Les performances des hackers s’améliorent édition après édition. Pour les Jeux olympiques de Paris en 2024, leurs appétits devraient être plus aiguisés encore. Pour tenter de contrer la menace, les organisateurs s’allouent les services de poids lourds de la cybersécurité, dont le chinois Alibaba, au risque de susciter la controverse. Explications.

Aux JO de Tokyo, 815 événements de sécurité par… seconde !

Les chiffres ont de quoi donner des sueurs froides aux acteurs chargés du volet cybersécurité des JO de Paris 2024. L’ampleur des attaques menées contre les systèmes lors des derniers JO de Tokyo 2020 a été dévoilée par Daniel Le Coguic, vice-président senior pour le secteur public et la défense d’Atos, responsable du programme structurant « Sécurité des grands événements et des Jeux olympiques et paralympiques 2024 ». 815 événements de sécurité par seconde ont ainsi été détectés, soit 4,4 milliards durant la période des Jeux… À titre de comparaison, les JO de Rio 2016 n’avaient enregistré « que » 510 millions d’événements de sécurité.

Des menaces polymorphes et une part d’inconnu

Sur le terrain cyber, la bataille sera rude, menée dans des proportions exponentielles et des modes opératoires inédits.

Carrefour de Shibuya à Tokyo
À Tokyo, des milliards d’événements de sécurité enregistrés lors des Jeux Olympiques

Ziad Khoury, préfet coordonnateur national pour la sécurité des JOP Paris 2024 au ministère de l’Intérieur a estimé, en septembre 2021, lors d’une réunion du Cercle de la cybersécurité, « qu’il faut prendre en compte les 50 % de menaces supplémentaires qui ne manqueront pas de survenir et que l’on ne connaît pas encore ». Autrement dit, il faut se tenir prêt à contrer des risques toujours plus importants et inconnus à ce jour…

De son côté, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) dresse un panorama d’une menace aux multiples visages : étatique, cybercriminelle, cyberterroriste ou activiste. Mais pour Bertrand Le Gorgeu, coordinateur sectoriel pour les grands événements sportifs à l’ANSSI, « c’est la menace étatique qui est de loin la plus dangereuse ». Ambiance… De plus, de l’avis de Ziad Khoury, la France serait l’un des pays les plus menacés au monde sur le volet technologique.

Des organisateurs lucides pour une stratégie globale

Sans jouer les Cassandre, les organisateurs et organisatrices semblent se montrer lucides sur l’ampleur du risque cyber. « On ne doute pas qu’on sera attaqués, en permanence », a estimé Tony Estanguet, président du Comité d’organisation des JO 2024 dans une interview au Figaro.

On ne doute pas qu’on sera attaqués, en permanence

Tony Estanguet, président du Comité d’organisation des JO 2024 

En guise de préparation, la cellule sécurité du Comité d’organisation de Paris 2024 s’est rendue au Japon, sur les sites des épreuves des derniers jeux. Et des simulations de cyberattaques seront régulièrement organisées. Concernant le budget cyber des JO français, il s’élève à 17 millions d’euros, révisé à la hausse en décembre 2020. 

Enfin, le préfet Ziad Khoury vise à définir « une stratégie globale, pas en silos, un plan national de cybersécurité ». En somme, constituer une équipe de France de la cybersécurité. 

Des poids lourds de la cybersécurité dans la boucle…

La nouvelle a été officialisée en avril 2021. L’entreprise française Atos devient « le supporteur officiel en services et opérations de cybersécurité des Jeux olympiques et paralympiques de Paris 2024 ». Dans les faits, cela se concrétise par une myriade d’équipements et de services dont l’entreprise a la charge, tels que : 

  • Centre opérationnel de sécurité (SOC) 
  • Orchestration, automatisation et réponse aux incidents de sécurité informatique (SOAR) 
  • Gestion de l’information et des événements de sécurité (SIEM)
  • Centre d’alerte et de réaction aux attaques informatiques et de détection des menaces (CERT/CSIRT)
  • Protection avancée contre la fuite de données sensibles (DLP)
  • Prévention de la fraude en ligne, y compris l’analyse comportementale basée sur l’intelligence artificielle
  • Gestion des accès privilégiés (PAM)

Autre acteur à pénétrer sur le terrain parisien : l’américain Cisco, spécialiste lui aussi en cybersécurité. L’entreprise s’occupera plus particulièrement du déploiement des équipements réseaux, des infrastructures de cybersécurité et des logiciels de visioconférence. Pour Tony Estanguet, « le partenariat sécurise le dispositif en interne pour les collaborateurs, mais aussi ensuite pour les millions de spectateurs »

Le volet connectivité des sites et des événements est, quant à lui, dévolu aux Français d’Orange.

