JOP Paris 2024 : les leçons à tirer en cybersécurité

Après l’ANSSI, c’est au tour d’Eviden de tirer un bilan des Jeux Olympiques et Paralympiques de Paris 2024. Partenaire historique des Jeux Olympiques depuis plus de trente ans, l’ESN s’est évidemment réjouie que tout s’est bien passé. Son périmètre était bien plus restreint que celui de l’ANSSI puisqu’il ne s’agissait « que » des sites olympiques/paralympiques (y compris la gestion des accès, les systèmes d’arbitrage…), des athlètes et de leurs délégations, des retransmissions (télévisées et en ligne), de la billetterie… mais pas toutes les entreprises et organisations impliquées plus ou moins directement dans les Jeux ou la sécurité publique.

« Il y a cent ans, la seule préoccupation des organisateurs résidait dans les stades et les spectateurs sur place » a relevé Benoît Delpierre, directeur en charge du projet Paris 2024 chez Eviden. Evidemment, la situation a quelque peu changé. Pour Benoît Delpierre, « la cybersécurité est devenu un enjeu majeur depuis les Jeux de Tokyo ». Prévus en 2020, ils ont été reportés en 2021 à cause de la crise sanitaire Covid-19. La cybersécurité concerne bien sûr l’organisation des épreuves elles-mêmes mais aussi la gestion des accès, les services fournis aux athlètes et aux délégations, la retransmission auprès de milliards de téléspectateurs…

Une organisation colossale

Les Jeux « Paris 2024 » ont eu lieu en fait dans la totalité du territoire français, y compris Tahiti pour le surf, avec douze heures de décalage horaire. « La première clé du succès a été l’anticipation » a noté Benoît Delpierre. Très en amont, dès la désignation de Paris pour l’organisation, il a donc fallu planifié les opérations. Ensuite est venue une phase d’architecture et de design. Classiquement, celle-ci a été suivie par un déploiement. Enfin, l’ESN a assuré l’entrée en opérations des dispositifs avec les tests, les améliorations continues, etc.

Au début de l’aventure, les équipes ne comprenaient que quelques centaines de collaborateurs. Au moment des épreuves, l’effectif est monté à plusieurs milliers. Tout a reposé sur l’analyse de risque et la bonne manière de le couvrir, premier critère pour choisir et déployer une solution. Si de nombreux commentaires ont concerné la variété des types d’attaquants possibles dans un contexte géopolitique particulièrement tendu, ce sujet ne préoccupait pas tellement Eviden. « La typologie des attaquants était moins importante que les types d’attaques car on peut oublier un type d’attaquant qui va se rappeler à votre bon souvenir » a observé Benoît Delpierre.

Des outils nécessaires mais pas suffisants

Si le périmètre géré par Eviden était limité par son mandat auprès du COJOP, l’ESN devait cependant se coordonner avec les autres acteurs. En effet, une menace potentielle contre un lieu d’épreuve pouvait avoir été observé par, par exemple, un opérateur de transport, un sponsor ou un prestataire de restauration. Eviden a donc mis en place une plate-forme unique de supervision connectée à tous les acteurs ayant un rôle significatif permettant de partager des informations, notamment des indicateurs de compromission. Le partage était dans les deux sens : si une menace était détectée par un tiers, Eviden devait en tenir compte et inversement.

La première clé de succès a donc été l’anticipation avec une gestion allant de l’analyse de risque au déploiement de la solution. Bien évidemment, Eviden a eu recours aux bug-bountys, aux pentests, aux exercices type « red team », aux exercices de crises avec coordination SOC/CSIRT… L’ensemble supposait une gestion 24/7. De ce fait, ce sont en fait trois équipes qui se relayaient. Et, pour coordonner les réactions, il était indispensable de standardiser les réponses à incidents. « Quelque soit l’équipe, la réponse devait être la même » a souligné Benoît Delpierre.

Une aventure humaine

Bien entendu, un tel événement rassemblant des cenaines et ensuite des milliers d’experts est devenu une aventure humaine hors du commun. Les managers ont dû travailler sur les affinités, sur le partage, sur le liant… dans une situation de stress intense et continu. Et l’aventure ne s’est pas limitée aux équipes Eviden. La coordination et la collaboration avec partenaires privés comme publics (notamment l’ANSSI) a été la deuxième clé du succès. Cette collaboration supposait de bien délimiter le « qui fait quoi », où commençait le périmètre de chacun et où il s’achevait.

Malgré les risques et les nombreuses tentatives, zéro incident à impact n’a été à déplorer. Aucune épreuve sportive n’a été perturbée. Par contre, bien sûr, de nombreux tickets d’incidents ont dû être traités. En général, une attaque essaie de se noyer dans la masse des milliards de remontées d’alertes. Sur cette masse, entre 800 et 900 tickets ont été effectivement traités durant la période des JOP. L’absence d’incidents à impact n’a pas empêché certains pirates de prétendre avoir cassé les systèmes du COJOP pour leur propre promotion.

Paris 2024 Legacy

Comme l’expérience est accumulée depuis plus de trente ans, il va de soi que les équipes Eviden vont laisser un héritage d’expérience et de bonnes pratiques pour l’équipe de Los Angeles 2028. Au-delà, les équipes se sont liées en poursuivant un objectif commun. Et les experts qui sont devenus des amis vont maintenant se revoir pour le seul plaisir.

La plate-forme de threat-intelligence collaborative construite à l’occasion des JOP Paris 2024 pourrait, en tant qu’outil, aussi faire partie de l’héritage de Paris 2024. Enfin, les JOP ont été, une nouvelle fois, l’occasion de sensibiliser le grand public aux problématiques de cybersécurité, y compris les fraudes.