JO 2024 : Un événement à haut risque cyber

En tant qu’événement de portée mondiale, les Jeux Olympiques et Paralympiques attirent l’attention d’un large public, mais aussi forcément de nombreux hackers. Chaque édition doit gérer des milliards d’incidents de sécurité plus ou moins graves, et parfois l’audace des attaquants menace l’organisation des Jeux. Paris 2024 s’y prépare activement depuis des mois, son SOC est prêt… La cyber, sport officieux des JO ?

Si les attaques restaient encore opportunistes lors de Vancouver 2010, la menace cyber était déjà beaucoup plus sérieuse pour les JO de Londres en 2012, avec notamment une tentative d’attaque sur l’alimentation électrique du stade olympique quelques heures avant la cérémonie d’ouverture. À Sotchi en 2014, de nombreux groupes d’hacktivistes ont attaqué des sites russes de toute nature pour promouvoir leurs causes. Lors de Pyeongchang 2018, le malware Olympic Destroyer s’est largement déployé et a menacé pendant un temps le bon déroulé de la cérémonie d’ouverture. Cette attaque majeure a poussé l’équipe cybersécurité de Paris 2024 à travailler avec des vétérans de l’édition 2018 afin de disséquer ce qui s’était passé en Corée et d’intégrer les leçons apprises à la stratégie de protection des Jeux de Paris.

Benoît Delpierre, cybersecurity chief technology officer chez Eviden, partenaire des JO 2024 sur la cyber sécurité, souligne : « Par rapport aux olympiades précédentes, le paysage cyber n’est plus du tout le même. Il y a bien évidemment un héritage et un retour d’expérience des organisations précédentes sur lesquels on s’appuie fortement, et on ne réinvente pas tout à chaque fois. Il y a ainsi des classiques de la cybersécurité comme la gestion des vulnérabilités, les attaques par déni de service… Mais, en quatre ans, le paysage de la cyber a bien évolué, de même que les technologies utilisées. » En effet, les Jeux sont notamment de plus en plus digitaux, ce qui accroît la surface d’attaque à défendre.

L’informatique des Jeux représente 10 000 PC, 7 000 points d’accès réseau, 206 applications, avec de nombreux serveurs, réseaux et services cloud, soit la taille du parc informatique d’une grande entreprise. L’équipe cyber de Paris 2024 s’est mise en place début 2020 et travaille en coopération étroite avec Eviden et Cisco, les deux partenaires cybersécurité des Jeux. Pour faire face aux menaces, Franz Regul, responsable de la cybersécurité de Paris 2024, dispose d’un budget qui représente un peu plus de 5 % de celui de la direction des technologies. Avec son équipe, il a élaboré une stratégie cyber autour de la notion d’anticipation, d’expertise et de collaboration.

Assez classiquement, son travail a commencé par la question des risques. « En cyber sécurité, la première question que l’on doit se poser, c’est contre quoi je dois me protéger, quels sont les événements que je redoute, et en conséquence, quels sont les moyens de sécurité et contrôles à mettre en place pour ces JO. » La première famille de risques identifiée porte sur l’atteinte à la sécurité des personnes et la protection des spectateurs. Le risque que les systèmes de contrôle d’accès soient attaqués dans le cadre d’une opération plus large est faible, mais il est non nul, estime le responsable. Beaucoup plus probable est le risque de sabotage des opérations : des attaques vont viser à compromettre le déroulement de la cérémonie d’ouverture et des compétitions. La troisième famille de risques recouvre l’atteinte à l’image et aux revenus. Le Comité d’organisation doit protéger le système de billetterie et la boutique des Jeux, mais aussi rester attentif à la façon dont son image est utilisée sur Internet, et pour cela surveiller les tentatives de phishing qui pourraient usurper la marque ou prendre pour cible les fans des Jeux.

La nécessité d’anticiper les attaques

L’anticipation est le premier volet de la stratégie cyber de Paris 2024. Depuis 2020, l’équipe de Franz Regul a procédé à un certain nombre d’analyses de risques avec l’Anssi afin de comprendre l’environnement des Jeux ainsi que ses propres besoins en cybersécurité. Elle travaille notamment avec Talos, la cellule de threat intelligence de Cisco, pour avoir à tout instant une vision représentative de la situation. « Nous nous inspirons des pratiques de l’industrie, dans le secteur des services, ainsi que de l’expérience du CIO et des précédents comités d’organisation. »

Le deuxième point de cette stratégie porte sur la coopération. Avec l’Anssi, bien sûr, mais pas seulement. « Nous travaillons avec le CIO et avec les comités d’organisation des prochains Jeux. Nous avons des contacts avec Milan et Los Angeles pour les aider à profiter de l’expérience que nous accumulons. Enfin, nous animons des communautés cyber pour promouvoir un certain nombre de messages clés. » L’équipe des JO de Paris 2024 s’inscrit dans un écosystème encore plus large qui comprend les partenaires et les fournisseurs, systématiquement responsabilisés sur les attentes
qui les concernent en matière de cyber sécurité. « Cette notion d’écosystème implique que l’on doit anticiper et travailler ensemble en permanence, et notamment lors des opérations, si un incident se produit sur l’infrastructure d’un partenaire ou d’un fournisseur. »

