«Des cybermenaces il va y en avoir, des cyberattaques, il va y en avoir aussi, c’est évident », pose immédiatement Baptiste Robert, fondateur de Predicta Lab et hacker éthique. Au point d’empêcher certaines épreuves, de court-circuiter le bon fonctionnement des réseaux de transports ou de bousculer la cérémonie d’ouverture des JO l'été prochain ? « Aujourd’hui, la totale organisation repose sur la technologie, expose Franz Regul, responsable de la sécurité des systèmes d’information (RSSI) au comité d’organisation Paris-2024. Et partout où il y a de la technologie se posent des questions et des préoccupations de cybersécurité ».

Alors qu’en 2021, lors de la précédente édition à Tokyo, les regards n’étaient pas tournés vers les Jeux olympiques mais bien plus vers la crise sanitaire du Covid-19, qui monopolisait l’attention de la planète, 450 millions de cyberattaques avaient tout de même été recensées. Impossible d’estimer aujourd’hui combien il y en aura à Paris cet été – les experts, notamment ceux du COMCyberGEND, penchent pour huit à dix fois plus, soit plus de quatre milliards –, mais une certitude demeure : il y aura un combat féroce sur le front cyber.

Les Jeux, une cible de tout premier choix pour les cybercriminels

« Les Jeux de 2024 vont attirer le regard du monde entier sur la France et pas que des touristes sympas », raille le big boss de la cybersécurité pour les Jeux. Il dénombre trois grandes familles de risques sur lesquelles une équipe d’une grosse centaine de personnes travaille : mise en danger des personnes, sabotage des opérations, atteinte à l’image et aux revenus.

« On sait aujourd’hui, grâce aux forums sur le Dark et le Deep Web, que nombre de groupes de hackers ont placé les JO comme "top priorité", dévoile Mohammed Boumediane, président du groupe Ziwit, leader européen de la cybersécurité, créé en 2010. Pour ce genre de groupes criminels, porter atteinte aux JO, c’est le jackpot ». »

Et pour contrer cette cybermenace protéiforme, le comité d’organisation a une stratégie en trois points : l’anticipation, grâce à sa collaboration avec Talos, une entité de Cisco spécialisée dans l’intelligence et le renseignement sur la menace en temps réel. Puis la coopération : « nous avons d’ores et déjà des contacts avec les équipes de Milan (2026) et Los Angeles (2028) pour les aider à profiter de l’expérience qu’on a accumulée. Et on active un certain nombre de communautés dans le domaine de la cybersécurité pour promouvoir ce domaine d’activité et envoyer un certain nombre de messages clés avant les Jeux. Le premier : préparez-vous ! Car le risque zéro n’existe pas », détaille Franz Regul. Le dernier est l’expertise, notamment avec les partenaires Eviden pour les services et Cisco pour les technologies. « C’est une vraie course de fond. On y travaille depuis quatre ans, on commence à apercevoir la ligne d’arrivée, métaphorise-t-il. Mais on ne relâchera la pression qu’à la fin de la cérémonie de clôture des Jeux paralympiques et pas avant. On a un bon sprint final qui nous attend ».

Ne pas reproduire Pyeongchang

Car on l’a bien compris : il n’est plus question de savoir si les Jeux seront cyberattaqués mais bien quand et comment, et si les solutions imaginées sont fiables. « Depuis Tokyo, il n’y a pas eu de rupture technologique dans le monde de la cybercriminalité », précise encore le DSSI de Paris-2024. Sans manquer de rappeler que les cyberattaques ont commencé en 2010 à Vancouver, et qu’en 2012, l’agence britannique de cybersécurité a détecté des missions de reconnaissance sur l'alimentation électrique du stade olympique quelques heures avant le début des Jeux, « ça n’a pas abouti mais ça a mis pas mal de pression sur le comité d’organisation ». Tu m’étonnes John ! En 2014, Sotchi et sa situation géopolitique sensible ont passé un nouveau cap avec « de nombreuses institutions et organisations russes, sans lien évident avec les jeux, prises pour cible ».

