L’analyse du risque cyber au cœur des grands évènements sportifs internationaux

En cette rentrée de septembre, un colloque autour de l’enjeu de la confiance numérique et de la cybersécurité au cœur de la Coupe du Monde de Rugby 2023 et des Jeux Olympiques et Paralympiques s’est tenue à Paris, organisé par la Coordination nationale pour la Sécurité des grands évènements sportifs internationaux du Ministère de l’Intérieur. Plusieurs éléments en ressortent, dont celui de l’impérieuse nécessité du recours à l’analyse de risques cyber automatisée.

Une menace protéiforme

Les grands évènements sportifs, dont la Coupe du Monde de Rugby 2023 ou les Jeux Olympiques de 2024 qui se dérouleront en France, font incontestablement l’objet de toutes les convoitises en matière de cyberattaques. Quelles que soient les motivations et le profil des cyberattaquants, criminels, activistes ou terroristes, l’ensemble des technologies numériques, objets connectés, systèmes industriels… présente une surface de vulnérabilité croissante, favorisée par une hyper-connexion. Les infrastructures, les stades notamment, de plus en plus automatisées, sont connectées et gérées par des systèmes informatiques complexes. Ascenseurs, climatisation, systèmes de sécurité physique, systèmes de vidéo et audio diffusion, systèmes d’aide à l’arbitrage, Wifi public… sont autant de systèmes sujets à des failles de sécurité pouvant conduire à des cyberattaques. Les cybercriminels n’oublieront pas non plus de viser l’ensemble des flux financiers liés au business du sport, et les hacktivistes de pousser leurs revendications haut et fort, avec l’opportunité de toucher une audience interplanétaire compte tenu de la médiatisation extraordinaire des Jeux Olympiques ou de la coupe du monde de Rugby. Par ailleurs, une nation ou une équipe nationale malintentionnée pourrait être tentée de déstabiliser son adversaire au travers de campagnes massives visant les sportifs ou les équipes ou encore voler de données sur leurs stratégies de jeu. Une attaque pourrait aussi conduire directement à la falsification de performances ou de résultats à la suite d’une épreuve. Dans ce contexte de menaces avérées et bien d’autres qui resteront à détecter, à définir et donc à anticiper d’ici à 4 ans, il est nécessaire de développer dès aujourd’hui des solutions intégrant la sécurité by design tout en répondant aux critères européens de protection des données personnelles.

Vers un pilotage et une analyse des risques dynamiques

Il appartient donc à la France, pays hôte pour 2023 et 2024, de bien se préparer au risque cyber en amont des compétitions. Et cela passera inévitablement par un pilotage et une analyse des risques dynamiques. « Cet élément a été mis en avant par l’ensemble des acteurs représentant l’Etat ou les organisateurs d’événements lors des échanges du 3 septembre. La prise de conscience est effective et c’est évidemment une très bonne nouvelle. Mais il nous faut à présent passer aux actes et l’analyse des risques cyber doit être mise en place dès à présent, si nous voulons être prêts pour les échéances annoncées… » témoigne Jean Larroumets, PDG et co-fondateur d’EGERIE et d’ajouter « L’analyse des risques préconisée par l’ensemble des intervenants doit s’effectuer à plusieurs niveaux. D’abord au niveau macro et stratégique, puis opérationnel et détaillé. Cela permettra d’établir une cartographie précise des différents risques, des motivations des attaquants et des impacts des menaces potentielles sur les évènements. Cette cartographie permettra aussi d’identifier les différentes parties prenantes pour permettre une déclinaison et un accompagnement de chacune d’elles dans la prise en compte de ces risques et des stratégies et solutions à déployer pour les contrer. » Agir maintenant implique de s’appuyer sur des outils existants et éprouvés qui auront vocation à évoluer avec le temps. « Les outils existent. Ceux actuellement déployés permettent de visualiser et maîtriser son niveau d’exposition par le biais de cartographies des risques, d’indicateurs d’impacts et d’outils de threat intelligence. Ils ont bien entendu vocation à évoluer et à s’enrichir continuellement pour faire face aux enjeux de demain. C’est le propre des investissements et de l’agilité portés par les PME. » ajoute Jean Larroumets.

Pour des décisions éclairées

Pour accompagner les organisations face au risque cyber, l’ANSSI a notamment lancé une nouvelle méthode d’analyse de risque intitulée EBIOS Risk Manager : une solution innovante, collaborative et pratique, adaptée aux nouveaux enjeux de sécurité numérique. Cette méthode positionne la sécurité numérique au niveau des enjeux stratégiques et opérationnels des organisations et s’inscrit dans une démarche d’anticipation collective dont l’objectif est d’élever le niveau de cybersécurité des organisations, en France et en Europe. Cette méthode doit être outillée efficacement par des solutions dites de confiance. EGERIE est aujourd’hui l’une des premières entreprises à disposer du label EBIOS RISK MANAGER délivré par l’ANSSI. En effet, au-delà des technologies, ce sont des processus permettant une rationalisation de l’exposition aux risques cyber et une prise de décision éclairée des décideurs qui est importante. « C’est ce que nous avons mis en place au sein d’EGERIE. La qualité des analyses de risques et le gain de temps considérable lié à l’automatisation du processus permettent de mettre en place un pilotage éclairé des risques cyber grâce à une approche collaborative et agile qui peut être intégrée au cœur du centre de gouvernance global. Notre investissement en R&D est également très important pour répondre à l’évolution constante de la menace et renforcer les capacités de nos solutions. » et de rappeler « Je le disais précédemment, il est impératif de débuter notre travail collectif aujourd’hui, pour être prêts demain. Nos solutions permettent en effet de construire dans la durée la cartographie sur laquelle adosser une posture de cybersécurité efficace ; mais l’analyse de risques est un processus itératif qui nécessite donc plusieurs itérations pour diposer d’une cartographie précise. Et pour y parvenir, c’est tout un chemin qu’il nous faut parcourir… Donc, plus tôt nous commencerons, plus efficaces nous serons. »

L’héritage des Jeux

Cette coopération et co-construction de tous les acteurs se pensent donc aujourd’hui pour demain, car, au-delà de l’échéance 2023-2024, les déploiements validés pour ces grands évènements sportifs devront pouvoir être conservés, maximisés et précisés. « L’investissement consenti au départ doit s’inscrire dans une démarche de moyen – long terme et concourir à l’héritage des jeux. » souligne Jean Larroumets et de conclure « Il s’agit également d’une formidable vitrine pour le savoir-faire français qui devrait participer à la consolidation de la filière cybersécurité, au développement à l’export de celle-ci et donc à la création de nouveaux emplois pour nos entreprises tricolores. »

Articles similaires

Tous les articles