À la suite d’une présentation des différents programmes de sécurité pour les Jeux olympiques, la délégation olympique américaine a souligné récemment sa confiance envers les plans de sécurité des JO de Paris. Mais qu’en est-il de la cybersécurité ? Sur ce sujet, le silence est d’or.
Pourtant, comment ignorer ce risque aujourd’hui majeur ? En effet, nombre d’acteurs soulignent la nature prioritaire du risque cyber dans notre paysage économique, élevé à la première place des risques impactant notre société, devant même les risques d’interruption des activités de l’entreprise, ceux de fluctuations des marchés économiques ou encore ceux liés à l’environnement (1). Alors, comment l’écarter du tableau dans le cadre de cette compétition sportive mondiale ?
Rappelons en effet que les JO représentent tout de même 7 milliards d’euros de budget, 15 000 athlètes venus de 206 nations, 22 villes qui accueilleront les épreuves, 40 sites de compétition, 878 épreuves dans 54 sports, 20 000 journalistes venus du monde entier, 30 000 bénévoles, plus de 10 à 12 millions de spectateurs et 4 milliards de personnes devant leurs écrans. Une aubaine pour les hackers, qui utilisent des techniques de plus en plus variées et perfectionnées afin d’atteindre leur objectif : gain financier, visibilité, atteinte à l’image, espionnage ou encore opérations de désinformation.
Un jeu d’équilibriste
La Coupe du monde de rugby s’est déroulée sans incident majeur apparent d’un point de vue de cybersécurité. Une conclusion presque rassurante au vu de l’arrivée rapide des Jeux olympiques. Mais cette accalmie ne serait-elle pas de courte durée ?
En effet, le contexte n’a pour autant pas réellement changé par rapport à ce que nous décrivions dans le précédent numéro de DefTech : peu d’entreprises françaises ou européennes concourant en tant que sponsors ; des collectivités territoriales toujours aussi peu préparées face au risque cyber ; un manque flagrant d’investissement ces dernières années sur cette question. L’Agence nationale de la sécurité des systèmes d’information (ANSSI), elle aussi, s’épuise sur tous les fronts entre protection des réseaux critiques, programmes de tests et réunions régulières. À cela, ajoutons les problèmes d’effectifs toujours d’actualité, de surcoût et de retards de livraisons… En bref, un réel jeu d’équilibriste dans lequel se lance la France à maintenant presque six mois de la cérémonie d’ouverture de ces Jeux.
Certaines variables ne pourront être changées et supposent des évolutions systémiques beaucoup plus profondes. Mais contrairement à ce que dit l’adage, l’important n’est pas que de participer. Il ne s’agit pas de participer de manière passive à la cybersécurisation de ces évènements, mais bien d’assurer un certain niveau de protection, pour toutes les infrastructures nécessaires à leur bon déroulement. Une part d’inconnue sera toujours présente, et tout ne peut être prévu, mais assurons nos arrières en préparant l’ensemble de notre équipe, sur le terrain et avec ceux en soutien.
Le retour aux bases : comprendre, anticiper, sensibiliser et s’exercer
Pour établir une stratégie efficace, il est en effet nécessaire de retourner aux bases. Et pour cela, rien de mieux que de comprendre la menace en elle-même. Avant de lutter contre quelque chose, il faut, en effet, d’abord comprendre ce contre quoi nous luttons. Identifier la menace et la caractériser au plus tôt permettra d’engager par la suite des actions de remédiation globale afin de contrer une attaque et d’en minimiser l’impact.
Le maître mot reste donc l’anticipation. « Rien ne sert de courir, il faut partir à point », écrivait Jean de La Fontaine dans Le Lièvre et la Tortue. Sortons de la mobilisation accélérée quelques mois avant le début de la compétition comme cela a pu être précédemment le cas. Une stratégie de protection cyber engagée par une institution ou une entreprise ne peut être portée du jour au lendemain. Si, d’après le préfet de police de Paris Laurent Nunez, il n’est prévu aucun plan B pour la cérémonie d’ouverture, il est impératif de prévoir plusieurs plans éventuels afin de maintenir un niveau renforcé de cyberrésilience.
Certaines technologies prendront le relais pour une détection immédiate et sans contraintes. Mais la stratégie doit être pensée en amont et dans son intégralité. À l’échelle d’une entreprise ou d’une institution par exemple, pourquoi investir dans un grand nombre de technologies de cybersécurité (2) si les utilisateurs ne sont pas sensibilisés et formés ? À l’inverse, sensibiliser est fondamental pour une meilleure appréhension du fait cyber, mais des efforts doivent ensuite être engagés dans des outils technologiques afin d’acter cette protection, et d’investir. Comprendre, anticiper, sensibiliser, s’exercer : toutes ces actions sont aujourd’hui complémentaires et nécessaires dans la lutte contre les cyberattaques, en constant perfectionnement (APT – Advanced Persistant Threat).
