• il y a 5 mois
3 milliards, c’est le nombre de tentatives d’attaques, estimées par le RSSI de Paris
JO 2024 pour l’événement. Une mise en lumière des préoccupations de cybersécurité lors des Jeux Olympiques qui n’est pas nouvelle ! Rien qu’en 2021, 450 millions de tentatives de cyberattaques avaient été recensées lors des jeux de Tokyo. Face à cette menace d’une ampleur inédite, comment se prépare la France ? Quels sont les méthodes et outils employés côté cybercriminels ? On tente d’y répondre avec François Deruty, le directeur des opérations de Sekoia.io et Guillaume Tissier, associé chez Forward Global.

Category

🗞
News
Transcription
00:00C'est un sujet festif normalement, les Jeux Olympiques, Paralympiques 2024, mais c'est aussi un grand défi cyber.
00:10Alors quels sont les risques ? On va regarder ça avec mes invités. François de Ruti, bonjour, bienvenue dans Smartech.
00:16Juste pour vous situer, vous avez occupé différentes fonctions, expert technique en cryptologie, rétroconception,
00:22responsable d'équipe, directeur de programme au sein du ministère des Ammés. Vous êtes passé par l'Annecy également,
00:27vous avez pris la direction du CERTFR qui est le Centre Gouvernemental de Détection et Réponse aux Attaques Informatiques.
00:33Et aujourd'hui, vous êtes le directeur des opérations de Secoya, donc Cybertech Européenne, qui développe des solutions
00:39de détection et de réponse en s'appuyant sur le renseignement cyber. Avec vous sur ce talk, Guillaume Tissier, bonjour.
00:46Guillaume, vous êtes un spécialiste de la gestion des risques, vous accompagnez les organisations publiques, privées
00:51en matière d'intelligence économique et de cybersécurité, actuellement au sein de Forward Global,
00:56dont vous êtes associé et directeur général. Et puis depuis 2013, on rappelle quand même que vous pilotez le FIC,
01:02le Forum in Cyber maintenant, il faut dire, donc forum sur la cybersécurité. Alors, je voulais vous faire réagir à une déclaration
01:10de France Régule, qui est le patron de la cybersécurité au Comité d'Organisation des Jeux Olympiques et Paralympiques,
01:16le COJOP 2024, et qui estime que le nombre d'attaques lors de cet événement devrait avoisiner les 3 milliards de tentatives.
01:24Donc déjà, comment est-ce que vous réagissez à ce chiffre ? Et puis, est-ce qu'on peut se préparer à ça, à ce volume-là ?
01:32Je crois que c'est le nombre d'événements et pas forcément d'attaques. C'est-à-dire que tout événement en cybersécurité
01:37ne devient pas forcément une attaque ou un incident. C'est tout d'ailleurs le travail que va devoir gérer le SOC,
01:44Security Operations Center, qui a été mis en place pour trier, justement, parmi toutes ces attaques, celle qui fera mal.
01:52Et c'est d'ailleurs l'un des principaux risques, c'est d'avoir une forme de saturation d'attaques finalement peut-être assez banales,
02:01de basse intensité, qui pourraient camoufler l'attaque la plus dangereuse. Et donc ce travail de sélection va être vraiment absolument essentiel.
02:08François, votre réaction aussi sur ce chiffre ?
02:11Je vois exactement ce que vient de dire Guillaume. On met des chiffres très élevés, mais il y a tentative dans ce que vous avez dit.
02:16Tentative, ça ne veut pas forcément dire que ce sera des attaques réussies ou des attaques majeures. Il faut être prudent avec ça.
02:22La notion de triage, un peu comme aux urgences, c'est-à-dire être capable de trier les grosses attaques, tout le bruit qu'il y aura autour,
02:28des activismes ou des tentatives de déni de service sera extrêmement important pour se concentrer sur ce qu'il y a de l'impact.
02:32Mais pour gérer 3 milliards d'incidents, il faut faire appel à des IA, il faut automatiser au maximum. Ce n'est pas un travail humain.