Et puis il y a eu les Jeux d’hiver de Pyeongchang en Corée du Sud. La cérémonie d’ouverture a bien failli ne pas avoir lieu. En cause : le malware Olympic Destroyer, qui a rendu le wifi inutilisable et empêcher les gens de présenter leur billet. « C’est un accroc incontournable dans l’histoire des Jeux, se remémore Franz Regul. On a beaucoup travaillé avec le CIO et les vétérans de 2018 pour comprendre ce qu’il s’était passé et intégrer les leçons apprises dans notre stratégie ».

La cybercriminalité, un milieu opportuniste

En 2021 à Tokyo, l’attention des hackers s’est peut-être moins portée vers les JO à cause de la crise du Covid-19, le Japon étant coupé du monde par le confinement et les enceintes sportives vides de spectateurs. « La plupart du temps, les cybercriminels sont intéressés par l’argent. Ils attaquent bien plus pour faire du business que parce qu’ils ont des revendications contre les Jeux en eux-mêmes », précise Baptiste Robert, qui parle d'« un milieu très opportuniste ».

Imaginons que la billetterie des Jeux, qui va brasser 1,3 milliard d’euros, se fasse hacker, ou alors le site de la RATP. « Ce serait un problème très sérieux, comme mettre à mal le système bancaire, expose Mohammed Boumediane, qui entraîne ses clients, notamment plusieurs compagnies aériennes et groupes hôteliers à savoir réagir. On sait qu’en période de JO, c’est critique. On sera sous les feux des projecteurs. On sait qu’il y aura énormément d’attaques contre la France, que toutes les entreprises seront visées qu’elles travaillent ou non pour les Jeux ».

Un risque accru sur la cérémonie d’ouverture

La cérémonie d’ouverture est au centre des préoccupations, également en matière cyber. « C’est le moment où toute la terre littéralement va regarder Paris, considère Baptiste Robert. Donc si vous êtes un groupe, une association, une entité étatique ou autre et que vous voulez faire passer un message, c’est à ce moment-là qu’il faut appuyer sur le bouton ».

Et le piratage d’un site de compétition ? « Il y a un vrai décalage entre ce qu’on imagine et la réalité, prévient le hacker éthique. Pirater les chronomètres ou les capteurs d’une piste d’athlétisme, c’est possible mais comme tout est connecté, il faut parvenir à interférer avec le système existant. Et ensuite, est-ce que ça suffirait à annuler une épreuve ? Pas sûr. Alors que créer une panique dans une foule en introduisant des drones dans une enceinte par exemple ou en faisant évacuer la station du Stade de France pour une alerte à la bombe peut y mener ».

Les sous-traitants, la vraie faiblesse du système de cyberdéfense de Paris-2024 ?

Une autre complexité vient de la multitude des entreprises concernées et impliquées. « Plus on descend dans la sous-traitance, plus c’est faible en cybersécurité. On a déjà détecté pas mal de fuites de documents critiques, avance Mohammed Boumediane. Depuis les attaques du Bataclan, on sait par exemple qu’un plan de salle ne doit pas fuiter, parce qu’on a alors un haut niveau de criticité de la donnée. » Ce que concède aisément Franz Regul. « C’est un sujet sur lequel de nombreuses entreprises plus matures s’arrachent les cheveux. On a essayé de s’inspirer de ce qui se fait de mieux, de cartographier ces fournisseurs et de systématiquement leur imposer des exigences contractuelles. Le sujet est dans notre radar. »

Même pour le Super Bowl, évènement annuel planétaire, regardé cette année par 123 millions de personnes, les risques existent alors qu'« ils ont des équipes qui fonctionnent depuis très longtemps », inventorie Baptiste Robert. « Niveau cybersécurité, le Super Bowl c’est comparable à une cérémonie d’ouverture des JO. Même si c’est dans un stade ».

La différence ? Pour les JO, l’équipe et l’organisation de cyberdéfense sont éphémères. « Ce sont des nouvelles personnes, de nouvelles organisations, des nouvelles infrastructures, de nouveaux process, et c’est ça qui rend vulnérable. L’expérience est essentielle en cybersécurité ». La solution serait-elle alors pour le CIO de mettre en place une équipe de cyberdéfense fixe qui chapeauterait toutes les éditions des Jeux ? La façon dont Paris saura naviguer entre les dangers cybers pourrait en décider.