Comment Advens et Nozomi ont assuré en secret la protection OT des JO
À côté du dispositif cybermis en place par le comité Paris 2024 et ses partenaires officiels Evide et Cisco, l’Anssi a missionné Advens et son partenaire Nozomi pour sécuriser les installations qui sortaient du périmètre du COJOP. 3 attaques majeures ont été contrées grâce à ce dispositif.
Si la protection des installations olympiques avait été confiée à Eviden et Cisco, partenaires officiels de Paris 2024, de nombreux autres acteurs de la cybersécurité française ont été mobilisés lors de l’événement. En effet, la sécurité des Jeux olympiques présentait un trou dans la raquette : la sécurité des systèmes informatiques des stades qui était hors du périmètre initial.
Prudente, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a souhaité superviser la sécurité informatique des systèmes situés dans les stades de plusieurs sites olympiques. Il s’agissait notamment des écrans géants, de la sonorisation, des systèmes de vidéosurveillance ou encore des GTB (Gestion Technique du Bâtiment) déjà installés dans ces grandes infrastructures.
Suite à une consultation, l’Anssi a retenu l’offre mySOC d’Advens pour assurer la supervision de ces sites. Le Nordiste était déjà indirectement impliqué dans la sécurité de ces jeux puisqu’il compte parmi ses clients la ville de Paris, à la fois sur un périmètre IT, mais aussi OT : « la Ville de Paris gère beaucoup de périmètres industriels et notamment le système d’approvisionnement en eau de la ville », explique Benjamin Leroux, Chief Marketing Officer d’Advens.
Ainsi, « des sondes réseau Nozomi Networks ont été placées dans les points névralgiques du réseau ou encore la gestion des écluses ». Ce dispositif a été renforcé lors des jeux et pour assurer la sécurité des stades, Advens a formé une équipe dédiée en prélevant des gens auprès de toutes ses équipes d’analystes SOC, des auditeurs, et des PenTesteurs : « nous avons intégré ces ressources dans ce que nous avons baptisé la bulle JO. Cela a mobilisé jusqu’à 60 personnes. Nous avons formé beaucoup de ces gens au monde industriel, car la réponse à une attaque OT n’est pas toujours celle que l’on apporte à un système IT. On ne peut patcher et redémarrer un système industriel aussi facilement qu’un serveur IT, par exemple ». Ainsi, 13 SOC dédiés ont systèmes industriels (OT) qui ont été mis en place en l’espace 6 mois.
Le couple HarfangLab EDR et NDR Nozomi à l’œuvre pendant les JO
Pour alimenter ses SOC, Advens mise de plus en plus sur une combinaison associant EDR et NDR. « Le NDR permet de savoir ce qui se passe dans le réseau, essentiellement avec Nozomi Networks lorsqu’il s’agit de réseaux industriels », détaille Benjamin Leroux. De l’autre côté, l’EDR « permet de suivre les postes de travail, mais aussi les serveurs et autres types de terminaux. Dans le contexte olympique, nous avons opté pour la solution souveraine HarfangLab ».
« L’Anssi a joué un rôle de chef d’orchestre avec les autres entités impliquées, notamment sur la détection d’incidents et d’attaques sur certains périmètres. »
Benjamin LerouxChief Marketing Officer, Advens
Enfin, les SOC sont alimentés par des logs issus des firewalls, de l’Active Directory, etc. : « il s’agit non pas d’avoir un maximum d’informations, mais de disposer des bonnes informations par rapport au plan de surveillance mis en place suivant aux menaces que l’on souhaite avoir sous contrôle ».
Dans ce type de projet, le placement des sondes joue un rôle clé dans l’efficacité du dispositif. Alors que les experts hésitaient sur le meilleur emplacement sur l’un des sites, la sonde a été testée quasiment devant l’accès Internet du stade et tout d’un coup, une multitude d’actifs sont apparus sur le réseau… il ne s’agissait pas d’un botnet, mais des visiteurs qui se connectaient au Wifi public du stade.
L’une des particularités du projet portait sur le faible niveau de maturité cyber des interlocuteurs d’Advens : « à la différence des équipes IT des entreprises, les exploitants de grandes infrastructures n’ont pas l’habitude d’échanger avec les équipes cyber. Par exemple, obtenir des informations fiables sur les accès externes autorisés dépend beaucoup de la maturité de l’interlocuteur ».
Comme en milieu industriel, il était aussi compliqué, voire impossible d’intervenir sur certains équipements pour appliquer des correctifs. Certains systèmes n’étant arrêtés qu’une fois par an, lors de leur maintenance, les mises à jour de sécurité ne peuvent être menées qu’à ces moments précis.
Un contexte OT finalement assez classique
Pour Nozomi Networks, il n’a pas été nécessaire d’implémenter de nouveaux protocoles dans ses sondes : « bien que les finalités des systèmes industriels puissent être très différentes, on retrouve souvent les mêmes systèmes », confie Vincent Dely, VP Worldwide Sales Engineering de Nozomi Networks. Et dans le contexte des JO, « nous n’avons pas eu de système de contrôle de processus qui n’était pas déjà connu de notre solution ».
