Cybersécurité des JO de Paris 2024 : un défi collectif

Du 26 juillet au 8 septembre prochains, 4 milliards de téléspectateurs visionneront les Jeux olympiques et paralympiques de Paris 2024, soit plus de la moitié de la population mondiale. Cet événement planétaire accueillera 15 000 athlètes venus de 206 nations, 20 000 journalistes et plus de 10 millions de spectateurs. Il mobilisera 22 villes et 40 sites de compétition où 878 épreuves se dérouleront, dans 54 disciplines différentes.

La tentation sera bien évidemment très forte de la part des cybercriminels, hacktivistes et acteurs étatiques de tous bords de venir perturber la fête. Le système d’information même des JO sera visé, ce qui implique la billetterie, les salles de presse et les systèmes d’accès aux stades, sans oublier les retransmissions TV et l’alimentation électrique des sites physiques. Alors que les Jeux de Tokyo en 2021 avaient subi 450 millions d’attaques informatiques, le comité d’organisation des JO de Paris 2024 s’attend à en recevoir huit fois plus, soit environ 3,5 milliards.

L’objectif sera donc d’éviter les incidents qui ont émaillé d’autres JO avant ceux de Paris. Il suffit notamment de se remémorer la frayeur vécue par les organisateurs des JO d’hiver de 2018 organisés en Corée du Sud. À la suite d’une cyberattaque, le site Web olympique avait été inaccessible pendant douze heures, tandis que le réseau wifi du stade olympique avait été coupé. Et dix ans auparavant, en 2008, lors des Jeux olympiques organisés en Chine, un code malveillant du nom d’Olympic Destroyer avait plongé tous les écrans dans le noir lors de l’inauguration.

SOC, security by design et formation au cœur du dispositif

« Au cœur de notre dispositif de cybersécurité se trouve un Cybersecurity Operation Center. L’équipe de cette tour de contrôle va, le moment venu, surveiller en continu non seulement ce qui se passe sur nos systèmes d’information, mais aussi sur Internet au sens large, pour essayer de détecter, traiter et remédier les attaques et les menaces dont nous allons inévitablement faire l’objet. Le SOC est assez classique en matière de cybersécurité, mais beaucoup plus rare dans le domaine de l’événementiel sportif et dans les organisations de notre taille », a déclaré Franz Regul, RSSI de Paris 2024, lors d’un colloque intitulé « Sécurité, Technologie et Olympisme ».

Autre axe majeur de la stratégie de cyberdéfense des JO de Paris 2024 : le security by design. « Nous accompagnons tous les nouveaux projets et toutes les initiatives au sein du comité d’organisation pour évaluer leur niveau de risque et proposer un accompagnement adapté. Plus tôt nous intervenons dans le processus créatif, moins la cybersécurité sera coûteuse et plus elle sera efficace », complète Franz Regul.

La formation occupe également une place de choix dans le dispositif. Les actions de sensibilisation concernent bien évidemment le personnel du comité d’organisation, mais aussi les opérateurs avec lesquels ce dernier va travailler, sans oublier les volontaires. « L’un de nos enjeux particuliers est que nous doublons nos effectifs tous les ans. Nous avons à peine fini de sensibiliser notre effectif à une problématique qu’il faut déjà faire monter à bord de nouveaux collaborateurs. Et aujourd’hui, nous estimons que jusqu’à 90% des cyberattaques exploitent une vulnérabilité humaine », note Franz Regul.

Un travail d’équipe avant tout

La sécurisation des prochains Jeux olympiques se fera également en impliquant tout un écosystème de partenaires. « La sécurisation technologique des Jeux est un travail d’équipe. Paris 2024, en tant qu’organisateur de l’événement, peut compter sur le concours et l’expertise de nombreux partenaires clés qui, pour certains, ont l’expérience de plusieurs olympiades. C’est le cas, par exemple, de notre écosystème direct avec le Comité international olympique (CIO) et sa filiale OBS pour la diffusion des épreuves, ainsi qu’avec le comité international paralympique (IPC) ; d’Oméga pour la partie timing et scoring ; mais aussi d’Atos et Cisco, nos partenaires en matière de cybersécurité, dont l’histoire commune avec les Jeux remonte à 1992 pour Atos et 2012 pour Cisco », déclare-t-on dans l’entourage du comité d’organisation des JO de Paris 2024.

Pour se préparer à ces attaques, Cisco et Paris 2024 ont ainsi réalisé des tests de cybersécurité pendant tout l’été. Trois familles de risques ont particulièrement été scrutées lors de ces tests et le seront également pendant les Jeux. Les opérations tout d‘abord, afin que la diffusion, l’écosystème billettique et le réseau fonctionnent de manière optimale. Les professionnels des Jeux ensuite : ce sont principalement les membres du comité d’organisation, ainsi que les journalistes, athlètes et partenaires dont l’activité numérique doit être sécurisée. Enfin, l’organisation Paris 2024, dont les revenus sont numérisés et donc fortement exposés.

Une collaboration étroite avec les services de l’État est également de rigueur, en particulier avec l’Anssi, principal interlocuteur du comité d’organisation Paris 2024 dans ce domaine. L’objectif de ces échanges est de fédérer un maximum d’acteurs publics directement ou indirectement impliqués dans l’organisation des Jeux (les opérateurs de transport, les fournisseurs d’énergie, le système hospitalier…).

Le dispositif mis en place par l’Anssi s’articule autour de cinq axes principaux : parfaire la connaissance des menaces pesant sur les Jeux, sécuriser les systèmes d’information critiques, protéger les données sensibles, sensibiliser l’écosystème des Jeux et se préparer à intervenir en cas de cyberattaque affectant les olympiades. « Plusieurs exercices de crise seront organisés en 2023 pour se préparer collectivement à réagir en cas de cyberattaques lors des Jeux. En complément, des exercices ‘clé en main’ seront proposés par l’Anssi aux acteurs de l’écosystème des Jeux souhaitant s’entraîner à partir d’un scénario adapté à leur niveau de maturité. Ces outils seront disponibles à partir du 4e trimestre 2023 », peut-on lire sur le site de l’Anssi.