Yahoo Actualités JO 2024: comment les autorités se préparent à faire face aux cyberattaques
Vendredi 9 février 2018. Les yeux du monde entier sont rivés sur la ville de Pyeongchang en Corée du Sud, là où se déroule la cérémonie d’ouverture des Jeux olympiques d’Hiver. Au même moment, les organisateurs sont en alerte. Depuis plusieurs heures, l’événement est la cible d’une cyberattaque visant les systèmes informatiques. Dans le stade où défilent les athlètes, le réseau Wi-fi est coupé et les télévisions de la salle de presse ne fonctionnent plus. Le site web officiel des Jeux restera lui inaccessible pendant près de douze heures, empêchant certains visiteurs d’imprimer leurs billets.
Bien que les dégâts soient restés relativement limités, "c’était l’attaque de la plus grande ampleur contre le mouvement olympique", se remémore Franz Regul, responsable de la sécurité des systèmes d’information au sein du Comité d’organisation des JO (Cojop) de Paris 2024. Dans moins de trois mois, c’est lui qui, entouré de son équipe, aura pour mission de veiller à ce qu’aucune cyberattaque ne vienne perturber le bon déroulement du plus grand événement sportif du monde.
À commencer par la cérémonie d’ouverture sur la Seine. "On se prépare", assure le directeur de la cybersécurité du Cojop. La tâche est immense. Selon les experts, les tentatives de cyberattaques pourraient être huit à dix fois plus nombreuses que lors des précédents Jeux de Tokyo.
"On ne va pas avoir des Jeux sans cyberattaques"
Face à cette menace, l’Agence nationale de la sécurité des systèmes d’information (Anssi) est sur le pont. Mais son directeur général, Vincent Strubel prévient d’ores et déjà: "Ce sont des Jeux qui vont se dérouler dans un contexte de pression forte en matière de cybermenaces (...). Il ne faut pas se faire d'illusions, on ne va pas empêcher toutes les attaques de se produire pendant les Jeux. On ne va pas avoir des Jeux sans cyberattaques. Notre travail, notre objectif collectif, c'est de faire en sorte que ces cyberattaques ne nuisent pas au déroulement des Jeux".
Les profils des cybercriminels et les motivations qui les pousseraient à s’en prendre aux Jeux olympiques sont multiples. Plusieurs scénarios sont envisagés: une puissance étrangère qui chercherait à attenter à l’image de la France, des "hacktivistes" qui utiliseraient l’événement pour faire connaître leurs revendications ou encore de simples hackers opportunistes qui profiteraient des Jeux pour obtenir des gains financiers.
"On coche tous les cas. On suit les acteurs étatiques avec le plus d’attention car ils peuvent être très déterminés et avoir des moyens conséquents. Mais les loups solitaires peuvent aussi être intéressés par l’événement, de même que les activistes", souligne Franz Regul, qui travaille sur ces menaces depuis début 2020.
Quelles menaces?
Infrastructures logistiques, transports, diffuseur, billetterie, affichage sur les sites de compétition, chronométrage… Autant de cibles potentielles. Et pour cause, "les Jeux reposent sur une multitude de services qui reposent eux-mêmes sur la technologie. Toute l’expérience dans les stades et lieux de compétition repose sur la technologie", rappelle Franz Regul. Mais "on a cartographié les risques", assure le directeur de la cybersécurité du Cojop.
Le Comité a classé les différentes menaces dans trois catégories: les plus graves "qui porteraient atteinte à la sécurité des personnes", celles qui relèveraient du "sabotage" et empêcheraient le fonctionnement de certains "services techniques" essentiels au bon déroulement des Jeux et enfin les "atteintes à l’image et aux revenus" via notamment le piratage des réseaux sociaux officiels, du site internet sur lequel figureront les résultats des épreuves ou encore de la boutique en ligne de produits dérivés.
Une "task force" réunissant les équipes cyber
En plus des personnes dédiées à la cybersécurité au sein du Cojop, le dispositif repose sur plusieurs centaines d'autres travaillant pour des entreprises partenaires. Ces partenaires, ce sont notamment Cisco et Eviden, filiale d’Atos, qui fournissent les technologies permettant de détecter les éventuelles cyberattaques et d’y répondre.
