En juillet 2017, le Comité International Olympique a officiellement choisi Paris comme organisateur des Jeux Olympiques de 2024. En tant qu'événement international contemporain, les activités numériques des Jeux Olympiques contribueront grandement au succès de l'événement. Et la cybersécurité en est un des piliers essentiels. D’ailleurs, plusieurs entreprises technologiques françaises et étrangères parrainent officiellement l'événement.
Parmi les priorités des autorités françaises dans le cyberespace figureront probablement la surveillance des activités des entreprises technologiques non européennes afin de garantir leur conformité au règlement général sur la protection des données de l'Union Européenne (RGPD), ainsi que la neutralisation des menaces externes provenant de divers types d'acteurs aux motivations distinctes.
Inquiétudes françaises sur les technologies Cloud Alibaba
En tant que partenaire mondial des Jeux Olympiques de 2020 à 2028, Alibaba Group a été l'un des principaux sponsors des Jeux Olympiques de 2020 à Tokyo et de 2022 à Pékin. Parmi les technologies fournies par l'entreprise figurent la numérisation des activités des organismes officiels de diffusion, l'hébergement des activités de e-commerce et les applications destinées au personnel des Jeux Olympiques. Daniel Le Coguic, Vice-Président Senior d'Atos, a déclaré fin 2021 que toutes les applications critiques des Jeux Olympiques de Paris 2024 devraient être hébergées sur les solutions de cloud de l’entreprise chinoise. Toutefois, le Directeur Général de l’ANSSI a déclaré que la situation d'Alibaba était complexe.
Peu de détails sont disponibles sur les typologies de données qui seront traitées par les applications critiques de l'événement. Cependant, les principales préoccupations des autorités françaises semblent porter sur les données des services de sécurité français - police, personnel du Ministère de l’Intérieur et autres employés liés au gouvernement. Dans le cas de liens entre l’entreprise Alibaba et le régime chinois, un accès et un traitement réussis de ces données fourniraient à ce dernier des informations d’intérêt qui pourraient être réutilisées à l'avenir. En tant que partenaire mondial, sélectionné par le Comité International Olympique, l'entreprise chinoise aura pourtant un rôle actif dans les Jeux Olympiques de Paris 2024. Et ce, malgré les divergences d'intérêts entre l'État français et le régime chinois.
La solution Alibaba Cloud respecte des normes de sécurité reconnues internationalement, comme atteste les différentes certifications et attestations obtenues par la société chinoise. Une des missions des autorités françaises sera donc la vérification du respect de ces normes lors du déploiement des solutions Alibaba Cloud pendant les Jeux Olympiques de Paris. Les autorités françaises devront alors s’appliquer à faire respecter ses exigences en matière de confidentialité. Au niveau technique, des solutions de contrôle de l'accès aux données, des droits d'administration et des contrôles du déploiement de l'infrastructure pourraient également être déployées - mais ces efforts techniques semblent vraisemblablement complexes. Au niveau diplomatique, la France peut faire part de ses préoccupations au Comité Olympique et entamer un processus de négociation avec les différentes parties prenantes. Tandis qu’au niveau administratif, des accords de traitement des données et autres accords de confidentialité peuvent être rédigés afin d'établir des règles spécifiques à suivre au cours de cette collaboration.
Les cyberattaques en forte hausse pendant les JO
De manière générale, la quantité et le type de cyberattaques auxquels la France devra faire face pendant les Jeux Olympiques de 2024 sont des éléments de sécurité déjà abordés par les fournisseurs officiels de technologie. L'équipe de sécurité du Comité français d'organisation s'est rendue au Japon pendant les Jeux Olympiques de Tokyo 2020 afin de tirer des enseignements des problèmes de sécurité auxquels les hôtes se sont confrontés pendant l'événement.
Daniel Le Coguic a déclaré que les systèmes d’information des Jeux Olympiques de Tokyo « ont fait face à plus de 4,4 milliards d'incidents de sécurité », tandis que les Jeux Olympiques de Rio de 2016 ont traité plus de 510 millions d'incidents de sécurité. Afin de soutenir les efforts de cybersécurité de l'événement, le Comité d'organisation des JO de Paris 2024 a choisi la société américaine Cisco comme fournisseur de plusieurs solutions clés - notamment des infrastructures de réseau, des technologies de cybersécurité et des solutions de vidéoconférence.
La quantité d’incidents cyber a fortement augmenté ces dernières années, et les techniques des attaquants évoluent dans le temps. Les fournisseurs de cybersécurité devront anticiper l'intention et les capacités des futures cybermenaces tout en développant des technologies capables de résister à la quantité et à la variété des attaques sur les réseaux de l'événement. En tant qu'événement international majeur, les Jeux Olympiques de Paris 2024 devront faire face à une variété d'acteurs malveillants - notamment des hacktivistes, des cybercriminels et des groupes étatiques. Les attaques malveillantes possibles incluent notamment l’atteinte à l’image, le gain financier, le sabotage, le déni de service, le vol ou la falsification de données et les opérations d'espionnage.
Un manque de capacités européennes
Les Jeux Olympiques de Paris 2024 révèlent également le manque d'entreprises technologiques européennes impliquées dans l'organisation de l'événement. Sur la liste officielle des sponsors des Jeux Olympiques de Paris 2024 sont présentes trois sociétés asiatiques, six américaines et deux françaises. Les entreprises technologiques non-européennes se conforment aux réglementations de leurs pays d'origine - et défendent parfois les intérêts de leur gouvernement. Ces différences politiques et idéologiques soulèvent plusieurs préoccupations liées à la confidentialité et l’intégrité des données, à leur revente, leur accès et leur analyse.
Pourtant, les autorités européennes ont placé la souveraineté digitale de l’Union comme l’une des missions principales de sa stratégie digitale 2030. Et bien que cette stratégie soit définie, les récentes décisions prises par la Commission européenne et les hauts représentants de l’UE montrent un fort décalage entre les objectifs annoncés et les décisions. Cette souveraineté digitale européenne sera atteinte grâce à des prises de décisions claires et cohérentes aux objectifs annoncés.
L'accès aux données permet d'analyser une grande variété d'objets - tels que des événements, des individus ou des organisations - et d'utiliser ces études pour atteindre des objectifs économiques, politiques ou diplomatiques - entre autres. Des affaires passées comme les révélations Snowden, Cambridge Analytica ou le logiciel espion Pegasus ont révélé que l'Union Européenne est vulnérable face à ces problématiques. Les Jeux Olympiques de Paris 2024 sont un événement international et les acteurs majeurs seront - à coup sûr - actifs dans le cyberespace pour promouvoir et défendre leurs intérêts.
Par Adrien Le Sech, Analyste CTI - CERT chez Synetis