La sécurité des JO, l'objet de toutes les attentions

Une menace protéiforme plane sur les Jeux Olympiques et Paralympiques qui se dérouleront cet été en France du 26 juillet au 11 août 2024. La menace d’attentats déjà, à ce titre, le ministre de l’Intérieur avait déclaré le 21 mars dernier que 715 personnes avaient été écartées dont 10 fichées S en épluchant les dossiers des milliers d’individus faisant l'objet de demandes d'accréditation émanant du comité organisateur des JO ou des préfectures. La menace provient aussi des vols, par exemple, d’ordinateurs ou autres périphériques comme les clés USB qui peuvent potentiellement contenir des données sensibles. Deux vols ont notamment eu lieu en février et mars derniers ; le premier, un ingénieur travaillant pour la ville de Paris s’est fait dérober sa sacoche dans un train à la gare du Nord contenant son ordinateur professionnel et une clé USB et le second, c’est une employée de la direction de l'hôpital Avicenne de Bobigny (Seine-Saint-Denis) qui s'est fait voler son laptop sur un parking. Dans ces deux cas, les périphériques volés contenaient des données liées aux Jeux Olympiques, toutefois ces informations ne seraient pas classées aussi sensibles que cela selon les intéressés et la Justice. Enfin, n’oublions pas la menace cybercriminalité qui a déjà commencé à en croire nos interlocuteurs interrogés dans ce dossier; preuve de cet avant-goût, l’attaque massive, via la technique du DDoS, sur plusieurs sites de l’État perpétrée le dimanche 10 mars par le groupe Anonymous Sudan soutenant la Russie et plusieurs causes islamistes, mais aussi les plus récentes attaques contre France Travail (lien vers ) et la Fédération Française de Football. Ce cumul d’événements indique ô combien la sécurité des JO est stratégique à la fois d’un point de vue physique mais aussi sur la sécurité des infrastructures IT et des sites dédiés de toutes les entreprises et les organisations françaises. Dans son dernier baromètre de la cybermenace 2023 dévoilé le 27 février dernier, l’ANSSI met d’ailleurs en garde tous les acteurs liés ou pas aux JO de Paris sur le haut niveau de menaces qui plane sur cet événement. Vincent Strubel, son directeur, a assuré que l’ANSSI est déjà mobilisée sur la cybersécurité des JO avec un dispositif renforcé de veille, d’alerte et de traitement des incidents de sécurité informatique, ce dispositif a été déployé en coopération avec les différents services de l’État impliqués. Pour l’agence, l'espionnage stratégique et industriel est la menace qui a le plus mobilisé ses équipes en 2023 selon son dernier baromètre. En complément à l’ANSSI, le département de l'anticipation et de la gestion de crises Cyber du Commandement du ministère de l’Intérieur dans le cyberespace (COMCYBER-MI) géré par la Lieutenant-colonel Sophie Lambert est déjà fortement mobilisé : « Présent sur le Campus Cyber, notre département, composé d’une vingtaine de personnes dont une majorité d’analystes experts, a pour mission lors de ces JOP 2024 de surveiller et d’anticiper les diverses menaces. Nous serons d’ailleurs présents au centre national de commandement stratégique (CNCS) à Beauvau. N’oublions pas que cet événement à fort retentissement médiatique profite d’ailleurs aux cybercriminels dont le but est de perturber la tenue des Jeux, de déstabiliser les intérêts français et de véhiculer des messages de propagande. Les JOP constituent pour les cybercriminels une vitrine pour recruter dans leurs rangs ».

