La cybersécurité des JO de Paris 2024 : « une expérience folle »

Une cellule cyber sous surveillance

Les organisateurs des Jeux olympiques et paralympiques se sont montrés jusqu’alors peu enclins à communiquer sur le dispositif déployé pour protéger l’IT des deux événements. De fait, la cellule cyber au sein du TOC n’est pas accessible par les visiteurs. Un peu plus loin, la présence d’un membre des forces de l’ordre à la machine à café donne une idée de la criticité du site.

Le COJOP (Comité d’organisation des Jeux Olympiques et Paralympiques de Paris 2024), le Comité international olympique (CIO) et son prestataire IT principal, Atos, se savent attendus au tournant. Cependant, même quelques jours avant la fin de la quinzaine olympique et quand bien même le Premier ministre de Gabriel Attal s’est déjà exprimé sur 68 cyberattaques déjouées, les responsables chez Atos ne préfèrent pas donner de chiffres.

Plusieurs raisons à cela. La première d’entre elles, c’est qu’il est trop tôt. Les Jeux olympiques et paralympiques n’étant pas terminés, il serait présomptueux de fournir un bilan, même temporaire. Deuxièmement, pendant l’événement, le rôle de la cellule cyber du TOC n’est pas de faire un décompte des menaces observées, mais de les bloquer. 

« Il me semble difficile d’analyser la provenance des attaques en une semaine », ajoute Benoît Delpierre.

« Il me semble difficile d’analyser la provenance des attaques en une semaine ».

Troisièmement, la cellule cyber du TOC ne souhaite pas reproduire la précédente méthode de comptage, notamment usité lors des jeux de Tokyo 2020. Après l’événement retardé en 2021, Atos et le CIO avaient évoqué 5 milliards d’événements de cybersécurité. Or, comme le précise Patrick Adiba, CEO Major Events, chez Atos, un événement peut tout aussi bien représenter une tentative d’intrusion malveillante dans un système qu’un utilisateur ayant tapé son mot de passe de manière erronée. « Sur les 5 milliards d’événements comptabilisé pendant les Jeux de Tokyo, environ 400 d’entre eux correspondaient à de potentielles attaques », précise-t-il. Des aiguilles dans une (très grosse) botte de foin.

Des athlètes de la cybersécurité

Benoît Delpierre a surtout pris le temps de revenir sur le dispositif de réponse à incidents de cette équipe cyber avant et pendant les Jeux.

La cellule cyber rassemble plusieurs partenaires, dont Eviden, filiale d’Atos, le CIO, le COJOP ou encore l’ANSSI. D’autres partenaires sont sollicités, dont les acteurs responsables des réseaux tels Orange et Cisco. La cellule est supportée depuis deux autres sites situés en Europe, formant ainsi le CSOC (centre opérationnel de sécurité informatique ou Cyber Security Operations Center) dédié aux Jeux. Au total, plus de 100 « experts cyber » réparties dans trois équipes se relaient lors des compétitions.

« En matière de cybersécurité, c’est plus facile de bâtir des murs autour de vos systèmes d’information. Ce n’est pas notre position », insiste Benoît Delpierre.

Il s’agissait d’abord d’établir une liste de risques pouvant affecter l’IT des Jeux, dont les 150 applications déployées par Atos au sein de deux systèmes IT distincts.

« Une fois que nous avions identifié les risques, nous nous sommes intéressés aux menaces », poursuit le responsable. « Vous imaginez bien qu’avec les incidents géopolitiques, l’évolution des techniques d’attaques ou encore la montée en puissance d’organisations cybercriminelles l’établissement d’un paysage des cybermenaces n’a rien d’évident ».

D’autant que ce travail a débuté il y a trois ans. « L’état de la cybermenace n’a rien à voir avec ce qu’il était il y a trois ans. Nos systèmes ont besoin d’évoluer avec les menaces. Il faut peut-être également reconsidérer les risques, car [les attaquants] connaissent de mieux en mieux le type de solutions que nous déployons ».

Avec les autres partenaires du CIO et du COJOP, Eviden a déployé les systèmes de réponses et de protection contre les menaces.

Comme les responsables des applications, le CSOC a déroulé des tests pendant plusieurs mois. « Nous avons effectué des tests techniques, de compétences et de l’organisation », résume Benoît Delpierre. « Nous devions entre autres nous assurer que le personnel est capable de manipuler toutes ces cybersolutions et de suivre une procédure d’incident de bout en bout ».

Les tests de l’organisation consistaient à s’assurer que les autres membres du TOC et potentiellement les opérateurs IT sur les sites de compétition peuvent réagir.

« Si, pour une raison ou une autre, un incident se produit, nous devons nous former pour l’expliquer à d’autres personnes qui ne font pas partie de l’équipe de cybersécurité », relate Benoit Delpierre. « Nous devons aussi les former pour qu’elles obtiennent les bonnes références, la bonne façon de gérer. Et je pense que c’était pour nous la chose la plus importante ».

Les bonnes pratiques ne suffisent pas. Sans surprise, des exercices de red teaming, de tests d’intrusion « et d’autres cyberactivités » ont été menés en amont des Jeux.

