Deux types d’attaquants et d’objectifs d’attaque
Rançongiciel, DDoS, phishing, spam, escroquerie… À quoi faut-il se préparer pour la période des JOP ?
L’objectif financier : attaquer pour gagner de l’argent
Le premier type de cyberattaque auquel il faut s’attendre, c’est le rançongiciel. Le cybercriminel va tenter de s’introduire dans le système d’information d’une entreprise ou organisation pour y déployer un logiciel qui va chiffrer toutes les données et réclamer une rançon. “Depuis les années 2010, on sait qu’il y a des attaquants qui s’en prennent aux Jeux et aux entreprises pour gagner de l’argent.” expliquait Franz Regul, Directeur Cybersécurité des Jeux, en février dernier dans le podcast Le Monde de la Cyber.
Les attaques par rançongiciel sont classiques et déjà très répandues. D’après le dernier panorama de l’ANSSI, les PME sont les plus touchées par ce type d’attaque ces dernières années avec 40% des ransomwares qui ont concerné une PME en 2023.
Aussi pendant la période des JO, ces attaques vont continuer de toucher les entreprises et organisations du pays mais aussi l’organisation des Jeux elle-même, ses fournisseurs et partenaires. Dans le premier cas, le risque pour l’entité victime est de voir son activité à l’arrêt le temps de remédier à l’incident - à condition de savoir vers qui se tourner. Dans le second cas, les attaquants profiteront du contexte des Jeux pour exercer une pression temporelle pour récupérer la rançon. Par exemple, les équipes pourraient être en difficulté si un rançongiciel était lancé avec succès quelques minutes avant la tenue de la cérémonie d’ouverture.
“Les attaquants vont répliquer les méthodes utilisées durant le COVID et envoyer des mails de phishing aux couleurs des Jeux pour compromettre des boîtes mails” explique Vincent Nguyen, Directeur de la cybersécurité chez Stoïk.
Ainsi, le risque de fraude - le cybercriminel intercepte un paiement après avoir compromis une messagerie - va lui aussi considérablement augmenter durant la période. Il est extrêmement difficile d’anticiper une tentative de fraude au virement. Lorsque l’attaquant accède à une boîte mail, il dispose de tous les mails passés et il lui suffit de relancer une facture en changeant le RIB tout en gardant l’historique de conversation pour tromper son interlocuteur.
Le sabotage pour faire passer des messages ou empêcher le bon déroulement des Jeux
Le deuxième type de menace, ce sont les DDoS ou les défacements de sites web qui peuvent provenir d’acteurs étatiques ou de groupes d’attaquants appelés “hacktivistes”. Ils vont vouloir faire passer des messages ou tout simplement empêcher le bon déroulement des Jeux dans l’objectif de nuire à la réputation du pays.
“Globalement toutes les organisations françaises pourront être ciblées par du défacement, en revanche, le DDoS s’appliquera plutôt aux institutions, partenaires, supply chain des Jeux”, précise Vincent Nguyen, Directeur de la Cybersécurité de Stoïk.
Par exemple, lors de la cérémonie d’ouverture des Jeux de Pyongchang en 2018, les écrans du stade olympique ont viré au noir quelques minutes avant le début de l’événement. Les portiques de contrôle de billets se sont mis à refuser des billets parfaitement légitimes et le wifi disponible pour les personnes accréditées ne fonctionnait plus.
Aussi, les institutions étatiques et les administrations publiques de notre pays sont en première ligne face à ce type de menace : “Pouvoir afficher un message politique sur un site qui contient dans son URL “Paris”, “France” ou “Jeux”, c'est un vrai objectif pour tout un tas d'acteurs malveillants.” explique Dominique Yang, Deputy CISO Paris 2024, dans la même interview (Episode 15, Le Monde de la Cyber).
Qui sont les acteurs concernés par la menace cyber durant les Jeux ?
