Cybersécurité des Jeux Olympiques de Paris : doit-on s’inspirer de l’ANSSI ?

Avions-nous des raisons de croire à l’imminence d’une cyberattaque de grande ampleur ?  L’histoire récente des Jeux porte à répondre par l’affirmative. En 2018, lors des Jeux d’hiver de Pyeongchang (Corée du Sud), le pays organisateur a été confronté à un malware, connu désormais sous le nom de « Olympic Destroyer », provoquant d’importants problèmes informatiques. Dans la nuit du vendredi 3 au samedi 4 février 2018, rapportent plusieurs sources, une attaque a empêché les visiteurs d’imprimer leurs tickets d’entrée pour la cérémonie d’ouverture, le réseau Internet des télés a cessé de fonctionner, de même que le réseau Wi-Fi du stade olympique... Ces « dégâts » ont finalement pu être réparés, mais quelques problèmes techniques subsistaient au moment de la cérémonie. Cette attaque sera attribuée à des cybercriminels russes, en réponse à la suspension des athlètes russes...
Rio, au Brésil, en 2016, on compte près d’un demi-milliard de cyberattaques durant la quinzaine, soit 400 attaques chaque seconde, ont rapporté des experts. Tokyo, en 2020, le Japon devait, en plus du désastre de la pandémie, faire face au nombre de 450 millions de tentatives de cyberattaques en amont et durant les Jeux. Paris, où les autorités travaillent en étroite collaboration avec l’ANSSI, CISCO et EVIDEN, prévoyait un nombre d’attaques 120 fois plus important qu’à Tokyo. Dans une interview relayée par plusieurs médias en mai dernier, M. Vincent Strubel, directeur général de l’ANSSI s’exprimait en ces termes : « Nous ne pouvons pas empêcher toutes les attaques ; il n’y aura pas de Jeux sans cyberattaques. Mais, il nous appartient d’en limiter les effets sur le déroulement des Jeux Olympiques ». Le 13 août dernier, l’ANSSI communiquait le nombre de 141 événements de cybersécurité visant les entités gouvernementales, le sport, les transports et les télécommunications, sans qu’aucun n’affecte le déroulement des épreuves. 119 signalements correspondaient à un « événement de sécurité d’origine cyber avec un impact bas pour le système d’information de la victime, requérant une intervention minimum de l’Agence » ; et 22 autres renvoyaient à un incident durant lequel « un acteur malveillant a conduit des actions avec succès sur le système d’information de la victime », précise l’ANSSI dans un communiqué de presse.

Parmi ces attaques nous pourrions citer celle ayant touché, dans la nuit du 3 au 4 août, le Grand Palais Réunion des musées nationaux où se tenaient les épreuves d’escrime et de judo. Les 36 boutiques-librairies, d’autres musées et grands sites touristiques (Le Palais de Versailles) ont aussi été ciblés, mais sans en affecter le fonctionnement. D’après plusieurs sources, il pourrait s’agir d’une attaque menée par un groupe étatique. Une enquête a été ouverte et confiée à la Brigade de lutte contre la cybercriminalité (BL2C) de la police judiciaire parisienne.

S'inspirer de l'ANSSI

Il faut dire que l’ANSSI a fait mieux que de nombreuses organisations. En amont des Jeux, l'ANSSI a identifié 500 sites, lieux de compétition et collectivités locales. Dans le cadre d’un partenariat public-privé, l'ANSSI a travaillé avec les responsables olympiques pour contextualiser et prioriser la protection des systèmes opérationnels cruciaux : portails de billetterie, solutions logistiques, systèmes informatiques de base (points de terminaison et les réseaux) ... Ceci nous conduit à nous interroger sur la méthode ANSSI. Peut-être faudrait-il s’en inspirer... :

Afin d’améliorer sa connaissance des menaces, l’ANSSI a commencé par des audits de sécurité détaillés, permettant de proposer des programmes spécifiques pour les entités sensibles et d'estimer les niveaux de sécurité. En d'autres termes, l'analyse des risques cyber a permis de contextualiser et de hiérarchiser les menaces, en fonction de la criticité des vulnérabilités et des risques. Ceci se reflète d’ailleurs dans la stratégie de prévention publiée par l'ANSSI : Panorama de la cybermenace 2023.

L'ANSSI a également porté une attention aiguë sur l'amélioration du renseignement sur les menaces et du partage d'informations, pour accroître la sensibilisation aux menaces et vulnérabilités potentielles. Afin de se préparer aux Jeux, les responsables ont aussi effectué des tests d'intrusion pour identifier les systèmes exposés. Selon l'institut Ponemon, 60 % des violations sont dues à des vulnérabilités connues qui n'ont pas été corrigées. Ceci souligne l'importance de prioriser ces risques et de prendre des mesures pour les atténuer.

Enfin, en cas d'attaque, l'ANSSI était prête à intervenir, ayant défini un système renforcé de surveillance et d'alerte pour les incidents informatiques. Avant les Jeux, les responsables ont également mené plusieurs exercices pour se préparer à une réponse coordonnée. L'ANSSI a mis en place des contrôles concrets comparables à ceux qu’il convient de déployer pour la protection d’infrastructures critiques tels que les hôpitaux, les usines, les organismes gouvernementaux, etc.

S’il faut tirer un premier enseignement, nous dirons qu’en matière de cybersécurité il faut être capable de mener de front deux impératifs : être agile et réagir rapidement, mais aussi planifier efficacement sur le long terme. Le succès de la méthode de l'ANSSI souligne l'importance de la préparation, de l'évaluation continue des risques et de la nécessité d'une posture de cybersécurité proactive face à des menaces en constante évolution.