« J.O. 2024 : comment l’équipe de France se prépare aux enjeux de cybersécurité ? » était le thème d'une soirée organisée hier à Paris, en marge des Assises qui se tiendront à Monaco le mois prochain. Le choix du géant chinois pour gérer les infrastructures « cloud » soulève déjà des questions au ministère de l'Intérieur comme à l'ANSSI.
À chaque Jeux, « le contexte change, les menaces évoluent ». Ziad Khoury le préfet coordinateur national pour la sécurité des jeux a souligné hier combien était nécessaire l’adoption d’une « stratégie globale en matière de cybersécurité » dans la perspective 2024. À cette fin, un plan national sera présenté dans les mois à venir où interviendront notamment ministère de l’Intérieur comme ANSSI.
Pour Thomas Collomb, directeur délégué sécurité au Comité d’organisation des J.O. (ou COJO), le rendez-vous de 2024 n’est pas neutre avec une surface de cyberattaques qui s’étendra des phases préparatoires au démontage. « On est donc très loin des autres évènements en termes de dimensionnement ».
Un dimensionnement temporel et géographique pluriel avec des compétitions organisées en plusieurs lieux, imposant de ne « pas travailler en silo ». D’où aussi l’arrivée prochaine de multiples partenariats public-privé.
Pour aiguiser les connaissances, un programme d’observation a été mis en place durant les derniers Jeux où ont été invités les partenaires notamment étatiques. Atos, « top sponsor » des Jeux, aura là encore la responsabilité de l’intégration de l’ensemble des systèmes d’information. Daniel Le Coguic, Senior Vice President, secteur Public et Défense et responsable du Programme « Sécurité des grands évènements et des Jeux Olympiques et Paralympiques 2024 », n’a donné aucun détail, enserré dans une clause de confidentialité.
Néanmoins, admet-il, « du fait de la pandémie, le barycentre du risque a basculé majoritairement sur les problématiques de cybersécurité ». Naturellement, des Jeux sans spectateur furent aussi des Jeux sans billetterie et donc sans système informatique dédié.
Les J.O. du Japon ont donc été « puissamment numériques ». Et pour ce rendez-vous comme celui de 2024, « nous avons une pression énorme du CIO », avec deux objectifs : assurer l’opérationnel, mais aussi « produire des informations pour les télévisions » afin que les bons contenus soient fournis au bon moment.
Avec l’augmentation significative des objets connectés, des moyens de transport, du Edge Computing, Atos s’attend elle aussi à une « accumulation des possibilités de cyberattaques ».
À Tokyo, 815 évènements de sécurité… par seconde
En premier RETEX (retour d’expérience), les chiffres sont vertigineux. Les J.O. de Tokyo, ce sont quatre milliards de téléspectateurs, 878 évènements. Et « 815 évènements de sécurité… par seconde », Soit, « en cumulé, à peu près 4,4 milliards d’événements de sécurités sur les Jeux », dixit Daniel Le Coguic.
En comparaison, à Rio en 2016, le chiffre total était de 510 millions d’évènements de sécurité. Conclusion confirmée : « une croissance extrêmement importante des évènements de compromission », avec dans le même temps une complexité beaucoup plus accrue, dépassant les simples attaques par déni de service.
À l’ANSSI, un état de la menace a déjà été dressé fin 2020. Selon Bernard Le Gorgeu, coordinateur sectoriel grands évènements sportifs au sein de l’Agence, il sera mis à jour avec le retour d’expérience plus précis des Jeux de Tokyo. Les conclusions seront diffusées aux partenaires étatiques et privés dont Atos.
En attendant, « il faudrait avoir une boule de cristal pour savoir ce que sera la menace en 2024 ». Et pour cause, non seulement trois sources de menaces sont cartographiées, les menaces étatiques, cybercriminelles et celles « politiquement » motivées où sont rangés le cyberterrorisme et l’hacktivisme, mais cette menace sera surtout dépendante du contexte géopolitique à l’instant « t ».
Le Cloud du spectacle
Sur la question du cloud, « c’est un point clef qui n’est pas encore totalement traité » concède le responsable d’Atos.
Pour les J.O. d’hiver de Pékin en février 2022, en tout cas, « la décision du CIO a été prise. On a porté toutes nos applications critiques des Jeux sur Alibaba ». Un choix chinois qui tranche avec Tokyo où ces solutions passaient sur un cloud privé et sécurisé par Atos.