Les Jeux se déroulent en France, ainsi, tous les acteurs qui veulent porter atteinte aux Jeux ou tout simplement optimiser leur rentabilité vont potentiellement cibler des organisations françaises. À l’inverse, les acteurs qui veulent toucher la France vont plutôt s’intéresser au Comité d’Organisation des Jeux Paris 2024.
Le Comité d’Organisation des Jeux, ses partenaires et sous-traitants
Le Comité d’Organisation Paris 2024 a pour rôle d’assurer la cybersécurité des Jeux mais ce n’est pas le seul acteur concerné durant la période. Le Comité travaille avec des fournisseurs clés, des partenaires et des prestataires qui peuvent également être pris pour cible pour nuire au bon déroulement de l’événement. De la même manière, les acteurs qui vont fournir leurs services aux populations ou aux parties prenantes importantes dans le cadre des Jeux sont également concernés. Sans oublier toutes les autres organisations et entreprises qui vont intervenir pour d’autres prestations de service, comme une livraison par exemple.
Les PME et ETI, associations et collectivités ne seront pas épargnées car elles font partie du tissu de sous-traitants, de fournisseurs et de clients concernés : “On voit bien que dans les éditions précédentes des Jeux, il y a de nombreuses organisations qui ont été frappées, qui ont été victimes de hackers sans lien évident avec les Jeux.” rappelle Franz Regul, Directeur Cybersécurité Paris 2024, dans une interview sur le podcast Le Monde de la Cyber.
Les opérateurs d’infrastructures et les grands acteurs économiques
L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) s’est rapprochée de tous les opérateurs d’infrastructures, de tous les grands acteurs économiques français. L’Agence a été missionnée par la Première Ministre à l’été 2022 pour assurer la coordination cyber au niveau national. Les grandes marques françaises, une marque emblématique issue du CAC 40, du secteur du luxe ou de l’art de vivre sont représentatives de l’image de notre pays à l’international et peuvent également être la cible de cybercriminels.
Les bonnes pratiques et conseils pour lutter contre la menace
Quelles sont les actions à mener de manière stratégique au sein des entreprises et organisations pour se tenir prêt dans le cadre des jeux ? Toutes les entreprises et organisations du pays sont concernées par la menace cyber, que ce soit durant la période des Jeux comme tout au long de l’année.
Préparer son dispositif de gestion de crise d’origine cyber
Voici quelques conseils des Responsables de la cybersécurité des Jeux :
- Faire en sorte de ne pas partir en congés tous en même temps et mettre en place une astreinte pour assurer une continuité de service.
- Avoir implémenté toutes les actions de sécurisation prévues durant l’année 2024 avant les Jeux.
- Faire des campagnes de patching, c’est-à-dire veiller à bien réaliser toutes les mises à jour nécessaires pour lutter contre les vulnérabilités connues et les résoudre avant la tenue des Jeux et continuer à “patcher” (faire les mises à jour) pendant les Jeux.
- Faire une revue de droits, c’est-à-dire vérifier que tous les utilisateurs de certains systèmes critiques ont toujours besoin de les utiliser, éviter de laisser des comptes que l’on appelle orphelins avec des droits trop permissifs et éviter d’avoir des utilisateurs avec des privilèges excessifs.
- Faire des tests de sécurité sur les services clés jusqu’à l’automne voire faire des exercices de crise dans le cadre d’un scénario JO.
- Eventuellement mettre en maintenance les systèmes qui ne sont pas forcément critiques mais qui, s’ils étaient compromis, pourraient mettre l’entreprise dans une situation compliquée. Cybermalveillance.gouv.fr recommande même d’éteindre les serveurs, systèmes de sauvegarde en ligne et postes de travail en dehors des plages d’activité normale lorsque c’est possible.
En plus de ces conseils avisés, il est recommandé de mettre en place des mesures de cybersécurité de base si ce n’est pas déjà fait :
- Augmenter la fréquence de sauvegardes déconnectées, restaurables et immuables.
- Utiliser un anti-virus voire même un EDR à jour sur tous les postes de travail et serveurs.
- S’assurer d’avoir des mots de passe robustes partout.
- Mettre en place la double authentification partout.