02:41Je crois qu'il y a beaucoup d'IA qui a été déployée. Il faut consacrer vraiment l'analyste sur les choses qui en valent la peine.
02:49Et donc en amont, ce travail est largement automatisé.
02:53Alors, si on fait un peu le panorama des menaces, j'imagine que vous allez me dire qu'on peut tout imaginer.
02:58Mais à quoi on se prépare plus particulièrement dans cette période de Jeux olympiques ?
03:06L'activisme, peut-être, qui me semble être effectivement la menace que tout le monde redoute à travers des défacements, à travers du déni de service.
03:15On a souvent tendance à banaliser malheureusement ces dénis de service en les considérant comme des attaques assez peu sophistiquées.
03:21C'est ce que j'allais dire. C'est peu sophistiqué. Ça fait peu de dégâts.
03:24Mais ça peut faire mal. Tout dépend déjà de l'intensité, de la durée de ces attaques et des services qui sont derrière.
03:31Et aujourd'hui, et on a des précédents, un déni de service sur un certain nombre de systèmes qui hébergent des services un peu critiques
03:41pour des événements de la billetterie ou des choses comme ça, peuvent évidemment derrière déboucher sur des conséquences assez embêtantes et assez paralysantes.
03:51OK. Et de votre expérience, qu'est-ce qu'on peut anticiper comme type de menace particulière liée au Jeux ?
03:58Il y a plusieurs catégories. Mais si on fait un résumé, évidemment, on en parlait tout à l'heure avec Guillaume.
04:03Il y a l'espionnage. Mais l'espionnage n'arrête pas les Jeux. Donc ça, ça va être moins visible.
04:07Et on découvrira sûrement après. Mais on a quand même une unité de temps, une unité de lieu avec beaucoup de personnalités importantes.
04:12Donc pour tous les services étrangers, c'est quand même un endroit intéressant pour récupérer des informations.
04:16Mais ça, ça n'arrêtera pas les Jeux. Ensuite, on a l'activisme. Ça, c'est celle que je crains le plus, effectivement.
04:21On a eu un cas pendant l'Euro de football en Pologne où le premier match n'a pas pu être diffusé pour un certain nombre d'abonnés
04:27pendant les 15 premières minutes à cause de des nids de service. Je ne dis pas que c'est un entraînement.
04:32Mais voilà, ça commence à se propager un petit peu. Et puis après, on aura tout ce qui est fraude, arnaque.
04:36Il y aura beaucoup de commandes en ligne, beaucoup de choses comme ça. Donc pour le citoyen classique, il y aura...
04:41Il faudra être très vigilant sur là où on clique parce qu'il va y avoir beaucoup d'arnaques et de fraudes aussi, bien sûr.
04:45Vous ne parliez pas de risques sur les infrastructures ? Des risques presque physiques, j'allais dire.
04:50Il y en a. Il y a deux types d'infras. Il y a les infras utilisées pour les JO.
04:56Les infras des JO, les infras utilisées pour les JO. Et puis tout ce qu'il y a autour.
05:00Ce qu'il y a autour, c'est les hôpitaux, c'est les transports. On sait que les hôpitaux, notamment, sont logés régulièrement d'attaques.
05:07Et puis à l'intérieur, c'est quand même une multiplicité de systèmes. Et donc je crois que dans les facteurs de risque,
05:12il y a évidemment la diversité des technos avec beaucoup d'objets connectés, beaucoup de technologies qui doivent cohabiter.
05:20Donc cette diversité de technologies pose un problème. Il y a aussi évidemment le défi du nombre d'organisations appliquées.
05:26Parce qu'unifier tout ça, c'est évidemment compliqué. Alors on a un socle qui est là justement pour concentrer un certain nombre d'éléments.
05:34Mais la diversité des organisations, on s'est bien préparé à ça. Et je crois que l'entraînement a été un point clé.
