De Londres à Paris : l’évolution du paysage des cybermenaces lors des grands événements internationaux

Alors que les acteurs du cybercrime deviennent de plus en plus sophistiqués, la gestion des risques numériques nécessite une forte collaboration. Des initiatives telles que la Fondation Connect2Trust aux Pays-Bas illustrent le rôle crucial des partenariats public-privé dans le renforcement de la résilience en matière de cybersécurité.

Quelques jours avant la cérémonie d’ouverture des JO de Londres 2012, les services de sécurité ont averti les autorités olympiques d’une possible cyberattaque contre leur alimentation électrique par un groupe hacktiviste. Les Jeux olympiques de 2012 ont été frappés par des cyberattaques quotidiennes, dont certaines étaient bien organisées et automatisées, entraînant plusieurs attaques DDoS, dont une majeure. En dix ans, le nombre d’événements de sécurité a atteint 3 milliards lors des Jeux olympiques d’hiver de 2022 à Pékin. Ces chiffres ne sont pas isolés et se retrouvent lors d’autres événements internationaux de haut niveau tels que les sommets de l’OTAN, confirmant les tendances générales en matière de cybersécurité : une variété croissante d’acteurs de la menace et de leurs méthodes d’attaque respectives, une complexité accrue du paysage informatique et des pirates potentiels incluant des hacktivistes, des cybercriminels et des acteurs parrainés par des États avançant leurs agendas géopolitiques.

Bien que la cybermenace sur l’approvisionnement énergétique des Jeux olympiques de Londres ait échoué, elle s’est révélée réalisable lorsque l’approvisionnement énergétique de l’Ukraine a été attaqué avec succès par BlackEnergy en 2014. Ces cyberattaques contre les infrastructures critiques se poursuivent jusqu’à aujourd’hui, les secteurs énergétiques danois et ukrainien ayant été touchés en 2023, tandis que plusieurs services de distribution d’eau ont également été compromis récemment. Les rapports confirment également qu’un nombre croissant d’acteurs de la menace cible les Technologies Opérationnelles (ou Systèmes de Contrôle Industriel), ce qui signifie que les futurs événements internationaux de haut niveau doivent prendre en compte ces risques.

La transformation numérique rapide offre aux acteurs de la menace encore plus de moyens d’accéder à ces systèmes informatiques et technologies opérationnelles (OT). L’essor de l’Internet des Objets (IoT) a augmenté le nombre d’actifs connectés dans chaque organisation et donc le nombre de points d’entrée possibles, tandis que l’utilisation de l’intelligence artificielle a considérablement réduit le temps de réponse aux vulnérabilités dans le matériel et les logiciels (hardware et software). Cela a également rendu les organisations fortement dépendantes de la connectivité et de la gestion appropriée de toutes les technologies connectées, par elles-mêmes, mais aussi par leurs fournisseurs et clients. On pourrait dire que les organisations sont passées d’organisations (plus ou moins) indépendantes à un écosystème dépendant dans lequel chaque rouage doit fonctionner en étroite collaboration pour gérer leurs risques numériques dans leur ensemble. Mais ces rouages ne se limitent plus uniquement aux grandes organisations, mais s’étendent également à de nombreuses PME. Cette transformation numérique et ses risques associés ne s’appliquent pas seulement aux organisations, car les événements internationaux de haut niveau sont tout aussi dépendants de tels écosystèmes.

Pour gérer les risques liés à la sécurité de l’information, à la cybersécurité et aux risques numériques, chaque organisation et événement doit commencer par trois bases de la cybersécurité : identifier les actifs dans les processus les plus critiques tout au long de la chaîne de valeur à l’intérieur et à l’extérieur de l’organisation, débloquer des informations pertinentes sur ces actifs, et constituer une main-d’œuvre soutenue par le plus d’automatisation possible. Chacune de ces trois bases est un défi en soi : les chaînes de valeur traversent des secteurs, des pays et des régions qui créent des problèmes juridiques et de gouvernance, tandis que les partenaires publics et privés doivent travailler ensemble.

Les Pays-Bas sont connus pour leurs partenariats public-privé et les ont étendus avec succès au domaine de la cybersécurité. La Fondation Connect2Trust est la plus grande ONG intersectorielle des Pays-Bas, reconnue officiellement par le ministère néerlandais de la Sécurité et de la Justice pour recevoir des informations provenant de sources publiques telles que le Centre National de Cybersécurité, mais aussi de sources privées telles que l’Institut Néerlandais pour les Divulgations de Vulnérabilités (DIVD). Sa nature intersectorielle permet à des écosystèmes entiers de s’intégrer et d’atteindre le même niveau de connaissance en ce qui concerne les menaces et les vulnérabilités, mais elle leur offre également une plateforme où ils peuvent s’entraider si nécessaire. Pour résoudre certains des défis liés à la main-d’œuvre, le DIVD a créé une académie pour les professionnels et les chercheurs en cybersécurité. Soutenue par la municipalité de La Haye, cette bonne pratique est maintenant appliquée à l’écosystème des ONG internationales par Connect2Trust, DIVD.Academy en collaboration avec le Cyber Peace Institute, Shadowserver et The Hague Humanity Hub pour accroître leur résilience cybernétique. Pour rassembler la communauté internationale des jeunes professionnels, Connect2Trust et DIVD.Academy les invitent chaque année à l’événement unique CyberSQUAD qu’ils co-organisent et ont réussi à étendre au-delà des frontières néerlandaises.

Les organisateurs d’événements internationaux doivent être prêts à gérer leurs risques numériques aujourd’hui et à l’avenir. Les cyberattaques depuis les Jeux olympiques de Londres ont montré que ces événements sont devenus un terrain de jeu pour les attaquants cybernétiques avec peu de risques de représailles. Cela est particulièrement vrai pour les États qui abritent des cybercriminels. Les autorités olympiques doivent adopter une approche de réduction des risques numériques qui soit inclusive pour toutes les organisations composant l’écosystème critique, indépendamment de leur taille, de leur localisation géographique et de leur statut éventuel en tant qu’infrastructure critique ou d’applicabilité NIS2. Le partage d’informations et le travail en commun pour résoudre ces défis sont peu susceptibles de réussir avec une approche centralisée, mais fonctionnent mieux en appliquant les célèbres principes démocratiques à l’écosystème numérique. Les principes français de « Liberté, Égalité, Fraternité » ont changé la façon dont les démocraties fonctionnent… Pourquoi ne seraient-ils pas également efficaces dans le cyberespace pour gérer les risques numériques ?