“Sur la période des Jeux Olympiques, nous avons reçu 850 tickets d’incidents cyber”, Benoît Delpierre (Eviden)

L’Usine Digitale : De quoi vous occupez-vous chez Eviden ? Quelle était l’étendue de vos missions lors des Jeux Olympiques de Paris ?

Benoît Delpierre : Je suis CTO pour Eviden cyber France, division d'Atos qui regroupe les activités de cybersécurité et de cyber-services, même si en parallèle nous avons des activités de développement de produits. Je m’occupe de la partie cyber-services. Pendant les Jeux Olympiques, j'étais responsable des équipes opérationnelles Eviden au sein du Security Operations Center (SOC) de Paris 2024. Nous étions dans le bâtiment “Le Pulse”, à Saint-Denis, où il y avait le Technology Operations Center (TOC), regroupant toutes les activités IT et métiers permettant de délivrer les épreuves. Toute initiation ou initialisation d’un événement ou d’une analyse devait passer par nous pour gérer les activités cyber entre les différentes personnes.

À quand remonte la collaboration entre Atos et les Jeux Olympiques ?

Atos est sponsor des Jeux Olympiques depuis environ 35 ans. Et nous, chez Eviden, pour la première fois, nous étions sponsors de la cybersécurité. C’est la première fois que l’on se retrouve dans cette position de devoir gérer l'entièreté de la cybersécurité des Jeux Olympiques, car à Tokyo, il y avait différents fournisseurs.

Comment sécurise-t-on, en amont, un tel événement ? Quels tests ont été réalisés ?

Quand je suis arrivé il y a trois ans chez Paris 2024, au Comité d'organisation des Jeux olympiques et Paralympiques (Cojop), l'équipe de cybersécurité était constituée de trois personnes. Nous avons défini ensemble la stratégie, en choisissant les solutions de cybersécurité qu'il fallait mettre en place, avant de les intégrer. Après leur intégration, nous sommes rentrés dans un modèle opérationnel. Parce que les opérations côté cybersécurité, ce n'était pas seulement protéger la période des Jeux, mais c'était aussi de protéger l'organisation Paris 2024, qui est une société à part entière avec différents systèmes à faire fonctionner.

Ensuite, nous avons fait des tests. C’est la phase la plus importante d'un point de vue cyber. Il y a différents types de tests. Nous avons testé les applications de Paris 2024 avec des programmes de bug bounty, des programmes managés. Il est important d'avoir des programmes managés en bug bounty parce que cela nous permet d'améliorer une communauté de “hackers éthiques” triés sur le volet, plutôt efficaces et qui remontent les bonnes informations. En parallèle, nous avons réalisé des tests d'intrusion (pentests) sur les applications. La stratégie n'est pas de mettre des applications dans un programme de bug bounty sans avoir fait de pentests avant, au risque de se retrouver avec un nombre trop important de vulnérabilités à gérer.

Pendant plus d'un an, jusqu'à la veille des Jeux, nous avons fait des exercices avec des équipes de red teaming et de prestataires externes pour tester nos technologies. Ces équipes étaient là pour tester s'il y avait une faille, une entrée possible à tel endroit, en surface exposée. Elles ont réalisé des rapports d'audit pour que nous prenions en considération les vulnérabilités identifiées.

Pour le dernier test, il y a eu deux phases, organisées par les équipes technologiques de Paris 2024. Nous étions au SOC avec les membres des équipes opérationnelles, comme s’il s’agissait des Jeux. Des personnes venaient jouer des scénarios, soit fictifs, soit réels. Le but était de se mettre en situation, sous pression. Nous testions les humains, leur expertise et leur réactivité sous stress, pour voir si l’on appliquait bien les procédures et s'il y avait des choses à améliorer. Sur la deuxième phase, réalisée en mai, 1800 scénarios ont été testés.

Pouvez-vous donner un exemple de scénario ?

Une personne peut arriver le matin et dire : ‘Vous avez 95% de votre système d'information qui est chiffré par un ransomware’. Nous essayons ensuite de mettre en place toute notre réaction, de voir comment nous devons traiter ça. Au bout d'une demi-heure, la personne peut revenir avec un nouveau scénario. Une demi-heure plus tard, il peut y avoir un vol de PC, puis la réception d’un mail de phishing, etc... Cela s'enchaîne pendant huit heures, pendant toute une semaine.

Avant les Jeux, quels étaient les types d’attaques que vous redoutiez le plus ? Et qu’en a-t-il été pendant l’événement ?

Il y a toujours les classiques attaques par déni de service (DDOS), car ce sont des attaques simples pour le commun des mortels, peu importe la qualification cyber. C'est une technique très utilisée pour ceux qui ont de la maturité, parce qu'elle complexifie les attaques. De grands acteurs pouvaient être touchés malgré leur protection. Ce type d’attaques permet aussi de faire de la reconnaissance. Nous avons vécu des situations de DDOS à différents moments, avec une augmentation de ces attaques pendant la cérémonie d'ouverture. Les technologies anti-DDOS ont joué leur rôle : nous avons réussi à les contenir, n’avons pas été impactés, et n’avons pas généré trop de bruit pour nos équipes.

