Jeux olympiques : l’ANSSI n’a pas le droit à l’erreur et « sera prête le moment venu »

Ce matin, l’ANSSI organisait une conférence de presse pour la publication de son panorama des cybermenaces en 2023, nous y reviendrons. Vincent Strubel, directeur général de l’ANSSI, en a profité pour évoquer les Jeux olympiques de Paris qui débuteront dans quelques mois. Il évoque également l’après JO, puisque les pirates ne prennent jamais de vacances.

Vincent Strubel commence par planter le décor avec un vœu (pieux ?) : « Les JO, ça va être un événement majeur sur le plan sportif et sur le plan médiatique, ce serait bien que ce ne soit pas un événement majeur sur le plan des cyberattaques. Ce sera évidemment une cible ».

La France, une cible de choix pendant les JO

L’ANSSI s’attend bien évidemment à des attaques plus intenses que d'habitude et qui prendront certainement un peu toutes les formes : rançongiciels, défacement, chiffrement et/ou fuite de données, attaques (D)DoS, etc. Les pirates ont toute une panoplie d’armes à leur disposition et la cible est trop belle.

Forcément, une action couronnée de succès pendant la cérémonie d'ouverture ou une des phases critiques des Jeux permettra aux pirates d’assurer un coup médiatique. « C'est une possibilité bien réelle pour un État qui voudrait nuire à l'image de la France », ajoute Vincent Strubel.

Cette période va aussi être intense économiquement. La criminalité organisée ne va pas forcément cibler la cérémonie d'ouverture, mais il faut s'attendre à une « focalisation particulière sur la France. On s'y prépare depuis bientôt deux ans, voire plus dans certains cas ». Ce sera aussi à tout un chacun de redoubler de prudence en cette période.

Des audits sur 80 entités critiques, des outils pour 300 autres

Cette sécurisation passe par le renforcement des infrastructures critiques : « on a la chance en France d'avoir été parmi les premiers à réguler/imposer des mesures de sécurité aux opérateurs critiques, les opérateurs d'importance vitale » (OIV).

Pour les Jeux, d’autres acteurs propres aux JO ont été accompagnés par l’ANSSI. Pêle-mêle, le directeur général cite les fédérations sportives, les sites de compétition, les stades, les acteurs de l'événementiel, de la diffusion audiovisuelle. Des entités qui ne sont d’habitude pas spécialement dans le giron de l’ANSSI.

« On les accompagne depuis au moins l'été 2022. Avec un travail particulièrement intense sur les plus critiques d'entre eux : environ 80 entités qui ont bénéficié d'audits soit par l’ANSSI, soit par des prestataires financés par l’ANSSI et d'un accompagnement spécifique suite à ces audits pour augmenter leur niveau de sécurité ».

Un second cercle plus large avec 300 « acteurs propres aux Jeux ». Ils sont également « accompagnés » par l’Agence. Cette fois-ci, pas d’audit, mais des « outils automatiques » mis à disposition afin de « prendre la température de la sécurité d'un système d'information, de regarder comment il est exposé sur Internet et ses vulnérabilités potentielles ».

« On n'aura pas le droit à l'erreur »

L’État aussi a été « entrainé » par l’ANSSI, via des scénarios grandeur nature à fortes intensités. Vincent Strubel est optimiste : « On ne va pas dire qu'on est prêt, parce que ce n'est pas aujourd'hui les JO, mais on sera prêt le moment venu, car on est sur notre trajectoire de préparation ».

L’Agence sera évidemment sur ses gardes : « On est bien conscient qu'on aura tous les projecteurs mondiaux braqués sur nous à ce moment-là. On n'aura pas le droit à l'erreur, on devra traiter les crises et les cyberattaques, celles qui se produiront malgré tout le travail de préparation ».

Se protéger des attaques étatiques

Vincent Strubel rappelle à juste titre qu’il n’y a pas que les Jeux olympiques dans la vie. Sur une vision plus longue, la menace cyber présente un double défi pour l’ANSSI.

Tout d'abord, « être toujours plus efficace contre une menace ciblée, étatique, qui s'améliore […] : furtivité, agilité, etc. ». Rien de neuf pour l’ANSSI qui traite déjà ces sujets depuis longtemps.

Le directeur général en profite pour se jeter des fleurs : « On est dans la Ligue 1 des grandes nations cyber qui savent faire ce genre de choses et détecter des attaques étatiques… mais il ne faut pas qu’on s’endorme sur nos lauriers ».

L’ANSSI entre haute couture et prêt-à-porter

Il y a ensuite « tout le reste » des attaques cyber, notamment les menaces « qui ne sont pas ciblées et touchent tout le monde ». Pour Vincent Strubel, il s’agit de passer de la haute couture (face aux attaques étatiques) au prêt-à-porter. C’est « quelque chose de plus nouveau pour nous », précise-t-il.

Pour filer la métaphore, sur « la haute couture, on a un modèle bien établi. On s'appuie notamment sur une organisation nationale à travers le C4, acronyme barbare pour le centre de coordination des crises cyber ».

Cette instance interministérielle s’assure de l’échange d’informations entre l’ANSSI – « agence purement défensive » rappelle Vincent Strubel – le Commandement de la cyberdéfense (ComCyber) du ministère des Armées, ainsi que les services de renseignements (DGSI et DGSE).

Cette collaboration permet aux services de renseignements d'aller chercher « qui se cache derrière » tel ou tel groupe de pirates, contrairement à l’ANSSI.

Il précise enfin que la loi de programmation militaire 2023 donne de nouvelles capacités techniques à l’ANSSI. L’Agence est en train de s’y préparer, « notamment avec les textes d’applications qui arriveront rapidement ».