05:42J'ai vu que l'Annecy avait diffusé notamment un kit pour que toutes les organisations puissent s'entraîner avec des exercices,
05:48avec des simulations, avec des nouveaux variés, y compris des collectivités. Et ça, je crois que c'est un élément essentiel.
05:53Et donc ce travail a été fait.
05:56Alors vous parliez d'un kit. Alors moi, j'ai repéré un petit guide petit parce que c'est un 8 pages de Viginum qui a été diffusé sur les réseaux sociaux.
06:05Viginum, c'est le service de vigilance, de protection contre les ingérences numériques étrangères.
06:10Et donc dans ces 8 pages, l'idée, c'est vraiment de sensibiliser les entreprises à cette période de risque que représentent les JOP 2024.
06:21Et alors ils nous disent, voilà, matérialisation des attaques informationnelles, des raids numériques.
06:27Donc comment on peut amplifier finalement des bad buzz, des appels à conduire des actions physiques avec des boycottes notamment, et l'usurpation d'identité.
06:36Et alors, bon, on se dit, OK, très bien. Donc ça, c'est ces attaques informationnelles un peu qu'on prend en compte, j'ai l'impression, de manière assez récente finalement dans le monde de la cyber, non ?
06:47Oui, oui, c'est assez récent. C'est une stratégie. Je veux dire, c'est pas une stratégie qui est à part des attaques cyber classiques.
06:54C'est vraiment une stratégie globale, l'activisme, la désinformation, l'espionnage, le sabotage, tout ça.
06:59Quand ils viennent des mêmes endroits ou des mêmes structures, c'est une stratégie coordonnée.
07:03On sait pas mesurer vraiment l'amplification ou est-ce que ça a un impact au quotidien, mais ça maintient sous une tension permanente de chaos, de recherche de vraies et de fausses informations.
07:12On sait plus vraiment où on se situe. Donc ça participe à l'environnement général de déstabilisation. Donc il faut être vigilant.
07:17Mais est-ce que l'écosystème est préparé à ce type d'attaque ? Parce qu'on a un service appelé Viginium qui veut pas tout faire, on est bien d'accord ?
07:23On est tout à fait d'accord, oui.
07:25C'est un sujet de façon d'éducation essentiellement. La réaction aux fake news, c'est bien de les détecter.
07:31La réponse à ces campagnes, malheureusement, elle est une réponse assez individuelle à travers de la formation, à travers de l'éducation, à travers le fait de ne pas croire tout ce que l'on voit.
07:43Et là, ce qui est pervers...
07:44Et aussi détecter ces groupes aussi d'influence.
07:47Et ce qui est pervers dans le cas présent, c'est qu'on sait que ces JO arrivent dans un contexte à la fois international et national un peu compliqué.
07:56On sait qu'un certain nombre d'opposants aussi ont lutté contre la tenue de ces JO.
08:02Et en fait, le sujet de ces activistes et de ces fake news, c'est justement de porter le fer là où ça fait mal.
08:10C'est-à-dire de créer des divisions et de retourner les gens ensuite contre eux et contre ces JO.
08:16Et donc, c'est effectivement un vrai risque.
08:18Mais je dirais que par rapport à ces risques, à part une réponse, encore une fois, individuelle de prudence à l'égard des informations et de sang-froid, je ne vois pas de réponse technique.
08:30Oui, parce que c'est un peu ce que nous dit ce petit fascicule.
08:33Protection, sensibiliser, anticiper en identifiant les communautés.
08:37Ne pas relayer.
08:38Se préparer aussi.
08:39Alors il y a...
08:40Oui, ne pas relayer.
08:41Et puis se préparer quand même au scénario de crise.
08:43Ça, les exercices de crise, ça fait longtemps que moi j'en entends parler et que j'essaye d'en parler.
08:48Mais j'ai l'impression que ce n'est pas encore tout à fait intégré dans les entreprises, y compris les entreprises de taille PME.
08:57C'est toujours difficile, notamment dans les petites structures où on a des objectifs.
09:01Il faut dégager du temps.
