Quelles épreuves cyber pour les entreprises aux Jeux Olympiques Paris 2024 ?

Dans un monde ultra connecté, attirer la visibilité, c’est aussi attirer la cybercriminalité.

C’est en substance ce qu’a déclaré Franz Regul, le responsable de la sécurité des systèmes d’information du Comité d’organisation de Paris 2024 : « Aujourd’hui, la totale organisation repose sur la technologie. Et partout où il y a de la technologie se posent des questions et des préoccupations de cybersécurité ».

Cela fait peu de doute : les Jeux Olympiques et Paralympiques vont être un terrain de jeu pour les athlètes mais également pour les cybercriminels du monde entier qui se tourneront vers la France. Contrairement à ce que l’on pourrait imaginer, les cyberattaquants ne se contenteront pas de cibler l’évènement mais un écosystème bien plus large, d’entreprises, d’institutions et de particuliers.

Le volume d’attaques risque d’être sans précédent. Les experts estiment que nous pourrions faire face à des cybermenaces potentiellement 8 à 10 fois plus nombreuses que lors des JO de Tokyo de 2021, durant lesquels pas moins de 450 millions de cyberattaques avaient été recensées !

Des cyberattaques menées par qui, pour quels motifs, avec quels moyens ? Comment faire en sorte de s’y préparer ? Comment s’assurer d’avoir suffisamment anticipé de probables crises… pour envisager les meilleures issues possibles ?

Attaque à fin pécuniaire, hacktivisme, déstabilisation, espionnage : un large éventail de menaces

La cybercriminalité prend une multitude de formes et peut avoir diverses finalités :

Des groupes étatiques menant des actions de déstabilisation ou de sabotage à des fins géopolitiques ; des groupes d’attaquants indépendants aux objectifs purement pécuniaires et agissant aux moyens de campagnes de phishing et de ransomwares ; des groupes d’hacktivistes – à la solde d’États ou non - cherchant à faire passer leurs messages auprès du public le plus large possible. 

Parmi les cybermenaces bien connues, et auxquelles nous ferons probablement face pendant les JOP 2024, citons par exemple : les attaques DDoS qui seront certainement utilisées pour perturber la tenue de l’événement ; les emails de phishing (hameçonnage) qui vont largement être contextualisés autour des JOP ; les ransomwares qui vont certainement cibler plus particulièrement pendant les Jeux Olympiques des entreprises opérant dans des secteurs sensibles ou liés à l'événement afin de mettre une pression maximum sur leurs victimes en vue d’obtenir le paiement d’une rançon ; ou encore le défacement de sites web par des hacktivistes étatiques ou non pour promouvoir des messages idéologiques, de propagande, etc.

Autant de scénarios redoutables, auxquels il faut savoir se préparer.

• Comme les athlètes, les entreprises doivent s’entraîner

Les athlètes se préparent pendant des mois afin d’être prêts le grand Jour. Pour les entreprises, la métaphore est significative : elles ne doivent pas subir ou être en proie à un état de sidération lorsque l’attaque survient, qu’une suspicion de violation ou d’exfiltration de données apparaît.  Mais sont-elles aussi bien préparées que nos athlètes ?

Lors d’une cyberattaque, la gestion du temps devient cruciale car l’infection et ses effets se propagent rapidement. Bien souvent, les entreprises perdent un temps considérable à identifier et mobiliser les bonnes personnes, entravant ainsi leur capacité à prendre les bonnes décisions rapidement. 

Dans le cadre d’une crise cyber, avoir une équipe de gestion de crise prête à réagir est indispensable. La 1^ère des étapes de l’entraînement à la gestion de crise cyber est d’avoir défini l’« équipe type » ou cellule de crise, qui devra être réunie pour ordonner et piloter la crise.  

• L’équipe type et les remplaçants 

L’équipe type, c’est donc la cellule de crise (l’équipe des titulaires) prête à la mobilisation. Bien que celle-ci puisse varier selon les activités et la structure de l’entreprise, une équipe type se dégage toujours. Elle se compose généralement du pilote de la crise, d’un secrétaire de crise (en charge de tenir une main courante, répertoriant l’historique de la gestion de crise) et enfin des directions clés : Communication, DRH, DAF, DSI, sans oublier le responsable juridique et le DPO, s’il y en a un.

