
- Accueil
- Cyber stabilité
- JOP de Paris 2024 : médaille d’or pour la « team cyber »
JOP de Paris 2024 : médaille d’or pour la « team cyber »


Le bilan des Jeux olympiques et paralympiques de Paris 2024 est, en termes de cybersécurité, positif. Un total de 548 événements de cybersécurité affectant des entités en lien avec l’organisation des JOP 2024 a été rapporté à l’ANSSI entre le 8 mai et le 8 septembre 2024. Ces derniers ont donné lieu à un traitement par les équipes opérationnelles de l’agence.
Sur les types d’événements de cybersécurité rapportés, près de la moitié correspond à des indisponibilités, dont un quart est dû à des attaques par DDoS. Le reste des événements de cybersécurité correspond à des compromissions ou des tentatives de compromission, des divulgations de données ou bien encore des signalements de vulnérabilités. Les secteurs d’activité les plus ciblés sont les entités gouvernementales, le sport, le divertissement (sites de compétitions et Paris 2024) et les télécommunications.
Plus précisément, les 548 événements de cybersécurité comprennent 465 signalements (événements de sécurité d’origine cyber avec un impact bas pour le système d’information de la victime, requérant une intervention minimum de l’Agence) et 83 incidents (événements de sécurité pour lesquels l’ANSSI confirme qu’un acteur malveillant a conduit des actions avec succès sur le système d’information de la victime).
Quatre ans pour mettre en place le dispositif et s’entraîner
En complément de ces chiffres, rien de tel que ceux fournis directement par Franz Regul, le RSSI des JOP 2024, et Benoit Delpierre, CTO Cybersécurité chez Eviden France. « Le COJOP (comité d’organisation des Jeux olympiques et paralympiques), cela représente 5 000 personnes au début des Jeux et deux fois plus en partenaires et prestataires. Ce sont également 40 sites qu’il faut relier entre eux à travers 9 000 points d’accès réseau, 12 000 postes de travail et 240 applications qui ont été développées, livrées et mises en production sur une durée de plus de 4 ans. Ce sont en quelque sorte les chiffres d’une belle ETI, sauf qu’il s’agit de l’événement sportif le plus suivi au monde, et donc le plus attaqué », a rappelé Franz Regul lors des Assises à Monaco.
« Le bilan cyber des jeux tient en trois chiffres : 55 milliards d’événements de cybersécurité, 900 tickets analysés, zéro cyberincident opérationnel. Ces 55 milliards d’événements ne sont pas forcément significatifs d’un point de vue cybersécurité. Ils signifient avant tout que nous avons réussi à intégrer une plateforme permettant de gérer ce volume. Côté métier, ce sont les 900 tickets qui sont intéressants. Ils mettent en relief notre volonté de travailler sur la qualité des tickets, quel que soit leur niveau de criticité », complète Benoit Delpierre.
Franz Regul est revenu sur les quatre années qui ont été nécessaires pour parvenir à un tel résultat. Il se souvient de son arrivée dans le projet, début 2020, avec comme seule solution déployée, un antivirus. « Entre 2021 et 2023, nous avons donné vie et construit la stratégie que nous avions imaginée avec mes associés et mes adjoints durant la première année. L’objectif est alors très clair : zéro incident. Nous ne manquons pas d’ambition à ce moment-là, mais nous savons que si nous laissons la moindre porte ouverte, on sera ‘tapé’. Avec quatre milliards de téléspectateurs, les JOP sont l’événement le plus scruté au monde », note-t-il.
En 2023, le CSOC (Cyber Security Operation Center) des JOP de Paris 2024 est ouvert. Il s’agit du cœur du réacteur, de la tour de contrôle du dispositif. « Nous rentrons alors dans la phase finale du projet. Toute la stack technologique a été livrée et il nous reste 12 mois pour nous entraîner. La première red team à large scope ne se passe pas très bien, les résultats me laissent sur ma faim. C’est inévitable, tous ceux qui en ont fait le savent », précise Franz Regul.
Six red teamers ont consacré 160 jours/homme à attaquer le SI des JOP 2024
Les détails de cette première red team, et des suivantes, nous sont donnés par Renaud Dubourguais, Chief Operating Officer de Synacktiv. « Afin de s’assurer que l’ensemble des efforts déployés portaient leurs fruits, il nous a été demandé de simuler des war games, c’est-à-dire des attaques réalistes portées par des cybercriminels fictifs. Ces entraînements, ces ‘matches de préparation’, ont été organisés d’octobre 2023 à août 2024, avant les jeux et même un peu au début. Le but de ces opérations était de stimuler le SOC des JOP de Paris 2024 et de voir quelle était sa capacité de détection. Il fallait aussi tester les procédures de réaction en cas d’incident », commente-t-il.
