General Counsel et le CISO ; ne pas improviser le timing
• Après le 17 juin, ne pas relâcher la posture ; la fenêtre d’exfiltration la plus précieuse pour les acteurs étatiques, c’est les trente jours qui suivent la fin du sommet

Checklist pour le CISO

Le rôle du CISO est de faire atterrir les décisions du CEO dans la réalité opérationnelle et de calibrer le SOC sur les TTPs spécifiques attendues.

Avant le 11 juin 2026

• Produire le brief d’exposition exécutif : marque sur les target lists, exposition deepfake des dirigeants, dépendances aux fournisseurs hôteliers et transport, matrice de reporting réglementaire
• Inventaire des patches contre les avis récents de l’ANSSI et de la CISA (Ivanti, Palo Alto, Cisco IOS XE, Roundcube, Outlook) ; confirmer par attestation, pas par supposition
• Fermer chaque remontée du dernier penetration test avant le 1er juin ; ne pas entrer dans la fenêtre du sommet avec des findings non corrigés
• Imposer une MFA résistante au phishing sur tous les comptes privilégiés et tous les comptes de dirigeants ; retirer les méthodes SMS et TOTP-only partout où c’est possible
• Faire tourner les credentials privilégiés, les comptes de service et les tokens OAuth avant le 1er juin ; révoquer les refresh tokens dormants
• Pour les organisations qui hébergent des délégués (hôtels, lieux, fournisseurs), faire tourner les credentials d’administration sur le property management system, les plateformes de booking, les encodeurs de keycards, le management Wi-Fi et la vidéosurveillance, avant et après le sommet
• Passe de durcissement des edge devices : réseau d’administration out-of-band, ACLs default-deny, SNMPv3 only, monitoring GuestShell sur Cisco IOS XE, diff de baseline de configuration hebdomadaire
• Scrubbing DDoS always-on vérifié par un test live, pas une revue papier ; confirmer que les déclencheurs d’activation incluent les mentions sur target lists Telegram
• Documenter les procédures de mode dégradé : canaux de communication alternatifs pour les clients, trafic partenaire allow-listé, fallback manuel pour les workflows dépendants d’internet
• Retainer incident response chaud : scope signé, contacts nommés, numéro hors heures ouvrables, carte de juridiction couvrant CH et FR
• Contacts transfrontaliers établis et testés : BACS et GovCERT.ch à Berne, ANSSI et CERT-FR à Paris, polices cantonales cyber de Genève, Vaud et Valais, Préfecture de Haute-Savoie, Europol EC3
• Durcissement mobile complété pour tous les dirigeants, délégués et journalistes en déplacement sous notre devoir de protection : Lockdown Mode ou Advanced Protection activés, 2G désactivée, niveau de patch à jour (correctifs Coruna et DarkSword), Mobile Threat Defence déployé, baseline Mobile Verification Toolkit pour les profils les plus exposés, politique de redémarrage quotidien communiquée
• Distribuer Signal ou Threema comme défaut pour la messagerie et les appels sensibles ; vérifier les key fingerprints hors-bande
• Flotte de burner devices provisionnée et testée ; flotte de travel routers provisionnée et testée ; Faraday bags distribués pour les réunions sensibles
• Pré-positionner des (passif) signal and voice jammers pour les salles de réunion sensibles, là où la réglementation locale le permet
• Briefer les délégués sur l’hygiène hôtelière : ne rien laisser de sensible dans la chambre, ne pas utiliser l’infrastructure de communication en chambre, débrancher les smart TV et assistants vocaux en chambre, s’assurer que le forfait data mobile couvre tout le séjour
• Campagne interne de sensibilisation couvrant deepfake voix et vidéo, faux communiqués attribués à des participants ou fournisseurs, smishing par SMS blaster, faux appels de gendarmerie ou de police, faux contrôles routiers, arnaques QR code sur parkings et restaurants, fausses accréditations événement
• Contenu de détection mis à jour : NTLM relay sur Outlook, ClickFix, processus enfants anormaux de l’éditeur d’équations Office, commandes anti-recovery (vssadmin, wbadmin, bcdedit), anomalies GuestShell, patterns de command-and-control via OneDrive et Google Drive, indicateurs Coruna et DarkSword sur les smartphones managés
• Monitoring de marque et de domaines étendu jusqu’au 31 août 2026 ; pré-enregistrer les typosquats, y compris les variantes thématiques sommet
• Une répétition de réponse de bout en bout pendant le mois de mai 2026 couvrant DDoS, deepfake, ransomware opportuniste et notification réglementaire

Pendant le 11 au 20 juin 2026

• Couverture SOC 24/7 avec un incident commander nommé en rotation ; CISO d’astreinte
• Briefing threat intelligence quotidien à un horaire fixe ; revue quotidienne des flux BACS, ANSSI, GovCERT.ch et partenaires ; monitoring des canaux Telegram pour les changements de target list affectant la marque ou le secteur
• Fenêtres de changement d’urgence pré-autorisées pour le blocage, l’isolation et les réinitialisations de mots de passe
• Joignabilité bi-canal pour CEO, GC, CFO, COO et Head of Communications, par défaut Signal ou Threema avec fingerprints vérifiés
• Protocole de vérification voix et vidéo appliqué à toute requête financière ou liée aux sanctions inhabituelle
• Monitoring live de : canaux Telegram hacktivistes, enregistrements de domaines clones visant la marque, mentions de deepfakes sur les dirigeants, déclarations fabriquées attribuées à des participants ou fournisseurs, signalements de SMS blasters près de notre périmètre, anomalies chez les partenaires hôteliers (erreurs PMS, anomalies dans les logs de keycards), alertes de la flotte mobile depuis la plateforme MTD
• Une situation snapshot par jour au CEO ; seuils d’escalade documentés et respectés
• Après le 17 juin, maintenir la posture jusqu’au 30 juin minimum ; chasser activement jusqu’au 31 août 2026 les implants en mémoire, les signatures de drivers suspectes, les autorisations OAuth anormales, la persistance dans les réseaux fournisseurs, et les anomalies sur les pages de login de vos plateformes exposées.