Cybersécurité des grands événements
Tirer des leçons des Jeux de Paris
La cybersécurité est un réel défi pour les individus et les organisations, et ce peu importe l’ampleur de leurs activités numériques. Il est dès lors facile d’imaginer l’immense vulnérabilité de grands événements mondiaux comme les Jeux olympiques et paralympiques de Paris 2024, alors que la quantité de personnes, le type de menaces et la variété de risques fracassaient des records. Une équipe de recherche de l’UdeS a saisi cette occasion extraordinaire afin de mener des travaux d’envergure qui pourraient très bien changer les règles du jeu pour de futurs événements d’envergure.
Depuis l’automne 2023, Sylvana Al Baba Douaihy, Hugo Loiseau et Pierre Martin Tardif, tous trois personnes chercheuses au Centre de recherche interdisciplinaire en cybersécurité de l’Université de Sherbrooke (CRICUS) ont fait converger leurs expertises respectives en relations internationales, en sciences politiques et en cybersécurité, au service d’une cause aux retombées mondiales.
Hypermédiatisés, les Jeux olympiques engendrent une concentration paroxysmique de l'attention mondiale, qui attise la malveillance de groupes criminels, terroristes ou d’États. Lors des Jeux de Londres en 2012, il y a eu 212 millions de cyberattaques; à Rio en 2016, 510 millions; à Tokyo en 2021, 4,4 milliards.
« Pour Paris 2024, on n'a pas encore le total, mais c'est une courbe qui monte et qui monte… », soutient le professeur Hugo Loiseau.
Des menaces tous azimuts aux visées souvent idéologiques ou politiques
Ces menaces sont bien réelles même si elles utilisent le cyberespace. Elles planent sur les systèmes de gestion des Jeux comme les accréditations des athlètes, des entraîneurs, des bénévoles ou les systèmes de diffusion. Les cybercriminels peuvent pirater les informations servant aux commentateurs et commentatrices en falsifiant les résultats et les statistiques, ou encore bousiller le chronométrage des épreuves et son affichage dans les stades. Le système antidopage peut aussi être attaqué dans un but de vengeance ou autre. Bien sûr, les données personnelles des athlètes, des entraineurs et des spectateurs sont attrayantes, comme l'accès physique au site, la billetterie, les codes QR. Et puisque tout est interconnecté, les vulnérabilités potentielles sont pratiquement infinies.
Les Jeux olympiques sont un écosystème, mais qui n’est pas déconnecté de tout le reste, comme le transport pour se rendre aux Jeux, la nourriture, les services d'urgence et toutes les télécoms aussi qui peuvent être une cible d'attaque.
Professeur Pierre Martin Tardif
L’objectif des cyberattaques des grands événements? Il n’est pas nécessairement pécuniaire. Les enjeux peuvent être d’ordre idéologique ou politique. Par exemple, on pourrait interrompre la diffusion des Jeux pour passer un message politique ou s’attaquer à l’intégrité des résultats pour faire gagner une médaille à un État.
Sur le plan politique, tout est possible, puisque les JO sont une réunion des États, des puissances. Les cybercriminels ou même des États qui commanditent les attaques veulent perturber les activités normales. Cette perturbation touche essentiellement les trois piliers de la cybersécurité : la disponibilité, l’intégrité et la confidentialité.
Professeur Hugo Loiseau
Les Jeux de Paris ont eu lieu dans un contexte de forte tension internationale entre l’absence de la Russie et la présence contestée d’Israël. Des actes de rétorsion et de cyberattaques, à l’instar des attaques de Malware Olympic Destroyer aux JO d’hiver de Pyeongchang en 2018 qui ont fait des ravages en direct, auraient pu se produire. Des menaces internes pesaient également sur l’organisation des JO en raison d’un climat social tendu et d’une défiance dans les institutions.
Sylvana Al Baba Douaihy, chercheuse
Un écosystème plus vulnérable
L’équipe de recherche observe que la littérature scientifique ne fait pas la différence entre la cybersécurité organisationnelle et celle des grands événements. Il y a pourtant une grande différence entre les deux. « Dans un contexte de grand événement, on est dans un calendrier comprimé, avec une phase de préparation, puis une montée en puissance qui fait que l’organisation est extrêmement dépendante de tout l’écosystème qui l’entoure et des personnes embauchées ou bénévoles, qui doivent rendre un livrable dans des lieux et un temps bien précis, avec une pression qui augmente jusqu’à l’événement », explique le professeur Loiseau.
Ça change beaucoup les ressources qu’on peut consacrer, les pratiques et les politiques qu’on peut mettre en œuvre. C’est une question de gouvernance à plusieurs niveaux. L’organisation arrive avec le produit Jeux Olympiques et elle doit s’adapter à la ville hôte, au site, à l’État, au contexte.