09:04La question souvent, quand j'étais à l'Annecy, ce qu'on mettait en place beaucoup, c'est aussi des exercices sur table plus simples, plus faciles pour sensibiliser des comex ou des parties prenantes qui prennent finalement qu'une heure, une heure et demie.
09:14On discute de comment on réagirait si notre base de données client se retrouve sur Internet, des choses comme ça, sans forcément aller tout le temps sur un exercice technique de réponse à un incident.
09:22Là, il faut mobiliser beaucoup de capacités, beaucoup d'outils.
09:24On peut alterner des choses comme ça pour être progressé sans forcément y consacrer toute sa vie.
09:30En plus, ce qui est recommandé, c'est un binôme entre la technique et la communication.
09:36Pourquoi c'est important la communication ?
09:39L'impact réputationnel d'une crise est majeur.
09:45D'ailleurs, c'est aussi ce qu'utilisent les activistes.
09:50C'est le prétexte pour viser les JO, 4 milliards de téléspectateurs potentiels.
09:56Évidemment, s'il y a le moindre incident, notamment sur la partie de diffusion, l'impact et la communication qui va être faite sur la cause défendue par l'activiste va être énorme.
10:07Le travail de communicant est important.
10:10Il est particulièrement compliqué en situation de crise parce que le communicant, pour communiquer, a besoin d'informations.
10:14Et très souvent, au départ, on n'a pas d'informations.
10:16Donc, on doit communiquer dans le flou.
10:18On doit s'en tenir à des éléments de langage en matière de communication assez standards sur le fait qu'on avait un dispositif de protection, qu'on a mis en place des process, que ceci, que cela.
10:27Mais on ne peut surtout pas s'avancer sur l'origine de l'attaque, sur les conséquences.
10:31On ne sait pas.
10:32Et plus vous avancez, plus vous devez rétropédaliser, ce qui est absolument épouvantable à récupérer si, par hasard, on dérape un peu.
10:39C'est pour ça qu'il faut qu'ils travaillent main dans la main pour avoir des informations pratiquement en temps réel sur ce qui se passe.
10:46C'est aussi pour ça que c'est un binôme parce que, historiquement, il y a quelques années maintenant, on demandait souvent à l'équipe technique de communiquer.
10:51Et là, on voit bien qu'il y a un sujet.
10:53Ce n'est pas leur métier.
10:54Ils n'ont pas le temps.
10:55Ils sont sur l'incident.
10:56Donc, voilà.
10:57Maintenant, on sépare bien.
10:58C'est assez bien expliqué pour séparer les process et en faire des équipes différentes.
11:01Bon.
11:02Histoire de nous rassurer, Vincent Strubel nous dit qu'il ne faut pas se faire d'illusions.
11:05On ne va pas empêcher toutes les attaques de se produire pendant les Jeux.
11:08Notre objectif collectif, c'est de faire en sorte que ces cyberattaques ne nuisent pas au déroulement.
11:12Si on devait essayer justement de lister les menaces par cible, par type de danger ou type d'attaque.
11:21François.
11:22Moi, celle que je redoute concrètement le plus, c'est un mélange entre bloquer une billetterie, un endroit, créer un attroupement de foule par un déni de service ou une attaque pas forcément très complexe,
11:32mais essayer d'arriver à bloquer un endroit quelque part.
11:34Et j'ai peur d'une combinaison menace terroriste, menace cyber.
11:38C'est-à-dire un loup solitaire sur Internet qui cherche le moment depuis un moment, qui se prépare et qui se dit là, s'il y a un attroupement de foule, c'est peut-être le moment.
11:44Cette combinaison-là me paraît assez dangereuse.
11:48Je n'aime pas le mot probable, mais je sais que le mystère de l'intérieur travaille beaucoup sur ce sujet-là.
11:52Et puis, on a pas mal de pays aussi qui ont commencé à exprimer leur inquiétude d'envoyer beaucoup de délégations sur zone et pendant les JO à cause du contexte qu'a évoqué Guillaume international et national.
