La cybersécurité pendant les Jeux Olympiques et Paralympiques de Paris 2024
Les Jeux Olympiques et Paralympiques (JOP) sont les compétitions sportives les plus suivies au monde. Chaque nation cherche à y briller en remportant le plus grand nombre de médailles, s’assurant alors un prestige international certain.
Au-delà des enjeux sportifs, les grands évènements de ce type sont particulièrement sensibles pour les pays hôtes. La réussite de leur organisation est cruciale, notamment au niveau de la sécurité et de la cybersécurité.
Les Jeux Olympiques et Paralympiques de Paris, qui se sont déroulés de juillet à septembre 2024, n’ont bien sûr pas fait exception. D’autant plus qu’ils ont eu lieu dans un contexte particulier, rendant les cybermenaces omniprésentes.
Un contexte national et international marqué par des tensions
Si l’approche des Jeux est traditionnellement marquée par la trêve olympique, force est de constater qu’elle est de plus en plus mise à mal par le contexte politique et géopolitique.
En France, les tensions sociales et politiques ont été exacerbées par la tenue des élections législatives les 30 juin et 7 juillet 2024, soit moins de 20 jours avant de début des Jeux Olympiques de Paris.
Sur la scène internationale, les conflits impliquants des États ou des groupes armés de premier plan, sans oublier les rivalités géopolitiques croissantes entre grandes puissances, ont constitué un terrain propice pour d’éventuelles attaques informatiques.
Tous les éléments étaient donc réunis pour faire planer sur l’organisation des Jeux Olympiques et Paralympiques des menaces importantes.
Terroristes, hacktivistes (activistes utilisant les cyberattaques dans un but politique), cybercriminels ou encore gouvernements hostiles pouvaient bénéficier de cette grand-messe du sport pour mener à bien des opérations dans le cyberespace.
Des cybermenaces de plus en plus présentes pendant les JO
À vrai dire l’émergence des cybermenaces dans la sphère olympique ne date pas de 2024. Elles ont progressé en même temps que la place du numérique dans notre société.
Déjà en 2008, les Jeux Olympiques de Pékin avaient été la cible de cyberattaques. Des cybercriminels avaient saisi l’opportunité économique de l’évènement : vente de faux billets pour assister aux compétitions, phishing de masse pour extorquer des données personnelles ou bancaires, etc.
Cette édition a également été marquée par les actions d’hacktivistes profitant de la tribune offerte par l’évènement pour aborder des sujets politiques.
En 2012, à Londres, une attaque DDoS (attaque en déni de service visant à perturber le fonctionnement d’un serveur) a été signalée sans pour autant avoir perturbé le bon déroulement de l’évènement.
En 2014, les Jeux Olympiques d’hiver de Sotchi ont été marqués par une opération de cyberespionnage visant aussi bien les organisations olympiques que les sportifs, les spectateurs ou encore les journalistes.
En 2016, à Rio, c’est une nouvelle fois le cyberespionnage qui a fait l’actualité, ainsi qu’une augmentation considérable du nombre de tentatives de phishing en amont des Jeux.
En 2018, pour la première fois, une cyberattaque de grande envergure a ciblé la cérémonie d’ouverture des Jeux d’hiver de Pyeongchang, en Corée du Sud. L’opération visait à perturber le bon déroulement de l’évènement et sa retransmission.
À l’approche des Jeux de Paris, le contexte en matière de cybersécurité était donc largement connu. Pour faire simple, la question n’était plus de savoir si des cyberattaques auraient lieu, mais plutôt de savoir comment limiter au maximum leur impact.
Analyser, sensibiliser et sécuriser pour anticiper les cybermenaces
Les grands évènements ont ceci de particulier que l’objectif principal est de mener à bien la mission coûte que coûte. Autrement dit, en cas de piratage, la capacité de résilience doit être immédiate.
Partant de ce postulat, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a travaillé de concert avec les autorités concernées et le Comité d’Organisation de Paris 2024.
La sécurisation des Jeux par rapport au risque cyber s’est articulée autour de cinq axes :
- Déterminer les cybermenaces pesant sur les Jeux
- Sécuriser les systèmes d’information critiques
- Protéger les données sensibles
- Sensibiliser l’écosystème des Jeux
- Se préparer à intervenir en cas de cyberattaque
Précisons que l’écosystème de Paris 2024 rassemblait près de 500 entités, réparties en 3 catégories selon leur criticité. Chaque entité a pu bénéficier de l’accompagnement de l’ANSSI (audit de cybersécurité, accompagnement technique, etc.).