Les remplaçants ne sont pas de simples doublures, ils jouent un rôle crucial. En entrant en jeu, ils vont apporter des expertises complémentaires, couvrir un spectre plus large, ou permettre une continuité lors de congés ou d’indisponibilités. Cela suppose que ses membres (ex : le directeur commercial, les directeurs des opérations et directeurs de filiale ou d’usines lorsqu’elles sont impliquées, etc.) soient entraînés de la même manière, et puissent être mobilisés rapidement pour prendre le relai.

• L’importance de s’entraîner en conditions réelles

Une fois l’équipe constituée, elle doit avoir un plan de jeu, autrement appelé le plan de gestion de crise d’origine cyber (PGC). Ce plan décrit les étapes à suivre en cas de cyberattaque, que cela soit d’un point de vue gouvernance (qui sont les acteurs de la cellule, comment communiquer en continu, acter une prise de décision rapide, etc.), communication en interne et vers l’externe, organisationnel (fonctionnement sans internet, sans accès au réseau, en télétravail ou à l’inverse en imposant un travail exclusivement sur site, etc.) et technique (la restauration des systèmes et la récupération des données, etc.).

Ce plan de jeu stratégique de l’entreprise pour gérer une crise cyber, doit être régulièrement testé et révisé pour garantir son efficacité et s’adapter aux changements rapides dans l’entreprise (les collaborateurs, les dirigeants, les outils, l’entreprise lorsqu’elle procède à des acquisitions, lorsqu’elle ouvre des usines, des nouveaux bureaux et filiales, etc.). Autant d’évolutions qui élargissent la surface d’attaque et rendent plus complexe la réaction à une cyberattaque. Avec un PGC (Plan de Gestion de Crise) bien conçu, chacun connaît sa mission, les règles et bons réflexes, pour agir vite.

La cyberattaque est comme un match, une compétition. La préparation de son équipe, la connaissance des rôles et la mise en situation mentale permettent de gérer la pression et de contenir les effet de l’attaque sur l’organisation, ses collaborateurs, ses clients et ses activités essentielles. Une cyberattaque met les entreprises et ses collaborateurs dans des contextes de stress et d’incertitudes forts : il est donc essentiel de s’entraîner avec une mise en situation c’est-à-dire en simulant un contexte réaliste d’attaque (avec des scenarios simulés d’ingénierie sociale, d’intrusion, d’indisponibilité du système d’information, d’exfiltration de données, de désinformation sur les réseaux sociaux, etc.). Cette approche empirique permet d’évaluer le niveau de préparation de l’entreprise et d’améliorer les processus de gestion des situations d’urgence.

Évidemment, l’analogie avec le sport a ses limites. L’équipe de gestion de crise n’a pas besoin d’un entraînement quotidien ou hebdomadaire. Des exercices réalisés tous les 6 à 12 mois permettent de garder un collectif mobilisé et de s’assurer que tous ses membres sont prêts et avertis.

Faire progresser la résilience des organisations 

Les Jeux Olympiques sont un point d’orgue de cette année 2024, critique pour la cybersécurité des entreprises françaises. Les nouveaux règlements comme DORA ou NIS 2 sont les signes d’une transformation numérique qui se poursuit à grande vitesse, charriant son lot de menaces et d’attaques. Accepter le risque cyber c’est s’y préparer : à la manière des athlètes, entraînons-nous pour être prêts et ne pas faillir le jour de l’épreuve.

Savoir faire face aux cyberattaques ne donne pas le droit à une médaille mais cela peut sauver son entreprise de conséquences économiques et réputationnelles lourdes. C’est en nous entraînant à la gestion de crise cyber que nous saurons comment progresse notre capacité de résilience. Les bénéfices en termes de sérénité, de confiance et de cohésion au sein des organisations en seront les justes récompenses.