Après, il y a toujours les attaques classiques de phishing. Il y a eu un gros effort de Paris 2024 pour l’entraînement et la sensibilisation aux campagnes de phishing auprès de leurs équipes. Il y a aussi tout ce qui relève des fraudes à la fausse billetterie. Nos équipes de Threat Intelligence ont recherché, au travers de mots-clés, des sites de billetterie qui se montaient.

Enfin, nous étions sur un environnement très cloud, avec des espaces SaaS, très applicatifs. S’il y a une chose à surveiller, ce sont les identités. Nous avons beaucoup travaillé sur la protection des identités. Si nos équipes de Threat Intelligence retrouvaient une fuite de comptes potentiels sur le deep ou le dark web, en associant cela à nos partenaires ou notre domaine, nous regardions tout de suite quelles actions nous devions prendre sur les comptes.

Avez-vous observé d’autres incidents en dehors de ces attaques ?

Nous avons vu arriver tout ce que nous anticipions. Il y a eu aussi des postes de travail perdus. Nous avions senti les choses arriver, au moment où un employé de la mairie de Paris s’était fait voler sa sacoche dans un train. Au final, cela n'avait rien à voir avec notre environnement. Mais nous nous sommes rendu compte que cela pouvait avoir un impact. Nous avions anticipé, et ça nous est arrivé, même si parfois, il peut s’agir de faux positifs. Nous avions un workflow d'orchestration qui nous permettait de répondre à des postes de travail volés, parce que cela reste une source importante de menaces. Sur les campagnes de phishing, nous avons observé une augmentation pendant la période des Jeux, notamment sur la détection de charges malveillantes dans les différents échanges.

Pouvez-vous nous expliquer comment ont été comptabilisés les incidents et tentatives d’attaques pendant les Jeux ? De nombreux chiffres différents sont sortis…

Fin juillet, Gabriel Attal a annoncé que 68 cyberattaques avaient été détectées et déjouées. Ensuite, l’Anssi a annoncé que plus de 140 événements de cybersécurité avérés avaient été signalés. Ce qu’il faut voir, c’est que nous avions tous des périmètres. Lorsque les systèmes IT du Grand Palais ont été attaqués, cela rentre dans ce type de chiffres, mais ce n’est pas le système IT qui a servi à délivrer des épreuves pour les Jeux, ce n’est donc pas dans notre périmètre.

Et pour votre périmètre, avez-vous un chiffre à nous communiquer ?

Lors des Jeux Olympiques de Tokyo, 4 milliards d’événements avaient été repérés. Ce sont bien des événements, et non des incidents. Derrière les événements, ce sont des logs, 4 milliards de logs reçus de leurs technologies. Nous, pendant la période des Jeux, nous étions à plus de 50 milliards. Mais il faut mettre ça en rapport avec le nombre de technologies IT et cyber intégrées. Si l’on dispose de 50 applications avec 50 types de DDOS en face, il y aura beaucoup plus d’événements que deux applications avec deux solutions de DDOS.

Ensuite, sur notre ITSM [solution de gestion des services informatiques, NDLR], nous avons reçu sur la période des Jeux 850 tickets d’incidents, sur lesquels nous devions réaliser des analyses. Il y a donc des actions à prendre sur 850 suspicions. À la fin, nous avons eu zéro impact opérationnel cyber sur les Jeux.

Parmi ces 850 tickets, il y a des niveaux de criticité bas, moyens et élevés. Le bon sens dirait : ‘Moi, ce qui m’intéresse, ce sont les niveaux élevés.’ Or par expérience, de ce que nous avons observé avec l'écosystème cyber et le Threat Intelligence, c’est que les attaques arrivent par un signal faible. Cela arrive par quelque chose d'assez classique, le type d'événement que reçu 10 fois par jour. Et puis au milieu de ces dix fois, un attaquant peut réussir à rentrer. Nous nous sommes donc attelés à avoir le même type d'analyses sur le niveau de criticité élevé, que sur le niveau moyen, que sur le bas niveau, et surtout sur le bas niveau.

Pour les prochains Jeux, Atos ne sera plus en charge de l’informatique et sera remplacé par Deloitte. Avez-vous prévu d’assurer la sécurité d’autres grands événements ?

Atos est toujours le partenaire informatique de l’UEFA. Maintenant, nous ne ferons plus les Jeux Olympiques, c’est difficile de faire pareil étant donné qu’il s’agit du premier événement sportif au monde. Néanmoins, il y a une double-échéance pour nous. Nous souhaitons laisser un héritage à la communauté cyber en France. Nous travaillons donc sur des retours d'expérience en termes de technologie, de façon de collaborer, d'expertise. Il y a aussi ce que nous voulons léguer à nos futurs collègues de Los Angeles 2028. Nous ne sommes pas dans l’esprit de dire que l’on travaille pour telle ou telle société, le but étant de laisser quelque chose aux prochaines éditions.