Par Christophe Levier, Directeur – Cloud & Cybersecurity chez Micropole
100 ans après les premiers jeux organisés par la capitale française, les enjeux sont démultipliés à l’heure du tout connecté. Et si le monde entier sera focalisé sur Paris, une large cible se dessine en parallèle au dos de l’organisation de l’illustre événement : risques terroristes, sécurité physique ou encore cyber attaques. Le mot d’ordre est à l’anticipation.
Les JO 2024, ce sont 17 jours de compétition, 10 500 athlètes, 31 500 volontaires, 26 000 journalistes accrédités et quelques 4 milliards de téléspectateurs dans le monde[1]. La médiatisation et l’engouement pour les Jeux Olympiques ne fait qu’accentuer les risques sous-jacents et tenter les Black Hat Hackers, appâtés par le challenge, la visibilité et la manne de données qui devraient transiter.
Cybercriminalité & JO
En 2020, les JO de Tokyo ont été victimes de plus de 4 milliards de cyberattaques. Un chiffre colossal qui, d’après les prédictions, pourrait être multiplié par 8 ou 10 en ce qui concerne l’édition parisienne. Des prévisions alarmistes qui peuvent s’expliquer par le contexte géopolitique mondial très tendu.
Menaces bien réelles, l’ombre des cyberattaques plane sur les JO 2024, mais comment le Comité International des JO a anticipé les possibles crises ? Alors qu’un budget de 450 millions d’euros a été alloué à la sécurité physique avec la mobilisation de 35 000 agents, seulement 10 millions d’euros ont été consacrés à la Cybersécurité, à travers l’ANSSI et des prestations de SOC et d’infogérance.
10 millions d’euros consacrés à la cybersécurité
La particularité de l’événement tient à son caractère à la fois grandiose et éphémère. Paris 2024 doit relever le challenge de la cybersécurité dans un laps de temps restreint tout en affrontant des défis potentiels de taille, notamment au regard de la médiatisation de l’événement et de son caractère mondial. Pour Paris 2024, l’infrastructure IT s’articule autour de 200 applications, une centaine de sites web et près de 12 000 postes de travail répartis sur une centaine de sites éphémères, ce qui élève fortement le potentiel de vulnérabilités. Ceci est sans compter le flot de données agrégées pour l’occasion.
La question qui se pose désormais est de savoir si les 10 millions d’euros consacrés à la cybersécurité via l’ANSSI, structure de 600 Employés déjà tous très occupés, le Security Operational Center (SOC) qui sera piloté par Cisco comptant une dizaine d’experts et la gestion de la sécurité confiée en partie à ATOS / EVIDEN seront suffisants pour contrer les attaques les plus sophistiquées.
La gestion du SI et la cybersécurité d’un événement comme les Jeux Olympiques revêt un caractère particulièrement complexe : il dispose de seulement 4 ans pour mettre en place une organisation hautement performante mais il doit également jongler avec un nombre d’acteurs impliqués (bénévoles, équipes officielles, athlètes, accrédités, partenaires…) en constante croissance à mesure que l’événement approche et dont la maturité en termes de cybersécurité est hétéroclite.
Alibaba et Atos
Le choix des deux prestataires sélectionnés pour accompagner Paris 2024 sur la gestion informatique de l’évènement rajoute de l’huile sur le feu. Alibaba, sponsor du CIO (Centre International Olympique), se voit confier l’infrastructure Cloud et le géant français ATOS / EVIDEN, prendra en charge l’infogérance et une partie de la Cybersécurité. Alibaba est apparu incompatible avec le RGPD et la gestion des données sensibles et personnelles et les ont finalement confiées à ATOS, légitime dans ce domaine.
Cependant, une partie des données liées au traitement des données restera dans le périmètre de Alibaba qui devra travailler main dans la main avec Atos afin de fournir un service cohérent et performant de bout en bout alors que chacun se partage une partie du terrain de jeu. Par ailleurs, comme la presse l’a largement relayé, ATOS connait de graves difficultés financières depuis plus de 2 ans, une crise de gouvernance et des projets de scission et de vente de certaines activités pourtant stratégiques, dont la cybersécurité.
La cybersécurité contraint à une adaptation et une vigilance constante afin de mettre en place les démarches nécessaires à la prévision des risques (scénarios catastrophes, tests d’intrusion). Accompagnés par des partenaires de confiance (Cisco, Atos, Orange…), Paris 2024 reste somme toute relativement discret sur le système mis en place pour assurer le bon déroulement des jeux en matière de Cybersécurité.
Une politique « zero incident » dans un contexte Cyber à haute tension
« Zero incident », c’est l’objectif visé par les JO 2024. Quelles sont les réelles menaces qui planent sur les JO ? Comme nous l’avons déjà vu, il y a d’une part le risque lié à la data et, entre autres, aux données personnelles, mais il y a également un panel de risques corrélés au bon déroulement des Jeux eux-mêmes. Les hackers pourraient s’attaquer aux serveurs, injecter des ransomwares, tenter de prendre le contrôle des IoT (Internet des Objets) utilisés dans le chronométrage ou dans l’interconnexion des caméras, voir même bloquer les sites officiels des JO ou encore la billetterie via des attaques de type DDOS.
JO 2024 : comment se prémunir des attaques
Face à ces défis, des moyens proactifs et défensifs efficaces sont impératifs, comme :
- Adopter une stratégie « Zero Trust » : aucune confiance implicite est accordée dans le cadre de connexions au réseau interne ou externe de l’entreprise. Aucun utilisateur ou application n’est considéré comme fiable par défaut et tout accès est basé sur le moindre privilège, et établie sur la base du contexte (par exemple, l’identité et l’emplacement de l’utilisateur, la posture de sécurité du terminal, l’application ou le service demandé) avec des contrôles à chaque étape.
- Mener des tests d’intrusion réguliers pour évaluer la vulnérabilité des systèmes.
- Investir dans des outils modernes de type XDR, NDR, EDR qui permettent de reconnaître les menaces les plus sophistiquées.
- Segmenter les réseaux au maximum pour protéger l’infrastructure globale et minimiser les risques
- Anticiper la gestion des incidents pour réagir rapidement en cas de violation de la sécurité, notamment grâce à des solutions de redémarrage instantané, comme lors des JO 2018 à P’yŏngch’ang
- Sensibiliser et former les parties prenantes (vigilance face aux attaques de phishing, les spams et autres arnaques, vol de données personnelles).
En investissant avec un budget à la hauteur des risques encourus et grâce à une double démarche : proactive et défensive via des technologies avancées et innovantes, les Jeux Olympiques de Paris seront non seulement un spectacle sportif extraordinaire, mais aussi un exemple de cybersécurité aboutie !
Christophe Levier
Christophe Levier dispose de plus de de 25 années d’expérience dans les domaines des infrastructures, du Cloud et de la Cybersécurité, avec des fonctions de Directeur Général, Directeur de Business Unit ou Directeur du développement. Il est aujourd’hui Directeur de la Société Go Cloud & Security, filiale du Groupe Micropole.
[1] Jeux Olympiques et Paralympiques 2024 Chiffres clés, Paris Office du Tourisme et des congrès