L’équipe formée par Synacktiv est composée de six red teamers. Leurs attaques sont lancées sans que les équipes du CSOC ne soient au courant. Lors de la première itération d’attaques, les red teamers ont réussi à pénétrer assez profondément le système d’information des JOP de Paris 2024. « Le point d’entrée de la première campagne a été l’application open source SonarQube, utilisée pour faire de l’analyse de code. Grâce à la faille que nous avons découverte dans ce logiciel, nous avons pu progresser dans le SI et compromettre une grande partie des infrastructures du Comité d’organisation », précise Renaud Dubourguais. La faille a bien évidemment été remontée à l’éditeur (Sonar) et le patch a été publié récemment.
« Campagne après campagne, les équipes de cybersécurité de Paris 2024 ont pris nos livrables et en ont tiré des enseignements. Au fur et à mesure des attaques, nous avons pu assister à la montée en puissance des équipes cybersécurité. Nous sommes passés d’intrusions réussies à un mur infranchissable, ce qui a permis de rassurer tout le monde. Au total, nous avons passé plus de 160 jours/homme à attaquer le SI des JOP 2024. Même si les red teamers ont connu des victoires, cela a été pour eux une véritable traversée du désert 75 % du temps, ce qui est très valorisant pour les équipes défensives », ajoute Renaud Dubourguais.
Opérer un changement de mindset : incontournable pour réussir
Autre enseignement à tirer de ce retour d’expérience des JOP de Paris 2024 : le nécessaire changement de mindset des équipes. « Ce que nous avions certainement sous-estimé à ce moment-là (12 mois avant le début des JOP), c’est que la vraie difficulté devant nous était de changer les mentalités. En 12 mois, nous avions juste le temps de faire évoluer 150 personnes pour aller vers le mode de fonctionnement, vers l’efficacité, vers le niveau de défense que nous visions », déclare Franz Regul.
Pour illustrer le « virage culturel » qui a eu lieu au sein des équipes de cybersécurité des JOP de Paris 2024, Benoit Delpierre revient sur la panne mondiale ayant affecté les services Microsoft une semaine jour pour jour avant que les olympiades ne commencent. « Pendant les JOP de Paris 2024, nous avons travaillé avec trois équipes qui se relayaient 24/7. Je travaillais de nuit, de 19h à 7h du matin. Le vendredi 19 juillet 2024, à 7 heures du matin, alors que nous étions en train de faire notre passation (hand over) avec l’équipe suivante, des écrans bleus et des reboots sont apparus sur les ordinateurs du CSOC. Avec ma team, nous nous sommes dit : ‘Nous sommes à une semaine des JOP, c’est pour nous, on va y passer’. Or, grâce à l’entraînement des équipes mis en place depuis un an, nous avons réagi différemment : nous avons vite compris que nous n’étions pas la cible, nous avons continué notre hand over et, surtout, nous sommes partis et avons laissé la main à l’équipe suivante, car nous avions confiance en elle pour gérer la situation ».
Et Benoit Delpierre de compléter : « La cybersécurité, c’est de la technologie, mais ce sont aussi des humains qu’il faut faire fonctionner ensemble. Quand, à une semaine des jeux, ce type d’incident survient, et que les gens ne courent pas dans les couloirs en criant, mais restent sereins, on peut rentrer chez soi et laisser l’équipe qui nous remplace faire le job, pour revenir 12 heures après en étant frais ».
C’est donc un véritable esprit de cohésion que Franz Regul et Benoit Delpierre ont réussi à insuffler au sein des équipes cybersécurité des JOP de Paris 2024. « On a vraiment fait partie d’une équipe. On a livré une rencontre sportive, on a livré la bataille pour la médaille d’or olympique en cybersécurité, et on a gagné », conclut Franz Regul.
Un constat que partage Gérôme Billois, Partner chez Wavestone : « Il y a eu une mobilisation incroyable, un véritable alignement de tous sur un objectif commun. Je pense que tout le monde voulait que les JOP de Paris 2024 réussissent. Tout le monde avait bien intégré l’importance des jeux pour le pays, et la réalité d’une menace cyber qui était bien présente. Il n’y avait pas de besoin de convaincre sur la nécessité d’agir, tout le monde était sur le ‘comment on fait’, ce qui a fait gagner du temps. Il y avait une vraie envie de travailler ensemble ».
la newsletter
la newsletter