Le troisième axe de la stratégie cyber porte sur la montée en expertise des équipes. « Nous travaillons avec Eviden et Cisco, notamment, depuis plus de deux ans maintenant. Ce sont des poids lourds mondiaux de la cyber, Eviden en matière de services et Cisco pour les technologies. Ces organisations affichent une solide expérience dans le domaine de l’événementiel, sportif ou non : les précédents Jeux Olympiques, la Coupe du Monde de la FIFA, le Super Bowl, l’Exposition universelle, ou encore les événements cyber de type Black Hat. Elles mettent à notre disposition un grand nombre de professionnels expérimentés. »

Franz Regul s’appuie aujourd’hui sur une équipe d’une quinzaine de personnes qui assure les activités liées à la gouvernance et à la stratégie cyber. « Cette équipe donne le cap en matière de cybersécurité et profite de l’apport de nos partenaires. Entre 50 et 60 personnes vont tourner chez Eviden en 24/7 pendant les Jeux de Paris. De 30 à 40 personnes chez Cisco ont contribué à la construction du programme et assureront de nombreuses fonctions opérationnelles durant l’événement. »

Le SOC, la tour de contrôle qui veille sur la sécurité des Jeux

Le cœur cyber de la sécurité des JO repose sur un SOC (security operation center) dédié qui est fourni par Atos/Eviden. Véritable tour de contrôle sur l’ensemble des systèmes mis en œuvre lors des Jeux, il s’appuie sur la plateforme AIsaac Cyber Mesh d’Eviden qui est alimentée par les différentes solutions cyber déployées. « Tous les événements intéressants d’un point de vue cyber sont centralisés sur cette plateforme, notamment ceux issus des équipements de sécurité périmétrique Cisco opérés par Orange », précise Benoît Delpierre. De son côté, Cisco fournit le XDR (extended detection and response), des briques de sécurité SaaS, ainsi que la protection anti-DDoS, une forme d’attaque désormais classique lors de chaque édition.

Lorsque tous les volontaires seront équipés d’un mobile, cela représentera environ 30 000 endpoints sous la surveillance du SOC. À ce chiffre, il convient d’ajouter plusieurs milliers d’équipements réseau et toute l’IT qui supporte les applications des Jeux. « Nous avons voulu un cyber-SOC proactif vis-à-vis des menaces. Un effort important a été réalisé sur son intégration avec la threat intelligence pour identifier les menaces au plus tôt. Celle-ci est intégrée dans les processus de gestion d’incident et vient alimenter les solutions cyber pour que celles-ci s’adaptent à la menace en temps réel », précise Benoît Delpierre.

Une stratégie de simulation particulièrement intensive

Si Franz Regul se montre particulièrement discret sur les solutions de sécurité déployées pour protéger ce système d’information, de nombreux exercices doivent en valider l’efficacité. Le programme olympique est entré dans un cycle dit de « readiness » depuis l’été 2023, à l’occasion d’une première vague d’événements de test qui ont eu lieu en région parisienne et à Marseille. « Nous avons livré nos grands jalons technologiques et depuis nous nous entraînons. Comme toute entreprise moderne, nous avons recours aux pentests pour évaluer la maturité de nos applications, nous avons un programme de bug bounty sur un certain nombre de nos applications exposées, et nous avons un programme de cyberwargame, avec du red teaming dans le cadre duquel nous travaillons avec des hackers éthiques pour nous tester en vraie grandeur. » Benoît Delpierre ajoute : « Nous faisons toujours des tests d’intrusion sur les applications, mais le bug bounty permet d’avoir une continuité dans l’effort de protection des applications. Nous sommes dans une approche de développement agile et nos applications doivent être sûres dans la durée, au fur à mesure des nouvelles versions et mises à jour. C’est le but du programme que nous avons mis en place avec YesWeHack. »

Une deuxième vague d’événements de test cyber aura lieu avant les JO, de même que deux vagues de type « technology rehearsal », grandes répétitions qui rassemblent toutes les parties prenantes sur deux semaines. « Lors de ces deux semaines intensives de tests, on se place en conditions opérationnelles, le SOC est activé et on simule des événements générés par des acteurs extérieurs, raconte Benoît Delpierre. Il peut s’agir de simplement débrancher des câbles, ou de réaliser une cyberattaque complexe. Cela va stresser les installations, les processus, les équipes pendant deux semaines à chaque fois. »

Cette démarche de tests à répétition et d’amélioration continue des systèmes de défense devrait donner une longueur d’avance aux équipes du Cyber-SOC sur les attaquants qui ne manqueront pas de se manifester avant et pendant les Jeux de Paris.

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !