L’organisation des Jeux Olympiques et Paralympiques d’été de 2024 a été officiellement attribuée à la ville de Paris le 13 septembre 2017. C’est la troisième fois que la capitale accueillera les Jeux après 1900 et 1924. Pour cette occasion, les chiffres annoncés donnent le vertige : 7 milliards d’euros de budget, 2,05 milliards d’euros de recettes, 10,7 milliards d’euros de retombées économiques, 15 millions de visiteurs, 30 000 bénévoles, 15 000 athlètes, 206 nations, 40 sites olympiques à sécuriser[1]…
Cependant, les Jeux olympiques s’avèrent être une véritable opportunité pour les cyberattaquants. De fortes retombées économiques sont espérées, mais encore faut-il ne pas faire fi des menaces de cyber-attaques, qui pourraient entraîner des conséquences dramatiques en matière de sécurité nationale. Le Comité d’organisation des Jeux Olympiques en a pleinement conscience et consacre donc un budget de 17 millions d’euros pour la cybersécurité.
En effet, le nombre de cyberattaques a été multiplié par 8 entre 2021 et 2022. Dès lors, à l’approche des jeux olympiques de Paris de 2024, rendez-vous planétaire, il s’agit d’un sujet qui se situe au centre de nos préoccupations en ce que les Jeux représentent une cible de choix pour les cybercriminels. Selon Monsieur Poupard patron de l’agence nationale de la sécurité des systèmes d’information (ANSSI), « Nous savons déjà qu’il y aura des attaques », il s’agira « d’un moment idéal pour nos adversaires, alors que toutes les caméras du monde seront braquées sur nous ».
Également, Vincent Riou, associé d’Avisa Partners – chargé des activités cybersécurité, a très justement rappelé que « Les Jeux olympiques représentent […] un formidable vecteur d’image pour le pays qui les accueille avec des milliards de téléspectateurs. Mais cela veut aussi dire que le moindre souci est retransmis à l’ensemble de la planète. ».
Les menaces sont polymorphes et, face à l’accroissement de la numérisation, l’augmentation du niveau de cyber-risques est certain. Ainsi, chaque équipement connecté représente une porte d’entrée potentielle pour les cybercriminels, auxquels s’ajoutent la logistique et la chaine de sous-traitance. De même, la sécurisation des 40 sites de compétition entraine ses lots de difficultés, d’autant plus que ces sites se situent en plein cœur des joyeux du patrimoine français.
Les spectateurs et téléspectateurs représentent également des cibles potentielles, de même que les sportifs et les organisateurs eux-mêmes.
Ainsi, les sources de cyber-risques sont nombreuses, et tous, sans exception, sont concernés par les cyber-risques à l’occasion des Jeux.
Différentes catégories de cyberattaquants peuvent alors être recensées. En premier lieu, nous pouvons penser aux groupes affiliés à des Etats, qui ont alors des motivations géopolitiques et un objectif de déstabilisation du pays. Ensuite, nous avons les cybercriminels animés par des motivations financières. Enfin, les cybercriminels ayant des revendications idéologiques et militantes.
Face à ce constat, quelles seraient les solutions ? Comme l’a indiqué Franz Regul, Responsable de la cybersécurité au sein du Comité d’organisation des Jeux Olympiques, « Comme les athlètes qui seront aux Jeux, on se prépare ».
Pour faire face à des cyberattaques toujours plus nombreuses, complexes et innovantes, la coopération internationale, et notamment avec l’OTAN, semble être indispensable. La collaboration européenne est aujourd’hui devenue insuffisante. Il est aujourd’hui nécessaire de changer d’échelle afin de développer nos capacités en la matière.
Dans cette optique, les autorités françaises s’organisent. Ainsi, les pouvoirs publics ont attribué à l’ANSSI le rôle de chef de file, et cette dernière a signé un accord de coopération avec son homologue japonais, le NISC (National center of Incident readiness and Strategy for Cybersecurity).
Par ailleurs, un autre partenariat a été conclu et fait débat, notamment sur le terrain de la protection des données à caractère personnel et de la souveraineté numérique : le géant du commerce en ligne chinois Alibaba est sponsor officiel du comité international Olympique jusqu’en 2028. Ce dernier doit alors délivrer ses solutions de cloud lors des Jeux de Paris.
En interne, l’ANSSI a renforcé sa communication afin de sensibilité le plus grand nombre sur ces sujets. En effet, la préparation à la menace de cyberattaque commence par la formation et la sensibilisation de la population dès lors que la majorité des actes de cybercriminalité sont liés à des erreurs humaines. Ensuite, l’idée est de « construire dès le début des Jeux sûrs », notamment en accompagnant le développement des applications tournant autour de l’évènement sportif, et s’assurer qu’elles sont bien « secured by design ».
Cependant, cette préparation semble encore être insuffisante. La Cour des comptes ne cache d’ailleurs pas ses craintes, et n’a pas manqué de relever que les contours du système informatique déployé dans le cadre des Jeux Olympiques français restent « à parfaire », et « à sécuriser » face aux risques de cybercriminalité.
[1] Source : Paris, Office du Tourisme et des Congrès
Par Antoine Chéron et Yolène Meunier