Professeur Hugo Loiseau
En plus, on se bute souvent à des réticences quant à la transmission du savoir. « La cybersécurité, c’est délicat à manipuler. Les Japonais, par exemple, étaient très réticents à transmettre des exemples des cyberattaques subies lors des Jeux de Tokyo. C’est une question de réputation », déplore le professeur Loiseau.
Dans un monde réel
Contre toute attente, durant les Jeux de Paris, rien ne s’est produit de grave, selon le Bilan cyber des Jeux Olympiques et Paralympiques de Paris 2024 publié en septembre. L’explication réside peut-être justement dans le climat très tendu et les craintes largement diffusées avant les Jeux, qui ont obligé la France à prendre des mesures extraordinaires, selon l’équipe de recherche de l’UdeS.
Pierre-Martin Tardif et Sylvana Al Baba Douaihy étaient sur place à Paris avant et pendant les Jeux pour observer sur le terrain les enjeux de cybersécurité.
Ce fut une expérience enrichissante. Après trois missions sur le terrain et plusieurs heures d’entrevues pour comprendre l’organisation cyber des JO, notre présence avant et pendant nous a permis d’observer les défis et les enjeux surtout humains de l’intégration des différents prestataires de services au Centre d’opération technologique. La réussite de l’événement a été possible du fait que l’ensemble de ces prestataires et l’écosystème avaient un but commun, la livraison des JO dans le temps olympique.
Professeure Sylvana Al Baba Douaihy
« Ça fait une différence d’être sur place. La cybersécurité, c’est technologique, mais en réalité, c’est une affaire d’individus, de gouvernance, de relationnel, de confiance, de compétences, de comportements. Je n’ai jamais vu Paris aussi tranquille, mais je n’y ai jamais vu non plus autant de militaires armés et de policiers », témoigne le professeur Tardif.
C’est un continuum en ligne et hors ligne, mais aussi technologique et social. Les JO sont une occasion idéale pour l’observer concrètement, pour l’expliquer et l’illustrer.
Professeur Pierre Martin Tardif
Coordonner des êtres humains
L’un des grands constats de l’équipe, c'est l’importance de la coordination générale, notamment celle entre le Comité international olympique (CIO) et le Comité organisateur des Jeux olympiques ainsi que la ville et l’État hôtes.
Cette coordination de la cybersécurité se fait justement avec des êtres humains. Ça s'est très bien déroulé parce qu’il y avait une bonne collaboration. Mais dans un milieu où la collaboration est plus difficile qu’il y a ce qu'on appelle la « guerre des polices », il y a de la méfiance, qui crée des failles et plusieurs vulnérabilités.
Professeur Hugo Loiseau
« En virtuel, il n’y a pas de frontières, alors comment établir où commence et où s’arrêtent les rôles, les responsabilités, les compétences de chacun? », se demande le professeur Tardif.
Quand le CIO arrive, et c'est comme s’il y avait un État d'exception sur le plan physique dont il prend le contrôle et dans lequel l'État hôte ne peut plus vraiment agir. Donc juste de tenir le grand événement avec cette coordination qui doit être optimale pour propulser la cybersécurité, c'est un enjeu.
Professeur Hugo Loiseau
À partir de toutes les données recueillies et de leur analyse, l’équipe souhaite publier les bonnes pratiques et les leçons retenues afin que l’organisation des JO de Los Angeles en 2028 ou toute autre organisation de grand événement, comme une Coupe du monde ou un méga spectacle, soient mieux outillées.
Après avoir étudié le plus grand événement au monde, l’équipe souhaite aussi faire une mise à l’échelle pour ramener les bonnes pratiques dans une perspective d’événements de moindre envergure.
Et au-delà des grands constats, l’équipe de recherche s’apprête à dévoiler des résultats beaucoup plus précis qu’elle souhaite garder secrets pour l’instant en vue de publications scientifiques dans quelques mois. Une question de cybersécurité, peut-être?
Cette recherche est financée par le Fonds Émérillon de la Commission permanente de coopération franco-québécoise du ministère des Relations internationales et de la Francophonie du Québec et par l’Observatoire international sur les impacts sociétaux de l’IA et du numérique (OBVIA). L’équipe de recherche est composée de Sylvana Al Baba Douaihy, Ph. D. chercheuse postdoctorale au CRICUS, Hugo Loiseau, professeur titulaire à l’École de politique appliquée de l’UdeS et Pierre Martin Tardif, professeur agrégé à l’École de gestion de l’UdeS.