Que nous ont appris les JOP en matière de cybersécurité événementielle ?
Par Bertrand DUMAS-PILHOU | Le | Technique & scénographie
Eviden, ESN partenaire du COJOP, a travaillé tout au long des Jeux Olympiques et Paralympiques pour renforcer la cybersécurité de l’événement, un défi de taille où l’anticipation était essentielle. Benoît Delpierre, directeur de projet pour Paris 2024 chez Eviden, nous livre les enseignements tirés de cette mission exceptionnelle.
Après l’ANSSI, c’est au tour d’Eviden de tirer un bilan des Jeux Olympiques et Paralympiques de Paris 2024. Partenaire historique des Jeux Olympiques depuis plus de trente ans, l’ESN s’est évidemment réjouie que tout s’est bien passé. Son périmètre était bien plus restreint que celui de l’ANSSI puisqu’il ne s’agissait « que » des sites olympiques/paralympiques (y compris la gestion des accès, les systèmes d’arbitrage…), des athlètes et de leurs délégations, des retransmissions (télévisées et en ligne), de la billetterie… mais pas toutes les entreprises et organisations impliquées plus ou moins directement dans les Jeux ou la sécurité publique.
« Il y a cent ans, la seule préoccupation des organisateurs résidait dans les stades et les spectateurs sur place » a relevé Benoît Delpierre, directeur en charge du projet Paris 2024 chez Eviden. Evidemment, la situation a quelque peu changé. Pour Benoît Delpierre, « la cybersécurité est devenu un enjeu majeur depuis les Jeux de Tokyo ». Prévus en 2020, ils ont été reportés en 2021 à cause de la crise sanitaire Covid-19. La cybersécurité concerne bien sûr l’organisation des épreuves elles-mêmes mais aussi la gestion des accès, les services fournis aux athlètes et aux délégations, la retransmission auprès de milliards de téléspectateurs…
Une organisation colossale
Les Jeux « Paris 2024 » ont eu lieu en fait dans la totalité du territoire français, y compris Tahiti pour le surf, avec douze heures de décalage horaire. « La première clé du succès a été l’anticipation » a noté Benoît Delpierre. Très en amont, dès la désignation de Paris pour l’organisation, il a donc fallu planifié les opérations. Ensuite est venue une phase d’architecture et de design. Classiquement, celle-ci a été suivie par un déploiement. Enfin, l’ESN a assuré l’entrée en opérations des dispositifs avec les tests, les améliorations continues, etc.
Au début de l’aventure, les équipes ne comprenaient que quelques centaines de collaborateurs. Au moment des épreuves, l’effectif est monté à plusieurs milliers. Tout a reposé sur l’analyse de risque et la bonne manière de le couvrir, premier critère pour choisir et déployer une solution. Si de nombreux commentaires ont concerné la variété des types d’attaquants possibles dans un contexte géopolitique particulièrement tendu, ce sujet ne préoccupait pas tellement Eviden. « La typologie des attaquants était moins importante que les types d’attaques car on peut oublier un type d’attaquant qui va se rappeler à votre bon souvenir » a observé Benoît Delpierre.
Des outils nécessaires mais pas suffisants
Si le périmètre géré par Eviden était limité par son mandat auprès du COJOP, l’ESN devait cependant se coordonner avec les autres acteurs. En effet, une menace potentielle contre un lieu d’épreuve pouvait avoir été observé par, par exemple, un opérateur de transport, un sponsor ou un prestataire de restauration. Eviden a donc mis en place une plate-forme unique de supervision connectée à tous les acteurs ayant un rôle significatif permettant de partager des informations, notamment des indicateurs de compromission. Le partage était dans les deux sens : si une menace était détectée par un tiers, Eviden devait en tenir compte et inversement.