… et un partenaire chinois qui fait débat

Un autre partenaire ne passe pas inaperçu : le géant du commerce en ligne chinois Alibaba. Sponsor officiel du CIO (comité international olympique) jusqu’en 2028, il devrait délivrer ses solutions de cloud lors des JO de Paris. 

Dès les JO d’hiver de Pékin 2022, toutes les informations liées à l’événement, des performances aux numéros de téléphone des accrédités, en passant par des données qualifiées de « critiques » transiteront par le cloud Alibaba. Il devrait en être de même pour Paris 2024. Parmi les données versées dans le cloud figureraient également les coordonnées des services de sécurité.

L’entrée en lice d’Alibaba pose la question de la protection des données personnelles en vertu du RGPD qui ne s’applique qu’à l’Europe. Mais aussi la question de la souveraineté numérique des États, enjeu stratégique majeur dans un contexte géopolitique mouvant. En particulier avec la Chine. « C’est un sujet compliqué », euphémise le préfet Ziad Khoury. Pourtant, Thomas Collomb, directeur délégué sécurité du comité d’organisation des Jeux de Paris 2024, assure que « les analyses de risque conduites sur la coopération avec Alibaba ne relèvent pas d’enjeux particuliers qui pourraient compromettre l’organisation ». Pour sa part, Tony Estanguet a rappelé dans un entretien au Monde en septembre 2021 que « ce sont bien les principes du règlement général pour la protection des données qui s’appliqueront à toutes les données gérées par Paris 2024 ».

Le « peut mieux faire » de la Cour des comptes 

Reste que la Cour des comptes ne cache pas ses craintes. En avril 2021, chargée d’étudier la gestion de l’organisation de Paris 2024, elle note comme point positif l’augmentation des investissements en matière de sécurité. La Cour des comptes s’inquiète cependant des contours du système informatique déployé dans le cadre des JO français. Celui-ci resterait « à parfaire » et « à sécuriser » face aux risques de cybercriminalité. Les sages de la rue Cambon auraient des doutes sur la confidentialité des données qui devraient être confiées à des prestataires, notamment au groupe chinois Alibaba.

En réponse, les organisateurs assurent qu’un ensemble de mesures protectrices ont été prises : les serveurs ne sont pas en Chine mais en Europe, et le comité d’organisation est le seul à posséder les clés du cryptage de ses données. 

Lire aussi

Et si écouter la ville permettait
d’améliorer les systèmes
de vidéosurveillance ?

Image de la ville avec la foule qui traverse.
Technologie & Systèmes
16 novembre 2021

À la recherche de nouvelles technologies, les villes font désormais appel à des start-up et à leurs dispositifs innovants en termes de sécurité et de sûreté, afin de maîtriser les menaces et de prévenir certains risques. De Cleveland aux États-Unis, à Orléans et la région Sud en France, les communes…

« La nouvelle norme internationale de vidéosurveillance
pourrait être testée lors des JO de Paris 2024 »

Equipe de rameurs JO vue de haut
Technologie & Systèmes
7 octobre 2021

Et si les logiciels de vidéosurveillance pouvaient demain davantage communiquer avec ceux des services de sécurité pour améliorer la rapidité et l’efficacité opérationnelles ? Un groupe d’experts planche actuellement à la mise au point d’une norme internationale qui renforcerait l’interopérabilité des systèmes. Le Français Jean-François Sulzer, consultant spécialiste en conseil…

Pourquoi les hôpitaux sont-ils
malades de leur cybersécurité ?

Equipe de scientifiques hôpital
Technologie & Systèmes
5 octobre 2021

La crise sanitaire a aussi mis sous tension les établissements de santé sur le volet sécurité informatique. Les cyberattaques y sont devenues légion, au point que le gouvernement préconise un traitement de choc. Explications. Depuis 2020, la longue litanie des attaques visant des hôpitaux La liste des victimes est longue,…