La cybersécurité tiendra une place centrale dans le bon déroulé des Jeux Olympiques et Paralympiques Paris 2024 (JOP). D’autant plus centrale qu’elle ne concerne pas « que » les systèmes informatiques classiques, dits bureautiques. Les équipements opérationnels, de plus en plus connectés, sont également concernés et doivent donc eux aussi être protégés. Focus sur la cybersécurité des stades.
Qu’entend-on par « OT » dans le contexte des Jeux ? Pourquoi s’intéresser à la cybersécurité des stades ?
Les technologies opérationnelles qui se cachent derrière le sigle OT sont généralement opposées aux technologies de l’information (IT). Elles regroupent tous les systèmes qui sont liés à une interaction avec le monde physique, c’est dire s’il y a de l’OT partout !
Dans un stade par exemple, comme dans tout bâtiment recevant du public, les systèmes opérationnels, parfois appelés industriels, se trouvent dans l’éclairage, la climatisation, la sonorisation, la ventilation, la gestion des pompes de relevage des eaux, le réseau de capteurs connectés disséminé dans l’enceinte sportive, etc. Une liste non exhaustive d’équipements OT qu’il faut sécuriser et à laquelle s’ajoute les dispositifs de vidéo surveillance et de contrôle d’accès qui se situent à la frontière entre IT/OT.
À titre d’exemple, on peut imaginer que le SI industriel en charge des feux de circulation d’une grande métropole hébergeant une épreuve soit la cible d’une attaque physique ou bien d’une attaque via un compte de télémaintenance . « Un scénario qui provoquerait sans doute des embouteillages, des dégradations voire des accidents et dans le pire des cas, des pertes humaines », explique Stéphane Potier, expert en sécurité des systèmes industriels Advens.
Les systèmes opérationnels des JOP sont-ils des systèmes industriels comme les autres ?
Les systèmes OT des infrastructures qui contribuent au bon déroulement des JOP , bien que parfois temporaires , ne présentent pas de différence fondamentale avec les systèmes qu’Advens sécurise habituellement puisque tous intègrent IT, OT et IoT .
La spécificité de ces contextes est plutôt à chercher du côté des attaquants en raison de la portée de l’événement. Un potentiel « podium pour hackers » qui risque d’attirer les groupes de cybercriminels opportunistes « classiques » en plus d’une menace étatique contextuelle particulièrement forte et complexe en 2024.
Les attaques sur des infrastructures critiques et des systèmes industriels auraient ainsi augmenté de 140% en 2022 (Waterfall, ANSSI, 2023).
« Alors que les SI bureautique et gestion sont maintenant globalement bien protégés par les équipes cyber, les SI industriels risquent de devenir une cible plus facile pour les cyberattaquants. Ces derniers sont en effet de plus en plus connectés et moins bien protégés.»
Stéphane Potier – Responsable de l’offre Cyber OT – Advens
Il est donc essentiel de conserver notre avance dans cette course qui s’accélère à l’ère de l’intelligence artificielle. En effet, les IA permettent aux cybercriminels d’acquérir les compétences nécessaires pour communiquer avec des systèmes industriels.
Comment sécurise-t-on les systèmes opérationnels des JOP ?
Se conformer aux bonnes pratiques de cyber industrielle
Les systèmes industriels sont souvent vulnérables car ils sont anciens et doivent assurer la continuité de service. Cela implique qu’il n’est pas toujours possible de changer, d’isoler ou de passer en détection un équipement comme on le ferait au sein d’un SI classique.
Prendre en compte tout le périmètre
Contrairement à ce que Paris 2024 laisse supposer, les JOP concernent d’autres villes en France, ce qui étend le périmètre géographique à protéger de Lille à Marseille, sans oublier Tahiti.
Par ailleurs, il est important de sécuriser toute la chaine des acteurs impliqués dans l’événement : si les grands groupes sont sensibles à la cybersécurité et équipés, ce n’est pas toujours le cas de leurs fournisseurs de service ou de maintenance, qui peuvent faire office de points d’entrée. Le sujet doit donc être l’affaire de tous : intégrateurs, constructeurs, fabricants, opérateurs.
« Les cyberattaquants cherchent le maillon faible de la chaine. C’est pourquoi, notamment sur les systèmes industriels, il faut porter une attention particulière aux prestataires de services de maintenance et d’intégration, qui sont souvent en retard du point de vue de la prise de conscience en cybersécurité. »
Stéphane Potier – Advens
Anticiper au maximum
Même si les échéances sont courtes, il est essentiel de mettre en place un plan de défense sur les SI OT si ce n’est pas déjà le cas. Cela peut par exemple se traduire par la réalisation d’un rapide check-up de l’exposition de vos équipements et de vos capacités de détection, nécessaires aussi pour la cybersécurité des stades et de leurs infrastructures « Métier ». Mais se préparer aux JOP sur le plan cyber comprend aussi un volet non technique : identifier les contacts clés – tant pour la qualification que pour le remédiation face à une attaque ou une alerte majeure.