Il y a, en effet, toujours un caractère d’urgence dans la cyber que nous devons prendre en compte, mais stabilisons nos bases.
En complément de cette anticipation, l’ANSSI insiste également sur la sensibilisation de l’ensemble des acteurs, point qui, toutefois, reste timide. D’autres efforts sont en effet attendus pour une sensibilisation cyber croissante. L’ANSSI préconise une communication régulière certes, mais celle-ci doit être pensée et mise en place bien plus en amont des compétitions, et adaptée à la population novice ou experte en la matière pour certains. Le cerveau humain intègre en moyenne un fait au bout d’une dizaine de répétitions, pas trop rapprochées. Alors qu’en est-il pour les JO ? Pour la Coupe du monde de Rugby, le temps est passé. Laissons encore une chance aux JO, il n’est pas encore trop tard, stipule bien Vincent Strubel pour France Inter. Mais le temps est tout de même compté…
Le facteur humain étant considéré comme le premier facteur de diffusion des cyberattaques, il ne s’agit pas d’accompagner uniquement les acteurs impliqués dans l’organisation de ces évènements. Certes, leur sensibilisation est essentielle au vu de leur ciblage et de l’impact potentiel sur le déroulement d’un évènement. Mais les spectateurs et les athlètes sont tout autant ciblés, comme l’attestent les récentes cyberattaques.
Ne nous trompons pas de cibles et de canaux de sensibilisation en ne nous focalisant que sur l’évènement lui-même et ses organisateurs. Dans l’urgence, cela doit en effet être le cas. Mais du moins pour les JO, nous disposons encore du temps nécessaire pour prendre du recul et envisager la sensibilisation dans son ensemble. Certes, cela nécessite des moyens devant être alloués notamment au service public (ComCyberGend ; ANSSI ; Cybermalveillance.gouv, etc.). Mais l’investissement dans une bonne campagne de sensibilisation, englobante et tout aussi ciblée, est peut-être plus judicieux, afin d’anticiper au mieux et de créer des réflexes de cybersécurité chez chaque citoyen français, quelle que soit sa génération. Dans un monde où chaque individu est sursollicité par les informations, soyons en effet créatif pour marquer les esprits. Et les JO sont une bonne thématique afin d’engager individus et collaborateurs autour de bons réflexes à acquérir en matière de cybersécurité.
Enfin, pour confirmer ces efforts de sensibilisation et de protection, il est nécessaire d’engager de nombreux exercices de tests et entraînements réguliers. Il n’y a que par la répétition que ces réflexes pourront être intériorisés sur le long terme et bénéfiques à l’ensemble de l’écosystème, le salarié/fonctionnaire sensibilisé étant avant tout un citoyen, une mère ou un père de famille, évoluant au sein de différents groupes sociaux, et diffusant ainsi ces pratiques et règles de cyberhygiène à une population plus large. Sur le même principe que les économies d’échelle, plus le public sera sensibilisé et alerté, moins de cyberattaques parviendront à leurs fins. Et cela ne vaut pas que pour les compétitions sportives.
Investir dans des solutions technologiques adaptées
Investir est une étape essentielle dans l’approfondissement de ces bases. En effet, l’investissement est large et peut prendre de nombreux et divers sens. Qu’il se fasse dans le développement de la sensibilisation et des entraînements, ou bien notamment dans l’acquisition de nouvelles solutions de détection/réponse face aux cyberattaques, il est un appui essentiel. Il permet d’aller encore plus loin et de démultiplier les bénéfices.
Si nous nous penchons sur ce versant technologique, nous disposons aujourd’hui d’un écosystème cyber français et européen tout de même important, avec de nombreux outils existants et reconnus pour leur fiabilité et leur intégration. Dans son dernier rapport sur les grands évènements sportifs et l’état de la menace, l’ANSSI énonçait justement les points cyber essentiels sur lesquels tout acteur lié à l’organisation de compétitions sportives devrait se focaliser (3).
D’un point de vue technique, l’accent est mis sur la protection des postes de travail et des terminaux mobiles ainsi que sur la protection et l’administration des systèmes d’information. La compromission des postes de travail et des terminaux laisse en effet la porte grande ouverte à l’infection totale du réseau d’une organisation. Imaginons un poste de travail compromis au sein des services de gestion des transports, s’étendant à l’ensemble du réseau régional. Cette attaque paralyserait ainsi tous les moyens de transport et rendrait inaccessibles les lieux des compétitions.