- Mettre en place un processus de double validation des paiements au-delà d’un certain montant.
- Élaborer un PCA (plan de continuité d’activité) et savoir vers qui se tourner en cas de cyberattaque.
- Faire un rappel des conseils de sécurité auprès de tous les collaborateurs de l’entreprise.
Il n’est jamais trop tard pour mener ces réflexions et mettre en place des mesures pour la période annoncée.
Une vigilance accrue sur le risque de spam et de phishing
Le spam et le phishing représentent 80% du trafic de mail mondial. Ce que les attaquants essayent de voler, c’est de la propriété intellectuelle ou des informations sensibles à des fins pécuniaires.
Le grand classique, c’est de proposer des billets pour les Jeux à des tarifs défiant toute concurrence ou de faire gagner des billets pour participer aux Jeux ou pour assister à la cérémonie d’ouverture, moyennant la fourniture de certaines informations. “Il faut redoubler de vigilance et développer des compétences de discernement aussi bien dans la sphère privée qu’au travail” rappelle le Directeur de la cybersécurité des Jeux Paris 2024.
Voici quelques rappels utiles pour lutter contre le spam et le phishing durant les Jeux :
- Tous les sites officiels des Jeux sont sur le domaine paris2024.org
- Il n’y a qu’un seul site pour la billetterie officielle des Jeux c’est tickets.paris2024.org
- La revente de billet s’effectue sur la plateforme de revente officielle ticket-resale.paris2024.org en circuit fermé
- Il n’y a pas de billet papier
Ajoutons à cela la menace du phishing par QR code qui consiste à soutirer des informations sensibles aux personnes qui se laissent prendre au jeu ou de leur infliger des malwares (virus). “On invite les populations à être vigilantes et à ne pas scanner n’importe quoi” insistent les responsables de la cybersécurité du Comité des Jeux.
Ici aussi, il est demandé aux particuliers d’adopter les bonnes pratiques de cybersécurité de base :
- Opter pour un mot de passe robuste et unique pour son compte Paris 2024
- Mettre à jour ses équipements
- Renforcer la sécurité de ses comptes réseaux sociaux en optant pour un mot de passe robuste et unique, et en activant l’authentification à double facteurs
- En cas de suspicion de piratage de compte : changer son mot de passe immédiatement
- Être très vigilant sur les mails reçus : vérifier l’expéditeur, ne pas cliquer sur les liens et se rendre directement sur le site officiel pour vérifier l’information ou accéder à ses billets
La France est-elle prête à faire face à la menace cyber durant les Jeux ?
“La France est bien armée pour contrer les cyber-menaces, nos services continuent de travailler indépendamment de la crise politique que nous traversons” rappelle Asma Mhalla dans une interview de La Tribune, “Sa doctrine, son administration et ses services de renseignements lui confèrent de solides atouts pour résister aux cyberattaques et aux tentatives de cyber-espionnage. Solides mais par définition pas inviolables.”
Guillaume Poupard, ex-DG de l’ANSSI, rappelle que cela fait des années que nous nous préparons à cet événement et que tout ce qui a été mis en place à l’approche des Jeux va rester et nous rend plus fort. Cependant, “La surface d’attaque est colossale et les acteurs malveillants n’ont que l’embarras du choix.” rappelle-t-il dans une interview du podcast Le Monde de la Cyber (Hors-série FIC mars 2024).
Le mot d’ordre reste donc : soyez vigilant, ayez les bonnes pratiques en tête, appliquez-les et tournez-vous vers les autorités compétentes en cas de problème.
Anticiper l’après-Jeux
“Attention à ne pas se démobiliser après les Jeux”, tient à rappeler Vincent Nguyen. En effet, de nombreuses données risquent d’être volées pendant la double quinzaine des Jeux qui seront certainement exploitées par les cybercriminels pendant mais aussi après l’événement. “Il va falloir rester sur le qui-vive pendant de nombreuses semaines voire de longs mois. N’oublions pas que la cybersécurité n’est pas un sprint mais un marathon !”.