12:03Vous travaillez justement sur la base du renseignement cyber. Qu'est-ce que vous voyez en ce moment ?
12:09On voit des préparations d'infrastructures. On voit la partie sur le match de la Pologne, par exemple.
12:15Ce n'est pas un entraînement encore une fois, mais on a eu des tentatives sur les infrastructures de l'État il y a 2-3 mois.
12:20Il y a eu une attaque sur la billetterie du PSG en avril, je crois.
12:23Tout ça pour dire qu'on voit des signaux qui ressemblent de plus en plus à ce qui pourrait nous arriver.
12:28Et puis, il y aura forcément... Le cybercrime sera là.
12:31Et on arrive à identifier à chaque fois les sources, les cybercriminels derrière, les groupes ?
12:37Si on prend ce qui s'est passé sur les précédentes JO, on en parlait. Il y a eu plusieurs groupes qui se sont manifestés.
12:44On peut parler de la PT44, la PT28 qu'on a vu sur Pyeongchang, sur d'autres JO.
12:50L'attribution n'est jamais facile immédiatement. Il y a souvent des faunées.
12:55Les attributions ont plusieurs fois changé.
12:57Ce qu'on sait simplement, c'est que ces groupes, notamment la PT28, la France-Sibire,
13:03on les a retrouvés derrière plusieurs attaques qui avaient touché les JO de Pyeongchang.
13:08Certains avaient gêné même la cérémonie d'ouverture avec une coupure du Wi-Fi.
13:15Souvent, derrière le Wi-Fi, vous avez des douchettes connectées pour scanner les badges.
13:20Vous avez un certain nombre d'équipements. Et ça avait sérieusement perturbé la cérémonie d'ouverture.
13:24On a eu aussi à Londres, c'est plus ancien, en 2012, mais ça avait été détecté à temps.
13:30Le deuxième jour, on a eu des perturbations sur le système d'alimentation électrique d'une infrastructure.
13:35Là, c'est nettement plus sophistiqué. On est vraiment sur du sabotage pur et dur.
13:40C'est utile ces expériences ?
13:43On en tire un retour d'expérience et ça sert.
13:47Il y a eu d'ailleurs des rencontres qui ont été organisées.
13:49Les organisateurs des JO et ceux qui s'occupent de la sécurité ont débriefé leurs prédécesseurs pour tenir compte de leur retour.
13:56Et puis, on voit les 2015 en Ukraine. On voit où on est aujourd'hui.
14:00A l'époque, on disait déjà que c'était une boîte de pétri de tests de choses. On voit où on est aujourd'hui.
14:04Ce qui change, c'est la surface d'exposition.
14:07C'est aussi pour ça que le nombre d'événements de cybersécurité se multiplie.
14:10C'est bien sûr parce que les jeux sont très visibles, encore plus visibles peut-être, très ciblés dans le contexte actuel.
14:16Mais c'est aussi parce que la surface d'exposition se développe que les technologies se trouvent absolument partout.
14:21La billetterie, on en a parlé, le chronométrage, la diffusion qui est un élément stratégique évidemment.
14:26Mais tout est numérisé et donc c'est clair que ça augmente la surface d'exposition au risque.
14:33Qu'est-ce que vous pouvez nous dire pour nous rassurer sur les dispositifs ?
14:37Déjà, il y a tout le travail qui est fait par Viginium.
14:40L'Annecy, depuis longtemps, on parle des infrastructures critiques mais ils n'ont pas attendu les JO pour se protéger.
14:44Donc là, il y a beaucoup de travaux qui ont été faits sur la sous-traitance notamment parce qu'il y a beaucoup d'interconnexions justement entre tous ces systèmes.
14:50Et puis les opérations qui ont été menées par les autorités internationales, Kronos pour Lockbit, Endgame il n'y a pas longtemps.
14:58Il y a beaucoup d'opérations qui ont été menées pour mettre un coup aux infrastructures d'attaque avant les JO pour essayer de nettoyer le plus possible.