Ou bien encore, imaginons un malware présent depuis un certain temps sur le réseau d’une collectivité territoriale organisatrice d’une épreuve sportive, qui viserait à récupérer des données personnelles, à chiffrer des fichiers nécessaires à l’organisation de l’épreuve, et à profiter de la désorganisation des équipes afin d’engager une atteinte physique à la sécurité. Tous les scénarios sont envisageables.
Et la menace doit être endiguée le plus rapidement possible. En effet, plus un incident est détecté tôt, plus la réponse pourra être efficace. Obtenir une visibilité complète et également en temps réel est donc primordial dans le traitement rapide des incidents de sécurité, notamment dans le cadre de ces évènements sportifs de grande ampleur et à forte visibilité.
Pour cela, l’identification par la cartographie est la première étape clé. C’est en connaissant précisément le risque qu’une entité pourra adapter et personnaliser au mieux sa stratégie. L’objectif ? Connaître l’architecture de son entreprise, avec l’ensemble de ses ressources (matérielles et immatérielles), afin de pouvoir comprendre le fonctionnement de son organisation et de hiérarchiser ses efforts en adéquation avec ses besoins.
En effet, aujourd’hui, beaucoup d’entités se lancent dans l’acquisition de nouvelles technologies sans forcément avoir identifié leurs besoins propres : en France, une entreprise dispose en moyenne d’une quinzaine de solutions de cybersécurité (4). Mais avant d’investir à tout va avant le lancement de la compétition, revenons aux essentiels afin de comprendre la réalité du besoin comparé au niveau actuel de la menace.
L’objectif est de pouvoir agir ponctuellement, stratégiquement et de manière ciblée sur une ou plusieurs menaces, de manière efficace, rapide et précise. La technologie peut ainsi être perçue non pas comme une menace, mais plutôt comme un avantage au service de la lutte contre les cyberattaques dans le domaine sportif.
Une politique globale de soutien et investissement étatique
Enfin, pour appuyer ces efforts, une réelle dynamique étatique doit être engagée envers la cybersécurité. Les JO exacerbent en effet certains problèmes profonds, qui ne sont pas uniquement le fait d’une grande compétition sportive. Les collectivités territoriales en sont aujourd’hui le meilleur exemple (5). Elles subissent le coût de retards continus dans les investissements financiers et humains permettant de sensibiliser le personnel et de mettre en place les technologies de détection et de réponse nécessaires dans la lutte contre les cyberattaques, avec des experts techniques pour les utiliser.
Les politiques publiques de cybersécurité ne doivent plus être pensées dans une logique de rattrapage, mais plutôt dans une logique d’anticipation afin de répondre au mieux aux préoccupations cyber grandissantes.
Des efforts sont attendus par l’État pour prendre en main cette question. Au-delà des compétences de l’Union européenne et des nouvelles exigences imposées au regard notamment de NIS 2 (Network and Information Security 2), certaines actions peuvent être enclenchées au niveau national, à condition que la volonté politique s’ensuive. Plus nous attendrons, plus l’inaction se fera ressentir lorsqu’un évènement majeur se produira. Le contexte politique actuel est pourtant favorable, mais cela piétine et varie au gré de l’agenda politique.
Les six prochains mois sont donc décisifs pour assurer la cybersécurité de cette compétition sportive mondiale.
Le niveau de la menace actuelle de ces Jeux prend place dans un contexte géopolitique perturbé et national fragilisé. Il doit pousser chaque acteur à revenir aux fondamentaux : comprendre, anticiper, sensibiliser et s’exercer. Ainsi, il ne s’agira pas d’empêcher toutes les cyberattaques, puisque c’est impossible, mais d’en limiter l’impact par l’augmentation du niveau global de cybersécurité des acteurs concernés. Revenir aux essentiels et comprendre son besoin permettra ainsi de préciser et d’adapter ses investissements, notamment technologiques, à ses environnements spécifiques. Assurer la sécurité physique et cyber/virtuelle des participants (athlètes, civils, salariés, etc.) fait partie des obligations dans le cadre de cette compétition unique, dont l’État doit se saisir, lui aussi dans une stratégie de long terme pour améliorer la cyberrésilience française.
Notes
(1) Allianz, « Baromètre des risques 2023 », janvier 2023.
(2) Club des experts de la sécurité de l’information et du numérique (CESIN), « Baromètre annuel de la cybersécurité des entreprises », 2023.
(3) « Grands évènements sportifs en France. Évaluation de la menace 2023 », rapport de l’ANSSI, 30 août 2023.
(4) Club des experts de la sécurité de l’information et du numérique (CESIN), « Baromètre annuel de la cybersécurité des entreprises », 2023.
(5) Gatewatcher, « Cyber Threat Semester Report », janvier-juin 2023 (https://info.gatewatcher.com/hubfs/Assetexecutivesummary/CTSR23S1_ExecutiveSummary_FR.pdf).
Clara Petit