Jeux Olympiques Paris 2024 : entre rêve et cauchemar de cybersécurité

Les Jeux Olympiques d'été de 2024 (XXXIIIème Olympiade) auront lieu du 26 juillet au 11 août 2024 à Paris, suivis par les Jeux Paralympiques (XVIIèmes Jeux Paralympiques d’été) du 28 août au 8 septembre 2024. Comme le soulignait le général Marc Boget, cet événement a un retentissement médiatique mondial (quatre milliards de téléspectateurs sont attendus) et constitue une opportunité considérable pour tous les cyber-criminels de la planète. Les tensions géopolitiques actuelles ne font qu’accroître les risques. Le Comité d’organisation des Jeux Olympiques et Paralympiques (COJOP) de Paris 2024 a tenu une conférence de presse pour présenter sa stratégie et ses enjeux en matière de cybersécurité. A la demande expresse du COJOP, pour d’évidentes raisons de sécurité, certains éléments ne sont pas publics et aucune personne ne peut être citée.

Le COJOP est responsable de la livraison du système d’information nécessaire à la tenue des jeux. Il s’appuie pour cela sur un certain nombre de partenaires. Par exemple, la billetterie est réalisée par un spécialiste, le COJOP n’ayant pas vocation à réinventer la roue mais a, en l’occurrence, rédigé le cahier des charges et choisi le prestataire. Et l’équipe cybersécurité du COJOP l’a ensuite audité et le contrôle au quotidien comme elle peut le faire pour tous les prestataires et partenaires. Le COJOP travaille ainsi avec Orange pour tous les aspects télécommunications, avec Oméga pour le chronométrage et l’arbitrage, OBS pour la captation et la diffusion, etc. Cisco fournit les infrastructures réseau et Atos les services IT, ce qu’il fait depuis une trentaine d’années sur les Jeux Olympiques successifs.

Des risques considérables

Bien évidemment, l’équipe Cybersécurité du COJOP Paris 2024 a travaillé avec ses homologues des olympiades précédentes et a analysé un certain nombre d’incidents antérieurs dans de grandes compétitions sportives. Par exemple, lors des Jeux Olympiques d’hiver de 2018 (XXIIIèmes Jeux Olympiques d’hiver) à Pyeong Chang en Corée du Sud, une cyber-attaque massive a eu lieu quelques instants avant la cérémonie d’ouverture. Tokyo 2024 a marqué les esprits par le nombre de cyber-attaques subies. Le club de football anglais Manchester United a subi un blocage des portiques d’accès au stade lors d’un match de Premiere League. Bien évidemment, le chantage au ransomware ou au DDoS est un phénomène classique pour obtenir une rançon de la part d’organisateurs de grands événements dont la date est impérative. Sans qu’il ne s’agisse à proprement parler d’une cyber-attaque, comme le général Marc Boget le mentionnait, ce genre d’événement est aussi une aubaine pour les escrocs qui vont tenter de vendre de faux billets, y compris via des sites web contrefaisant le site officiel. Au fil du temps, les cyber-attaques sont de plus en plus fréquentes, sophistiquées et puissantes.

L’équipe Cybersécurité du COJOP a procédé à une analyse de risques assez classique dans ses modalités, en analysant des scénarios et en les évaluant en fonction de la gravité et de la probabilité. Selon la cotation, des efforts plus ou moins importants vont être fournis. La sécurité physique (vidéoprotection, portiques d’accès aux lieux d’épreuves, etc.) utilise des outils technologiques qui doivent être protégés. Il en est de même des outils de chronométrage et de diffusion des résultats, cibles prioritaires des pirates durant les épreuves. L’une des menaces les plus graves est bien sûr le ransomware. Face à celle-ci, l’équipe cybersécurité du COJOP a adopté une démarche sans originalité : prévention par sensibilisation des personnes, prévention technologique, détection et remédiation. En particulier, il s’agit sur ce dernier point de veiller à l’existence de PRA complets, à jour et efficaces (donc testés). Une particularité des Jeux Olympiques, comme d’autres grands événements, est que le PRA doit être d’action rapide : impossible d’attendre trois semaines pour remonter le système d’information (les épreuves seraient terminées !).

Un périmètre de risques énorme

L’équipe cybersécurité du COJOP doit en effet protéger les données et les actifs technologiques (terminaux, serveurs, réseaux…) qui vont être utiles aux Jeux. Or la technologie est partout : gestion des plannings des épreuves ou des collaborateurs (salariés, prestataires et bénévoles), sécurité physique des lieux, services réseaux internes comme dédiés à la presse ou aux spectateurs, etc. Même en marge des Jeux, une cyber-attaque sur une le SI propre d’une ville accueillant une série d’épreuves aura un fort retentissement médiatique, objectif d’un certains nombre de pirates. En lien avec les Jeux, ce n’est donc pas seulement le SI propre du COJOP qui est menacé mais aussi ceux des partenaires (comme la filiale du Comité International Olympique en charge de la télédiffusion) et ceux d’un très vaste écosystème.

Si les travaux en cybersécurité ont commencé début 2020, les campagnes de tests-events durant l’été 2023 ont permis de tester aussi les solutions choisies et livrées. Et le COJOP réalise un énorme travail de coordination avec tout son écosystème et les services de l’État. Une partie de l’écosystème (infrastructures de transport, assainissement, collectivités, entreprises…) existe dès avant les Jeux et continuera d’exister après. L’ANSSI est ainsi au premier rang pour mobiliser tous les acteurs de la cybersécurité et travaille en lien étroit avec le COJOP. Celui-ci a aussi mené des travaux avec la CNIL pour s’assurer du bon traitement des données personnelles.

De la prévention à la réaction

Comme les athlètes, les équipes cybersécurité s’entraînent pour se préparer aux Jeux Olympiques : exercices de crises, pentests, bug bounties… La continuité d’accès est essentielle et le SOC du COJOP travaille en étroite collaboration avec Atos, notamment grâce à des outils partagés, pour la garantir. En cas d’incident, la réaction doit être rapide : les épreuves n’attendront pas. Et, évidemment, un énorme travail de prévention est opéré. Il s’agit bien sûr de sensibiliser les collaborateurs, les bénévoles, les personnels des partenaires… mais aussi les athlètes (pour qu’ils protègent leurs données personnelles) et les spectateurs. De mois en mois, l’équipe cybersécurité du COJOP constate une croissance continue du nombre de cyber-incidents.

L’équipe interne du COJOP compte une quinzaine de personnes dédiées à la cybersécurité et s’appuie sur une cinquantaine de prestataires. Mais ce sont des dizaines de personnes qui sont mobilisées chez les partenaires et dans l’écosystème. Le ratio entre le budget cybersécurité et le budget informatique est de l’ordre de l’habituel, environ 5 %, soit une dizaine de millions d’euros. Un budget similaire est prévu à l’ANSSI pour accompagner l’écosystème. Cette mobilisation considérable n’est, de toute évidence, pas superflue. A voir si elle sera suffisante face aux menaces considérables anticipées ou non.