Une architecture colossale à sécuriser et bien plus…

Sécuriser l’architecture IT des JO n’est pas une mince affaire surtout quand celle-ci est construite sur une approche cloud native avec 206 applications interconnectées à en croire David Pillant, responsable des architectures IT de Paris 2024, qui s'était exprimé lors du salon API Days en décembre dernier. En chiffres, ce sont 12 000 écrans déployés, 400 000 km de fibre optique (dont 90 % déjà existante), 13 000 ordinateurs et 8 000 hotspots Wifi au service des athlètes… A cela, n’oublions pas que 20 000 journalistes couvriront les compétitions, des milliers d’employés, environ 35 000 bénévoles accrédités (ndlr : et autant en backup au cas où), ainsi que plusieurs milliards de téléspectateurs , sans les 13 millions de passionnés attendus dans les stades pour les Jeux. « En volume de données, c’est colossal, on parle de milliards de pages vues, de milliards de données brutes. Le golf par exemple est l’un des sports qui génère le plus de données. La cérémonie d’ouverture inédite, à ciel ouvert (ndlr : avec plus de 1 000 bateaux sur la Seine ou au Trocadéro, voir le Stade de France en cas de problème), va générer, elle -aussi, d’énormes quantités de données », précise d’ailleurs Christophe Thivet, directeur de l'intégration technologique pour les Jeux de Paris 2024 chez Atos. Il faudra aussi prendre en compte la protection des postes de travail des bénévoles accrédités qui arrivent avec leur propre équipement selon Eric Greffier, responsable du partenariat avec les JO de Paris 2024 pour Cisco. A ce titre, un effort important a été mis sur la sensibilisation et la formation aux risques cyber pour tous les personnels. Mais plus largement, il faut sécuriser le SI autour des JO qui se décompose, lui-même, en plusieurs sous-systèmes (billetterie ou patrimoine applicatif à destination du grand public, gestion de l’affichage, accréditations, etc.) car, comme le rappelle le porte-parole de Cisco, toutes les catégories de cybermenaces seront présentes. La captation des données sera d’ailleurs au cœur de la stratégie des cyberattaquants, et pour Jean-Philippe Isemann, associé Partner au sein du cabinet de conseil RSM France et administrateur pour ISACA-AFAI, ce qui est préoccupant, c’est le renseignement économique que l’on ne mesure pas et que l’on ne connaitra pas. A ce sujet, Vincent Strubel a indiqué lors de l’ouverture du Forum InCyber qui s’est tenu à Lille en mars dernier, que le pire des scénarios est la cinématique d’événements, c’est-à-dire d’être submergé par des petites attaques très visibles et de ne pas voir une autre plus importante. De plus, pour Boris Lecoeur, directeur général de Cloudflare, il ne faut pas oublier toutes les entreprises et institutions qui gravitent indirectement autour des JO dont certaines d’entre elles, parfois moins bien préparées, sont plus vulnérables. « Tous les services d’infrastructures, qu’ils soient partenaires ou pas, les sites de l’Etat, les billetteries sont autant de cibles potentielles, même des petites structures françaises et visibles s’attendent à être attaquées », précise le dirigeant. Un avis que partage Eric Greffier : « Par exemple, Les transports, souvent gérés par les collectivités, sont notamment une cible de choix pour les cyberattaquants. Cisco travaille ainsi avec les collectivités concernées par les JO en leur apportant un éclairage sur les risques et des conseils pour mieux se protéger », et d’ajouter : « En partenariat avec Paris 2024 et Eviden, nous avons même lancé un club des RSSI pour préparer la coopération temps réel durant les jeux. ».

Atos, d’abord concentré sur les JO

Pour le bon déroulement de cet événement planétaire, et malgré ses déboires financiers et stratégiques, Atos se positionne en maître d’œuvre : c’est le partenaire technologique officiel des JO 2024, il est à la fois intégrateur, fournisseur de services cloud aux côtés d’Alibaba Cloud (lequel ne sera pas en charge des données sensibles), prestataire de solutions de cybersécurité via sa filiale Eviden et éditeur d’applications (voir encadré). Quant aux déboires financiers actuels d’Atos (perte de 3,44 milliards d’euros en 2023), Christophe Thivet est catégorique, il n’y aura aucun impact sur la sécurité des JO. « De par notre histoire dans les JO, nos équipes ont un attachement très fort au monde olympique, elles ont participé à ceux de Londres, de Vancouver et de Tokyo. L’organisation des JO, c’est un projet unique sur un CV. » Ce sera la dernière participation d’Atos aux Jeux, le contrat avec le CIO arrive à son terme. Même constat du côté d’Ivan Frain, directeur consulting cloud transformation chez PwC France et Maghreb : « En tant que partenaire, nous avons constaté que toutes les équipes étaient fortement mobilisées et impliquées, un investissement qui contribuera, c’est certain, à la réussite des JO 2024. »

Atos, c'est aussi la gestion des accréditations et la diffusion des chronos

Atos est un habitué des JO, Tokyo, Londres, Vancouver, Barcelone, les équipes étaient déjà à la manœuvre. Pour Paris, Atos, en tant qu’éditeur, livre deux applications, la première, Olympic Management System, permet de planifier les accréditations, 500 000 au total selon Christophe Thivet, directeur de l'intégration technologique pour les Jeux de Paris 2024 chez Atos, via un processus entre les services de l’Etat et l’application d’Atos, et ce, jusqu’à la fourniture finale du badge. En soi, la SSII, de par ses expériences précédentes sur d’autres JO s’appuie donc sur un socle connu. En revanche, pour Paris, la plateforme s’enrichit d’un outil d’aide à la décision sur le choix des volontaires. « Sur 300 000 candidatures de volontaires, il fallait en sélectionner 35 000, grâce à un algorithme spécialement développé pour ces JO, nous sélectionnons les bonnes personnes par rapport aux postes recherchés, un étudiant en médecine, nous n’allons pas par exemple lui confier une mission de transport », explique Christophe Thivet. Quant à la deuxième application, Olympic Diffusion System, elle permet, en s’interfaçant avec Omega (partenaire historique des JO), de diffuser les chronos en moins d’une seconde auprès des médias et des spectateurs, et la spécificité pour Paris est qu’il a fallu enrichir cette application d’une prise en charge des nouveaux sports comme le surf, le breaking, l’escalade sportive et le skateboard.