Après un mois d’août et un début septembre animés par les compétitions sportives, les Jeux olympiques et paralympiques (JOP) 2024 de Paris sont derrière nous. Les premiers se déroulaient du 26 juillet au 11 août, les seconds du 28 août au 08 septembre.

Promis, l’ANSSI sera « prête le moment venu »…

Au début de cette année, l’ANSSI reconnaissait qu’elle n’avait pas vraiment le droit à l’erreur, mais qu’elle serait « prête le moment venu ». Quelques jours avant la cérémonie d’ouverture, elle était toujours confiante.

Le risque était réel, car une action couronnée de succès pendant une phase critique des Jeux aurait été un gros coup médiatique pour des pirates : « C'est une possibilité bien réelle pour un État qui voudrait nuire à l'image de la France », expliquait Vincent Strubel, le patron de l’ANSSI. Imaginez un événement de type CrowdStrike pendant la cérémonie d’ouverture…

Mais qu’en est-il maintenant que les Jeux olympiques et paralympiques sont finis ? Nous avons posé la question à l’Agence nationale de la sécurité des systèmes d'information, qui nous dresse son bilan des JOP 2024.

Alors, promesse tenue ?

L’Agence, qui se présentait comme le « chef d’orchestre » de la sécurité informatique, peut souffler : aucun événement majeur n’est venu jouer les troubles fêtes, même si l’été a certainement été animé.

« Un total de 548 événements de cybersécurité affectant des entités en lien avec l’organisation des Jeux olympiques et paralympiques de Paris 2024 a été rapporté à l’ANSSI entre le 8 mai [date de l’arrivée de la flamme olympique à Marseille, ndlr] et le 8 septembre 2024 ». Ce sont en tout cas les événements dont a eu connaissance l’ANSSI et qui « ont donné lieu à un traitement par les équipes opérationnelles ».

Sans surprise, « près de la moitié des événements de cybersécurité correspondent à des indisponibilités, dont un quart sont dues à des attaques par DDoS ». Dans ce genre de situation, il n’y a pas de passage en force à travers les défenses ni de danger pour les données, comme nous l’expliquions il y a quelques jours avec la vague de DDoS contre des institutions françaises. Celle-ci n’était à priori pas en lien avec les JOP, mais serait menée par un collectif pro-russe suite à l’arrestation en France de Pavel Durov.

Le détail des 548 événements de cybersécurité

Les autres événements de cybersécurité peuvent avoir des conséquences plus graves avec « des tentatives de compromission ou des compromissions, des divulgations de données, ou bien encore des signalements de vulnérabilités ». Les secteurs les plus ciblés étaient « les entités gouvernementales, le sport, le divertissement (sites de compétitions et Paris 2024) et les télécommunications ».

L’ANSSI détaille un peu la répartition des 548 « événements de cybersécurité » :

• 465 signalements (événements de sécurité d’origine cyber avec un impact bas pour le système d’information de la victime, requérant une intervention minimum de l’Agence) ;
• 83 incidents (événements de sécurité pour lesquels l’ANSSI confirme qu’un acteur malveillant a conduit des actions avec succès sur le système d’information de la victime).

Les incidents correspondent à des événements qui ont eu des conséquences tangibles (et négatives) sur une entité liée aux Jeux olympiques. Aucun n’est par contre venu perturber les JOP.

« Nous avons eu un niveau de menace intense, mais sans une déferlante. Un vrai pic d’activité a été observé la semaine avant les JO puis quelques jours après la cérémonie d’ouverture. Ensuite, l’activité s’est tassée dans l’inter-Jeux et pendant les paralympiques », explique Vincent Strubel dans une interview à Ouest France.

La question de la métrique

L’ANSSI apporte une précision importante sur la représentativité des chiffres : « il n’existe pas à ce jour de méthode normalisée et largement acceptée pour le décompte des cyberattaques ». L’Agence cite l’exemple d’une attaque par déni de service DoS, ou DDoS si elle est distribuée. Que doit-on prendre en compte, se demande-t-elle ? Le temps d’indisponibilité, le débit maximum de l’attaque, le nombre de requêtes reçues ou celles bloquées, etc. ? « Ces métriques donnent des chiffres très différents et impossibles à comparer ».

L’ANSSI fait un parallèle avec les bouchons sur les routes en été : « les métriques peuvent être le nombre de véhicules bloqués dans la journée, le nombre de kilomètres de bouchon maximal mesuré ou l’allongement des temps de parcours par rapport à la normale ».

Un bilan positif dans l’ensemble

Quoi qu‘il en soit, dans le monde numérique, il y a une métrique que le grand public peut facilement estimer : les cyberattaques ont-elles perturbé de manière significative les compétitions sportives et les cérémonies officielles ? La réponse est non.

L’ANSSI se félicite d’ailleurs qu’« aucun événement de cybersécurité n’a affecté les cérémonies d’ouverture, de clôture et le bon déroulement des épreuves. Tous les événements de cybersécurité survenus au cours de cette période sont globalement caractérisés par leurs faibles impacts ».

À Ouest France, Vincent Strubel fait aussi part de sa satisfaction. Le niveau de menace était « conforme » aux attentes : « Nous nous étions préparés au scénario du pire et à une déferlante d’attaques. On a vu un peu toute la typologie d’attaquants se manifester d’une façon ou d’une autre ». Il cite en exemple des « "hacktivistes" » qui mettent une pression permanente depuis deux ans, des acteurs de la criminalité organisée, des États… ».

L’Agence souligne au passage la coopération internationale : « Durant l’événement, l’information cyber liée aux JOP a par ailleurs fait l‘objet d’un partage régulier avec les partenaires internationaux, tant de manière bilatérale que dans le cadre de dispositifs dédiés, en particulier le Centre de coopération internationale (CCI) et le réseau européen de gestion de crise EU-CyCLONe ».

Une préparation de longue date

L’ANSSI rappelle enfin que la préparation des JOP ne date pas d’hier. En février, l’Agence nous indiquait ainsi avoir identifié 300 entités à accompagner, un chiffre qui est passé à 500 quelques semaines avant l’ouverture. L’ANSSI suivait aussi de très près 80 entités critiques, dont dix avec un accompagnement intense et personnalisé, sans donner de noms. Quelques-unes ont même bénéficié « d’un service de détection d’attaques informatiques, sous la forme d’EDR (End Point Detection and Response) managé et de sondes industrielles ».

L’année dernière, « plusieurs exercices de crise ont par ailleurs été organisés en 2023 pour se préparer collectivement à réagir à toute cyberattaque affectant les JOP », ajoute l’ANSSI. Cela va d'audits de cybersécurité, à des plans de sécurisation, en passant par des campagnes d’information, des rapports et un séminaire de sensibilisation au Campus Cyber.