Eviden ne gère que la sécurité des systèmes IT du COJOP et du CIO. « D’autres entreprises dans le domaine des transports, de l’énergie sont concernées par les Jeux. D’où le rôle de l’ANSSI au sein du CSOC.

« Au cas où il y ait un incident en dehors de notre périmètre, nous pouvons obtenir l’information en temps réel », assure Benoît Delpierre.

« Cette coordination demande également de s’entraîner. Il s’agit de s’assurer d’un bon niveau de communication entre les différentes équipes ».

Benoît Delpierre voit trois autres éléments clés dans le bon déroulement des opérations de luttes contre les cybermenaces.

Il souligne l’importance des algorithmes de machine learning utilisés pour trier les événements de sécurité et « apporter une certaine assistance aux analystes pour identifier la bonne information au bon moment ».

L’autre aspect technique clé est l’automatisation. « Jusqu’à aujourd’hui [le 7 août, N.D.L.R], pour chaque événement de sécurité survenu depuis le début des Jeux, nous avions prévu une orchestration automatisée », avance Benoît Delpierre.

« C’est très important, car trois équipes se relaient. Chaque équipe doit avoir les mêmes réflexes, le même niveau de réponse à un événement ».

Enfin, lui et les deux autres responsables des opérations cyber s’appuient beaucoup sur l’expérience des « vétérans des Jeux ». Ces analystes de sécurité ne sont pas forcément âgés, mais ont déjà occupé la même position précédemment et ont acquis certains réflexes bienvenus.

S’il ne veut pas citer de chiffres, Benoît Delpierre évoque les grandes tendances sur la première semaine des Jeux olympiques.

Beaucoup d’attaques de basse intensité

« Depuis le début de la cérémonie, nous avons géré plusieurs attaques par déni de service distribué (DDOS) », évoque-t-il.

« Cela n’a rien de nouveau pour les entreprises ou des événements de cette envergure et les solutions techniques sont prêtes », rappelle-t-il.

Le plus intéressant, selon lui, c’est le fait que les autres participants participant aux Jeux subissant les mêmes attaques ont pu partager leurs informations et celles-ci ont été collectées dans une plateforme de renseignement sur les menaces.

Ce mécanisme est bidirectionnel.

« Cela veut dire que si la RATP subit un DDOS, elle nous transmet des informations techniques, comme l’IP à la source de l’attaque et nous pouvons distribuer cette information en temps réel dans nos systèmes afin de protéger les SI de Paris 2024 ».

Une autre préoccupation de la cellule cyber est la chasse aux fuites de données sur le Dark Web. « Nous surveillons le Dark Web à la recherche d’information concernant les comptes et les personnes ayant accès aux SI de Paris 2024. Si nous en trouvons, nous prenons les mesures adéquates ».

Concernant les différentes revendications de groupes de cyberattaquants sur les réseaux sociaux à propos des systèmes des Jeux, Benoît Delpierre évoque le fait que les équipes cyber ont la plupart du temps pris des mesures au moment des publications.

La troisième tendance est également très connue. Elle concerne la création de faux sites Web de revente de tickets, utilisés pour mener des attaques de phishing. Là encore, les adresses des sites Web malveillants sont partagées entre les partenaires afin d’en bloquer les adresses sur leur périmètre SI respectif.

Panne de Crowdstrike et mammifères hostiles aux infrastructures

Si le travail a débuté par une évaluation des menaces et l’établissement d’une liste de scénarios catastrophes, l’on n’est jamais à l’abri de surprises.

D’ailleurs, les Jeux n’avaient pas commencé qu’il fallait pour Atos orchestré la réponse à incident dû à la panne de Crowdstrike. Le prestataire IT des Jeux a constaté que ses systèmes centraux étaient affectés, dont le système IT des commentateurs, le CIS. « Nous avons réglé le problème en quelques heures », affirme Christophe Thivet, directeur des intégrations Paris 2024 chez Atos. L’identification de la panne n’aurait pas été longue et Atos a rapidement reçu le correctif concocté par Crowdstrike, mais il fallait le tester avant de le déployer. Le CIS a ainsi pu être remis en ligne avant le début des sessions sportives prévu cinq jours plus tard. Le système des commentateurs était également l’outil des journalistes pour suivre le déroulement de la cérémonie sur la Seine.

« Nous n’avions pas anticipé la panne de Crowdstrike en particulier, mais nous étions préparés à ce genre d’éventualité », considère Christophe Thivet.

« Nous n’avions pas anticipé la panne de Crowdstrike en particulier, mais nous étions préparés à ce genre d’éventualité »

Le CIO et le COJOP ont toutefois dû gérer les impacts du bug sur les compagnies aériennes qui transportaient les athlètes. Les organisateurs ont par ailleurs communiqué sur des effets « limités, concernant notamment la délivrance des uniformes et des accréditations » le 19 juillet. Le système de gestion des accréditations est géré par Atos. Après une matinée problématique, le retour à la normale a eu lieu le jour même.

D’autres menaces sont toujours difficiles à prévoir. L’alligator rencontré par les techniciens réseau au JO de Rio de 2016 a fait place aux lapins à la colline Élancourt, site d’accueil des épreuves de VTT (les Monty Python ont pourtant signalé de longue date la dangerosité de l’animal), et à une fouine. Celle-ci a sectionné des câbles de fibre optique dans la fan Zone à Vincennes.