Toute la difficulté pour les autorités compétentes a été de sensibiliser les collaborateurs de l’écosystème des Jeux qui sont le premier rempart en matière de cybersécurité. Cela passe par une vigilance particulière apportée aux tentatives de phishing ou de smishing qui représentent la porte d’entrée de 80% des cyberattaques.
Découvrez comment sensibiliser vos collaborateurs à la lutte contre le phishing avec la solution AvantdeCliquer.
Cybersécurité des JOP de Paris 2024 : l’heure du bilan
L’ANSSI s’attendait à un été très critique du point de vue de la cybersécurité. Si aucune cyberattaque n’a fait la une de l’actualité, cela ne veut pas dire qu’il n’y en a pas eu. De fait, quelques 548 évènements ont affecté l’écosystème des Jeux entre le 8 mai et le 8 septembre 2024.
Sur ces 548 cas, seulement 83 ont été classés comme « incidents », c’est-à-dire des évènements où les pirates ont pu atteindre avec succès leur cible. L’écrasante majorité a donc été classée en « signalement », ce qui veut dire que l’impact a été limité sur les systèmes d’information des victimes.
L’un des objectifs principaux était la bonne tenue des cérémonies d’ouverture et de clôture. Ces évènements étant suivis par plusieurs centaines de millions de personnes à travers le monde, on comprend aisément l’enjeu que cela représente.
Objectif atteint, aucune cyberattaque n’ayant affecté les spectacles, ni d’ailleurs le bon déroulement des épreuves. On peut même considérer la cybersécurité comme une des grandes réussites de Paris 2024. Elle ne fait malheureusement pas partie des plus médiatiques.
L’organisation des Jeux Olympiques et Paralympiques de Paris a été l’occasion pour beaucoup d’acteurs de progresser dans le domaine de la cybersécurité. Le défi est maintenant de continuer sur cette lancée et de ne pas se laisser distancer par les hackers. Et cela dans un contexte budgétaire délicat.
D’autant plus qu’il n’y a justement pas eu d’évènement majeur à déclarer. Paradoxalement cela peut avoir comme conséquence un relâchement des pratiques en matière de cybersécurité. D’où l’importance de former et de sensibiliser en permanence l’acteur clef de la cybersécurité : l’humain.
Perspectives : la cybersécurité dans le domaine de l’évènementiel
L’un des enseignements de l’organisation des Jeux Olympiques et Paralympiques est la mise en lumière de la fragilité des évènements, notamment sportifs, face aux cybermenaces.
Il faut garder en tête qu’un organisateur d’évènement a pour mission de mener à bien un projet sur un temps assez court. La cybersécurité peut sembler superflue dans ce contexte et elle n’est pas encore un reflexe pour beaucoup d’acteurs.
D’autant que les entités concernées par l’organisation de ces manifestations sont en grande partie des petites entreprises. Elles ne peuvent évidemment pas supporter les mêmes efforts en matière de cybersécurité que des grands groupes.
Pourtant, par leur médiatisation, les évènements exceptionnels sont une cible de choix pour les hackers. Et ils le seront probablement de plus en plus à l’avenir.
C’est tout l’intérêt du projet Stadia mené par Interpol et qui vise à créer un centre d’excellence en matière de sécurité (physique et cyber) lors de grandes manifestations internationales, notamment sportives.
Pour finir, il sera intéressant d’observer si l’expérience des Jeux Olympiques et Paralympiques de Paris 2024 en termes de cybersécurité sera utilisée dans la transposition en droit français de la directive européenne NIS2.
Sources : www.cyber.gouv.fr, www.blog.sekoia.io, Matinale du CyberCercle du 13 novembre 2024 en présence de Philippe LATOMBE (député de Vendée), Nicolas Moreau (Conseiller Sécurité du Numérique de la préfecture de Police de Paris) et Franz Regul (Responsable Sécurité des Systèmes d’information de Paris 2024).
DSI, RSSI, DPO, demandez une démonstration gratuite de la solution totalement automatisée de sensibilisation au phishing :