Pendant les Jeux, la cellule cyber du Cojop sera chargée aux côtés de ses partenaires de protéger les services et infrastructures directement liés à la compétition (billetterie, logistique, sites web, systèmes de chronométrage…). Ils seront épaulés par l’Anssi qui se concentrera par ailleurs sur les menaces qui pèsent sur un écosystème plus large (administration, collectivités, entreprises…). L’agence a mis à disposition de plus de 500 entités liés aux Jeux (entreprise, site de compétition, lieu d'accueil des délégations...) un kit d’exercice cyber prêt à l’emploi afin de les aider "à se préparer à la gestion d’une crise d’origine cyber". Les plus sensibles d'entre elles ont également été testées pour évaluer leur capacité à répondre à une telle menace.
Cojop, Anssi, Cisco, Eviden... Ces différents acteurs "travaillent main dans la main avec des points de suivi hebdomadaires", assure Franz Regul. D’anciens responsables de la cybersécurité des Jeux de Tokyo ont aussi été consultés pour "récolter des retours d’expérience". Tous sont réunis au sein d’une "task force" appelée "CSOC" (Cyber security operation center), un bureau physique installé dans un lieu tenu secret et présenté comme "une tour de contrôle". C'est ici que remonteront les éventuelles alertes provenant des sites olympiques pendant la compétition. "On sera actif 24 heures sur 24, 7 jours sur 7", précise Franz Regul.
Des exercices pour se préparer en cas de cyberattaques
En parallèle, des tests et des entraînements "grandeur nature" ont été organisés. "On s'est énormément entraînés. (...) Oui, on est dans des Jeux qui vont se dérouler dans un contexte de menaces cyber sans précédent, mais on a aussi fait un travail de préparation, une sécurisation en avant de ces Jeux qui est sans précédent", a assuré Vincent Strudel.
Des hackers éthiques ont par exemple été payés "pour nous attaquer, pour exercer nos équipes défensives", explique Franz Regul. Mi-2023, des tests dans 18 sports sur 11 sites de compétition ont aussi permis de tester en conditions réelles la robustesse des systèmes développés par Eviden et Cisco. "Plusieurs exercices de crise ont également été organisés en 2023 pour se préparer collectivement en cas de cyberattaques lors des Jeux", confirme l’Anssi.
Il y a quelques jours, un "test event" s'est déroulé au stade Yves du Manoir à Colombes (Hauts-de-Seine), là où se dérouleront les épreuves de hockey sur gazon. L'occasion pour les équipes cyber de s'entraîner à nouveau. Dans la tribune, un membre de l'équipe d'auditeurs s'assure ainsi avec une petite tablette que le réseau du site est bien sécurisé et qu'aucune vulnérabilité n'est détectée: "On vérifie que toute l'infrastructure est conforme à nos attentes. On s'assure qu'on ne va pas pouvoir interrompre le réseau. On regarde si quelqu'un cherche à se connecter sur le réseau du site...", détaille le directeur du CSOC, Jérémy Couture.
Dans une salle située dans l'enceinte du stade, une autre équipe s'entraîne de son côté au scénario dans lequel l'un des ordinateurs du site aurait été potentiellement compromis par un virus qui l'empêcherait de se connecter au réseau. "On a une série de risques: que quelqu'un prenne le contrôle de l'affichage du site, de la lumière... On pense à tous les scénarios", poursuit Jérémy Couture.
Le rôle des équipes cyber sera aussi de trier les différentes menaces en fonction de leur dangerosité: "Le scénario du pire, c’est qu’on se retrouve noyés sous des attaques sans gravité et qu’on ne voit pas venir une attaque plus grave, qui viserait une infrastructure critique", expliquait Vincent Strudel à l'AFP.
A ce stade, aucune attaque d’ampleur n’a perturbé la préparation des JO. Comme en témoigne la campagne de vente de billets qui s’est déroulée sans accroc, rappelle Franz Regul. Mais celui-ci observe "un frémissement" depuis quelques semaines. Signe que la menace est bien réelle. Le budget dédié à la cybersécurité des JO a d’ailleurs été revu à la hausse, passant de 10 à plus de 17 millions d’euros.
