Du 26 juillet au 11 août prochain, Paris sera sous les projecteurs du monde entier pour la 33e édition des Jeux olympiques et paralympiques. Avec des cyberattaques envisagées par milliards, les équipes cybersécurité ont travaillé leurs muscles profonds pour se préparer à un sprint final des plus intenses.
Pour 16 jours de divertissement, les équipes du Cojop (Comité d’organisation des Jeux olympiques et paralympiques) travaillent d’arrache-pied depuis quatre ans pour proposer un événement sans accroc. Pour les équipes cyber, confrontées à une menace informatique plus importante que jamais, l’enjeu est de taille, tout comme le budget dédié… de plus de
25 millions d’euros.
Depuis les Jeux d’hiver de Vancouver, en 2010, le risque cyber est une réalité incontestée pour les Jeux olympiques, avec l’arrivée d’attaques relativement opportunistes, des copies de sites Web et des tentatives d’usurpation de la marque et de la propriété intellectuelle des précédents comités d’organisation. En 2012, à Londres, les attaques ont été plus ciblées, avec des reconnaissances détectées par l’Agence britannique de cybersécurité sur le stade olympique et sur son alimentation électrique. Cela quelques jours avant les épreuves. La pression a rapidement été mise sur le Cojop pour l’organisation des Jeux de Sotchi en 2014, qui ont été la cible d’hacktivistes utilisant la cybercriminalité pour promouvoir leur cause.
Tirer des enseignements des événements passés
« Il faut se souvenir qu’en 2014 Sotchi était une région extrêmement disputée et sensible sur le plan géopolitique. Le comité d’organisation a non seulement été pris pour cible mais, surtout, de nombreuses institutions et organisations russes sans lien évident avec les Jeux ont été attaquées dans le cadre de l’événement », rappelle Franz Régul, RSSI du comité olympique et paralympique. En 2016, à Rio, un grand nombre de dénis de services (DDoS) ont dû être déjoués et, en 2018, lors des JO d’hiver en Corée du Sud, le malware Olympic Destroyer a été déployé et a perturbé le déroulé de la cérémonie d’ouverture. « Nous avons beaucoup travaillé avec le CIO et avec les vétérans de 2018 pour comprendre ce qu’il s’était passé afin d’en tirer des enseignements que nous avons intégrés à notre stratégie », précise le RSSI.
Après le calme nippon, la tempête hexagonale ?
Si les dernières olympiades à Tokyo, en 2021, ont été relativement calmes, cela s’explique essentiellement par le fait que le Japon était coupé du monde par le confinement. L’absence de touristes dans l’archipel et le fait que le monde était préoccupé par d’autres sujets y sont donc pour beaucoup. En 2024, il en est tout autrement et les équipes cyber n’ont pas sous-estimé la menace. Bien au contraire. Depuis quatre ans maintenant, elles se préparent au pire dans le cadre d’une stratégie articulée autour de trois axes : anticipation, expertise et collaboration. « Qu’il s’agisse d’arbitrage, de chronométrage, de contrôles d’accès, de broadcasting, etc., ces services reposent sur une technologie qui assure à la fois la livraison de l’informatique pour les Jeux mais également les télécommunications sur site qui sont notre socle technologique, complète Franz Régul. Partout où il y a de la technologie, il doit y avoir des préoccupations de cybersécurité. » Deux sujets s’imposent donc aux RSSI : le premier étant la question des risques et le deuxième, son pendant, la mise en place des dispositifs de protection des Jeux. En termes de cybersécurité,
la première question à se poser est : contre quoi doit-on se protéger ? Ensuite, il faut appréhender les événements redoutés et, en conséquence, identifier les moyens de sécurité et les contrôles à mettre en place.
Trois grandes familles de risques
En termes de risques, la première famille concerne les éventuelles atteintes à la sécurité des personnes. La technologie comporte, en effet, un certain nombre de systèmes liés au contrôle d’accès et à la protection des spectateurs. Le risque étant que ces systèmes soient attaqués dans le cadre d’une opération plus large. « Même s’il est faible, il n’est pas nul et donc obligatoire à prendre en considération », assure Franz Régul. Le deuxième risque est celui du sabotage des opérations qui, en termes de probabilité, est beaucoup plus élevé.