Pour le fournisseur de sonde, une particularité du projet était l’impossibilité d’intervenir sur les équipements une fois ceux-ci mis en place : « dans le cas particulier des JO, les sondes étaient physiquement inaccessibles. L’intégralité de la gestion des incidents, mais aussi de la supervision de l’infrastructure des sondes déployées sur le terrain a été réalisée à distance par Advens. C’était sans doute le contexte le plus restrictif auquel nous avons été confrontés jusqu’à aujourd’hui ».
« L’intégralité de la gestion des incidents, mais aussi de la supervision des sondes déployées a été réalisée à distance. C’est le contexte le plus restrictif auquel nous avons été confrontés à ce jour. »
Vincent DelyVP Worldwide Sales Engineering, Nozomi Networks
L’ESN a déployé les sondes et l’EDR dans les installations, puis son équipe RedTeam a simulé des attaques sur les installations. Elles ont notamment cherché à pirater les 4 grands écrans qui affichent les scores au centre d’une grande enceinte sportive. Leur défi consistait d’afficher le logo Advens sur ces écrans et voir s’il était possible pour un attaquant de le faire… « Nous avons pu commencer à remonter des alertes vers nos SOC », raconte Benjamin Leroux : « un jour, en pleine préparation des jeux, tout s’est mis à clignoter ! Nous nous sommes rendu compte qu’un autre prestataire était en train de procéder à un audit de sécurité de son côté. Notre client ne nous avait pas prévenus et cela a immédiatement déclenché l’alerte de notre côté. La bonne nouvelle est que la détection a bien fonctionné… »
Autre sueur froide avant les JO, une vidéo soi-disant diffusée par le groupe « People's Cyber Army of Russia » montrait les pirates s’entraîner à attaquer un système de traitement des eaux en prévision des JO… Cette vidéo plutôt inquiétante s’est peu après avérée être un fake, mais l’alerte a été prise très au sérieux : « nos outils fonctionnaient encore en mode apprentissage, mais dès la fin juin, nous avons décidé d’accélérer la mise en mode blocage afin de contrer d’éventuelles attaques susceptibles de survenir avant la cérémonie d’ouverture », explique le responsable d’Advens.
Les SOC OT d’Advens n’ont pas été connectés directement au SOC mis en place par Eviden pour le COJOP. L’Anssi a joué un rôle de chef d’orchestre avec les autres entités impliquées, notamment sur la détection d’incidents et d’attaques sur certains périmètres, les experts de l’agence prenant la main lorsque des attaques étaient effectivement détectées.
Et Benjamin Leroux de préciser : « si la solution mise en œuvre n’alimentait pas directement le SOC des JO, un partage d’information constant entre les équipes permettait de faire circuler les informations relatives aux attaques repérées par les uns ou les autres ».
Bilan des JO : tout est question de décompte
Tout le dispositif mis en place en complément du SOC de Paris 2024 va s’avérer pertinent. Même si l’Anssi refuse encore aujourd’hui que la nature des attaques et leurs cibles soient révélées, Benjamin Leroux résume ce qui s’est passé pendant les jeux de manière assez lapidaire : « nous avons vu des choses, nous avons bloqué des attaques ».
Le décompte post-JO publié par l’Anssi a décontenancé beaucoup de professionnels. Alors que l’on s’attendait à des centaines de millions d’attaques voire des milliards, comme ce fut le cas lors des éditions précédentes, l’Anssi a communiqué sur 548 attaques et 83 incidents.
Pour Benjamin Leroux, tout est dans la façon de compter : beaucoup d’incidents de sécurité habituellement comptés sont en fait inoffensifs et sans conséquence. En outre, une seule attaque peut engendrer un grand nombre d’événements de sécurité : « de notre côté, nous avons compté des centaines de milliers d’événements de sécurité », explique Benjamin Leroux.
Et « grâce aux équipements de Nozomi Networks notamment, nous avons décompté un demi-million d’événements de sécurité, et bloqué 3 attaques lors de l’événement. Il s’agissait d’incidents qui auraient pu engendrer des conséquences très embêtantes et impacter le bon déroulement des JO », explique-t-il.
Selon Advens, ces trois attaques auraient pu affecter le bon déroulement des jeux, mais le point important est qu’elles ciblaient les systèmes industriels : « souvent, ce sont des attaques IT qui atteignent un système industriel de façon opportuniste », explique Benjamin Leroux. Mais là, « les attaquants ciblaient un protocole industriel et connaissaient véritablement le système visé. Nous l’avons observé pour les JO, mais la leçon est aussi valable pour les industriels : les attaquants savent attaquer des infrastructures OT, maîtrisent ces protocoles très particuliers et cela pourrait faire très mal à des systèmes industriels physiques ».
Cette fragilité des systèmes OT et cette capacité des attaquants à les cibler n’avaient pas échappé aux fins limiers de l’Anssi qui ont su anticiper ce risque à bon escient.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