L’emprise d’Alibaba devrait se poursuivre puisqu'« il est prévu de les avoir aussi, pour l’instant, sur Paris 2024 ». En clair, les conditions contractuelles actuelles imposent le basculement de toutes les applications critiques des J.O. organisés en France sur un cloud chinois, Top Sponsor.
Un choix, terreau à questions : « pour 2024, est-ce que la sécurité proposée par Alibaba [sera] compatible avec les recommandations, la volonté du gouvernement français de protéger certaines données, certains processus ? ». Le sujet est poliment jugé « particulier », par Atos.
De fait, indique le site officiel des J.O., le partenariat Alibaba s’étendra même jusqu’en 2028 aussi bien en matière « de commerce électronique, de services en nuage, de billetterie et de plateformes de médias numériques au service du CIO et du Mouvement olympique ».
Sur cette problématique « soulevée assez récemment », le préfet Ziad Khoury, promet « des échanges (...) dans les prochains jours ». Le thème est jugé « assez compliqué, il ne va pas de soi. Il va falloir l’approfondir très rapidement en liaison avec le monde olympique ».
Un cloud chinois, et donc hors UE, va en effet soulever nécessairement des enjeux de protection avec la réglementation européenne. À l’instar des dossiers épinglés par les arrêts Schrems relatif aux flux vers les États-Unis ? Face à ces flammèches, Thomas Collomb, le directeur délégué sécurité au Comité d’organisation des J.O., sort l’extincteur : Alibaba, rappelle-t-il, est donc un partenaire « Top » du CIO.
« Il s’impose au Comité d’organisation des jeux ». Lesquels Jeux « sont en grande partie financés par les partenaires, par le CIO, par les recettes et en infime partie par des dotations étatiques ». Ainsi, admet-il, il « est très compliqué pour un Comité d’organisation d’écarter un partenaire du CIO. En tout cas il ne peut le faire d’initiative, sauf à ce qu’il y ait des pressions étatiques très fortes qui le justifient ».
Pour le fils de l’ancien ministre de l’Intérieur, peu de place au doute : « aujourd’hui, Alibaba s’inscrit dans un cadre légal. Son investissement à nos côtés s’inscrit dans le cadre règlementaire et législatif français. A priori, aujourd’hui les analyses de risques qu’on a pu conduire sur notre coopération avec Alibaba ne relèvent pas d’enjeu particulier qui pourrait compromettre l’organisation des Jeux ».
Ses propos contrastent donc fortement avec ceux du préfet, et malgré cette assurance, l’ANSSI juge tout autant le sujet « important ». Il « est pris au sérieux », au point où il devrait nécessairement débouler sur la piste de la Coordination Nationale pour la Sécurité des Jeux olympiques 2024.
En prévision de ces jeux internationaux, le préfet se dit aussi « attaché à l’idée de souveraineté notamment numérique ». Le ministère de l’Intérieur « est engagé avec toute la filière dans un contrat. Notre volonté est aussi de valoriser le savoir français ». Un centre opérationnel de cybersécurité sera à cette fin mis en place.
De la question des libertés
Les J.O. n’auront pas qu’une composante cybersécurité. Sur le terrain de la sécurité et notamment de la sécurité d’accès, Atos rappelle avoir été « intégrateur pour mettre en place de nouvelles solutions avec NEC et Panasonic ». Atos a par exemple géré à Tokyo le système avancé de contrôle d'accès.
Cependant, si au Japon, « il n’y a pas eu de limites fonctionnelles à l’utilisation de certaines techniques, cela ne sera pas du tout le cas en France » où la question, au hasard, de la reconnaissance faciale devra s’accorder avec les libertés publiques et l’acceptabilité de cette technologie par les citoyens.
En prévision, le tout récent rapport du député LR Jean Michel Mis relatif à l’usage « responsable et acceptable par la société des technologies de sécurité » recommande déjà de « permettre la détection automatisée en direct d’anomalies dans les espaces publics en expérimentant la vision par ordinateur sur des sites sensibles en amont des grands évènements sportifs de 2023 et 2024 ».
Le même élu propose également « l’authentification forte des accès aux sites sensibles des grands évènements sportifs (ex : village olympique, des sites de compétition) sans constitution de base biométrique centralisée » outre d’ « expérimenter l’identification biométrique par reconnaissance faciale en temps réel dans l’espace public à droit constant sur la base du volontariat, comme lors de l’expérimentation menée à Nice en 2019 ».
Autre piste : il souhaite que soit ouvert le débat « sur l’expérimentation de l’identification biométrique par reconnaissance faciale en temps réel dans l’espace public ». Bref, il va y avoir du sport…