« J’ai une équipe d’une quinzaine de personnes qui travaille directement pour moi, qui suit le projet depuis ses débuts et qui assure principalement les activités liées à la gouvernance et à la stratégie. »
Franz Régul, RSSI du comité olympique et paralympique
« Évidemment, ce risque est au cœur de notre métier. C’est la compromission, les attaques contre tous les services, toutes les technologies que l’on vient d’évoquer en vue de compromettre le déroulement des compétitions. Cela va du contrôle d’accès pour le spectateur à l’entrée, jusqu’à des problèmes d’approvisionnement logistique, voire du blocage de la diffusion », explique Franz Régul. Enfin, troisième famille de risques, l’atteinte à l’image et au revenus. Les JO sont effectivement financés par des fonds privés et leur image, celle des Jeux et de Paris 2024, est essentielle pour le financement et le bon déroulé des opérations. « Nous sommes extrêmement attentifs à la façon dont notre marque est utilisée sur Internet, mais également aux tentatives de phishing qui pourraient l’usurper et prendre pour cible les fans des Jeux. Nous surveillons également les atteintes qui pourraient avoir lieu sur les vitrines, sur la boutique », ajoute Franz Régul.
Une stratégie articulée autour de trois grands axes
En termes de protection, les équipes cyber ont donc établi une stratégie dont le premier axe est celui de l’anticipation et procédé, dès début 2020, à un grand nombre d’analyses de risques avec l’Anssi (Agence nationale de sécurité des systèmes d’information) sur leurs systèmes afin de maîtriser l’environnement des Jeux et de comprendre ses besoins en
cybersécurité. Les équipes travaillent également avec Cisco, notamment au
travers de TLS (Transport Layer Security), sur l’intelligence de renseignement et la menace pour avoir, à tout instant, une vision la plus représentative possible de ce qui se passe, notamment vis-à-vis de la situation géopolitique mondiale. Deuxième axe, la coopération. « De manière générale, nous avons travaillé avec tous nos partenaires, fournisseurs et parties prenantes, pour les faire participer le plus possible à ces problématiques de cybersécurité en s’inspirant, d’une part de ce qui se fait dans l’industrie et dans le secteur des services en matière de cybersécurité et puis, d’autre part, de l’expérience du CIO et des précédents comités d’organisation », précise Franz Régul.
Eviden et Cisco : deux habitués des grandes manifestations
L’équipe Paris 2024 s’inscrit dans un écosystème plus large et travaille, depuis sa désignation par le Premier ministre, aux côtés de l’Anssi pour sécuriser les Jeux en harmonie avec l’ensemble des partenaires fournisseurs, responsabilisés continuellement sur les attentes qui les concernent en matière de cybersécurité. « Nous avons d’ores et déjà des contacts avec Milan et Los Angeles pour les aider à profiter de l’expérience que nous cumulons », ajoute-t-il. Le RSSI et ses équipes activent également un certain nombre de communiqués dans le petit monde de la cybersécurité pour essayer de promouvoir le domaine d’activité et de fournir ainsi des messages clés avant les Jeux. Enfin, dernier axe, l’expertise. Depuis plus de deux ans maintenant, l’équipe cyber Paris 2024 travaille avec ses partenaires officiels Eviden et Cisco, deux des poids lourds mondiaux, sur leurs domaines respectifs de la cybersécurité. « Ils nous mettent à disposition un grand nombre d’experts extrêmement talentueux et expérimentés. À elles deux, ces organisations affichent une expérience admirable déjà éprouvée lors de nombreux
événements comme les précédents Jeux, le Super Bowl, la Black Hat, l’Exposition universelle, etc. Nous avançons ensemble et commençons à apercevoir la ligne d’arrivée, dans quelques mois, mais on ne relâchera la pression qu’à la fin de la cérémonie de clôture des Jeux paralympiques, et pas avant. On a clairement un bon sprint final qui nous attend ! », conclut Franz Régul.