15:06En tout cas de gêner le plus possible parce que le code qui est utilisé par un attaquant russe ou par un activiste, c'est la finalité qui est différente.
15:12Le code, ça peut être le même, démonter les infrastructures au plus tôt, le plus possible, ça peut permettre à gagner du temps.
15:20Guillaume, est-ce que vous pouvez nous dire du dispositif qui nous rassurait un peu ?
15:24Je crois que l'entraînement a été quand même massif. Je pense ensuite qu'on a tiré parti de ce qui s'était passé et on a fait un retour d'expérience de tout ça.
15:38Aujourd'hui, je crois qu'on a un dispositif qui me semble peut-être plus unifié, mieux coordonné que ce qu'on a pu connaître dans des événements ou dans des JO précédents.
15:48On a quand même au début aussi des budgets assez conséquents.
15:52On parle de 17 millions d'euros ?
15:54C'est un peu plus, ça c'est le budget qui a été mis par l'Annecy, mais je crois qu'au total on est plutôt sur 25 millions, 5% du budget Haiti de l'ensemble.
16:00Sur la cybersécurité.
16:01Sur la cybersécurité, voilà. 25 millions sur la cybersécurité.
16:05On a aussi recours à des très bons spécialistes, à la fois avec Eviden pour la gestion du SOC, avec les technologies et la CTI de Cisco et de Talos.
16:18Donc on s'est donné les moyens.
16:21Après le sujet c'est la scalabilité, c'est ce qu'on disait, c'est-à-dire qu'il faut que le dispositif soit capable de réagir, de s'adapter aux incidents et aux événements qui vont être gérés.
16:31Et donc ces événements, si on a un afflux à un moment donné important, il faut que le dispositif puisse tout de suite monter en puissance.
16:39Donc je crois comprendre qu'il y a aussi une sorte de dispositif, non pas de secours, mais d'escalade qui a été rendu possible avec la mobilisation de forces de réserve quelque part,
16:49qui je pense est de nature à nous rassurer, je ne sais pas, mais à aborder en tout cas les jeux sans doute avec une certaine sérénité au bon sens du terme.
16:58Ce n'est pas du tout une... comment dire...
17:00Mais ce n'est pas une légèreté.
17:01Ce n'est pas une légèreté, mais c'est avec une forme de confiance qui fait qu'on s'est préparé, on a fait maximum.
17:06On sait qu'il y aura sans doute un certain nombre d'incidents comme il y en a malheureusement tous les jours.
17:10D'ailleurs à chaque événement, même pendant Roland-Garros...
17:13On sait qu'il y a des facteurs de risque, on les a listés, mais je pense qu'on fait le maximum.
17:21Donc pas de vacances dans la cybersécurité cette année ?
17:24Pas vraiment, un peu moins.
17:26En tout cas la plupart des... qu'on soit de près ou de loin, nous on a mis un processus d'astreinte, on s'est réparti pas mal de choses.
17:34Toutes les entreprises qui travaillent plus ou moins dans le domaine se préparent à ça, avec des processus différents,
17:38pour être prêtes à soit aider leurs clients, soit aider en tant que réserve, à donner un coup de main, autant que faire se peut.
17:43Il y a une mutualisation qui s'opère, et ça je crois que c'est quand même assez nouveau aussi dans notre...
17:49En tout cas oui, assez nouveau.
17:51On voit bien qu'on a un manque de compétences globalement, ça sort un peu de notre sujet, mais il y a quand même aussi ce thème.
17:56Et donc la capacité à travailler en réseau, et à faire en sorte que tous les gens qui savent faire du test d'intrusion,
18:01savent gérer un soc, qui font de l'intelligence, de la straight intel, puissent partager des infos,
18:08et travailler ensemble, et je pense que ça se développe.
18:10Et puis vu que ça perdure, après les jeux.
18:13Merci beaucoup Guillaume Tissier, je rappelle que vous êtes le directeur général de Forward Global,
18:17et François de Ruti, directeur des opérations chez Sequoia.

Recommandations