Par Loïc Guézo
On s’intéresse de plus de plus aux impacts cybernétiques sur notre vie quotidienne : escroqueries, fuites de données, attaques de systèmes… L’actualité est là.
Mais n’oublions pas la nouvelle dépendance systémique « cyber » rampante qui est en train de se mettre en place… Prenons par exemple le déroulement des événements sportifs majeurs (Jeux Olympiques, Coupe du Monde de Football, de Rugby etc.) : les sécuriser est bien plus complexe que de sécuriser une organisation traditionnelle.
La raison majeure tient dans l’empilement et le chevauchement de responsabilité des nombreuses parties prenantes à la sécurité, sur une durée de vie très courte ! Il est par exemple très complexe de tracer les diagrammes de communication et schémas d’escalade ou prises de décision nécessaires en cas d’urgence. Les infrastructures concernées ici (physiques, mais aussi cyber) sont par ailleurs souvent réparties sur 3 niveaux géographiques (national, régional/municipal, lieu d’une rencontre) avec des organisations responsables, dont la maturité « cyber » est variable.
Une collaboration effective
Une des clés de réussite est donc d’assurer une collaboration effective entre ces sous-systèmes pour éviter tout effet négatif systémique redouté (par exemple : perte d’un service d’infrastructure essentiel paralysant l’ensemble des systèmes l’utilisant ou nécessitant de passer sur un mode dégradé, voire manuel, pour le compenser).
Master Design
Une approche recommandée consiste à définir le succès de ces événements avec des mesures spécifiques claires de succès : en d’autres mots, définir le « Master Design » de l’événement, en formant en tout premier lieu une équipe, essentielle, responsable de la gestion des risques associés : à charge pour elle d’identifier les scénarii de risques qui pourraient empêcher d’atteindre le succès de l’événement, tout en évitant cet écueil connu de travailler dans des silos d’expertise trop tôt (typiquement la cyber-sécurité).
S’il est crucial de maintenir une alimentation électrique tout au long de l’évènement, alors la question est « Que peut causer cet arrêt d’alimentation ? ». Lorsque tous les risques majeurs sont identifiés, on devra alors y inclure les aspects cyber (approche Top Down). Il n’est pas opportun de commencer par travailler sur des risques basés cyber : cela ne permet pas de garder cette appréciation d’ensemble des risques au bon niveau, actualisée.
Attention aux duplications
Du fait de l’évolution très rapide des technologies, mais aussi des Techniques Tactiques et Procédures des criminels, il n’est pas recommandé de copier et dupliquer les schémas des événements passés. Ces éléments peuvent bien sûr constituer une référence mais, étant donné les échelles de changement dans ce monde cyber, il est dangereux de s’en contenter ! A titre d’exemple, les prochains JO de Tokyo devront prendre en compte l’émergence de la 5G et de l’IoT, l’emploi des drones volants ou voitures autonomes, l’Intelligence Artificielle comme la présence de robots, entre autres, vue de 2018. Aucune de ces technologies n’existait pour Rio (2016) ni Sochi (2014). Tokyo (2020) sera donc une occurrence pleine de défis dans un contexte de volonté de promotion de la ville comme vitrine de ces mêmes technologies ; avec de nombreux cas “jamais vu avant” et risques associés inconnus. Ceci signifie clairement que, si l’équipe de Tokyo (2020) avait démarré avec un plan de sécurité copié sur celui de Londres (2012), alors elle aurait été à risque dans sa démarche : 8 ans sont une éternité au regard des technologies ou de la géopolitique. En effet, qui pouvait imaginer que le Royaume-Uni provoquerait le Brexit et que le Japon signerait le JEFTA avec l’Union Européenne ? De plus en plus de crimes ont désormais un volet cyber, direct ou simplement indirect.
Tokyo 2020
Le Japon a fait face à un retard en matière de cyber-sécurité : le gouvernement en a pris conscience et élaboré une stratégie nationale dès septembre 2015. Compte tenu de la menace croissante de cyberattaques lors de Pyeong Chang 2018 ou à l’approche de la Coupe du Monde 2019 de Rugby et des Jeux Olympiques de Tokyo 2020, le gouvernement japonais a donc fait de la cyber-sécurité une stratégie nationale. Il est important de se focaliser sur « qui » pourrait cibler ces jeux et « pourquoi ». Si le groupe malveillant a une grande motivation contre les JO ou le Japon lui-même, il ne sera vraisemblablement pas satisfait d’une simple attaque par déni de service contre les serveurs de l’organisation. Il pourra plutôt envisager de recourir à une approche plus sophistiquée, allant jusqu’à la destruction de systèmes physiques, qui pourrait ainsi, durablement dégrader l’image du pays hôte. Mais l’on doit, dès maintenant, craindre des intrusions informatiques contre le comité d’organisation ou les systèmes informatiques supports via des démarches de type Advanced Persistant Threat qui pourraient chercher à dérober des informations sensibles, clés pour attaquer la sécurité physique de l’événement en 2020… Les conséquences de ces APT ne seront pas uniquement dans la sphère cyber, mais au contraire dans le monde physique (avec toutes les conséquences de destruction que l’on peut imaginer). C’est pourquoi la cyber-sécurité ne doit surtout plus être traitée isolément.
PDCA vs OODA
Le cycle PDCA de gestion du risque reste important. Toutefois, il est désormais admis de choisir pour Tokyo 2020 une boucle OODA avec un Contrôle Commande (C2) sophistiqué. Le modèle PDCA est sûrement plus adapté à une défense périmétrique ou à un cycle de réponse/réaction long, alors que l’OODA semble mieux adapté à une défense se concentrant sur “qui attaque” en cherchant des signaux d’attaques faibles ou rapides pour cette boucle. Cette stratégie permet aux équipes sécurité d’avoir suffisamment de temps pour préparer au mieux la réponse à l’attaque qui vient.
Il s’agira donc de s’appuyer sur des systèmes de fusion de données qui collecteront et analyseront le maximum d’informations : ROSO, ROIM, ROEM, dont Dark Web mais aussi ROHUM… idéalement en temps réel pour être une bonne source de la boucle OODA. Et in fine, revisiter sous l’angle Cyber les points d’attention classiques dans une préparation de grand événement sportif : terrorisme (engin explosif IED, loup solitaire, attaque biochimique), trouble civils (activistes, manifestations), infrastructures (critiques nationales, transports…), criminalité (de rue, organisée, armée), véhicules autonomes ou drones, cybercriminalité, mais aussi qualité des transports, niveau de corruption, système de santé…
Horizon 2024
A 2 ans des Jeux de Tokyo, on peut d’ores et déjà constater les difficultés rencontrées par le Japon pour définir le Master Plan en temps et en heure. Des signes de pression budgétaire sont apparus dès fin 2017. Pour les Jeux de Paris 2024, il est donc temps de démarrer ce Master Plan qui nécessite des mesures clés de succès, préservant le temps nécessaire à la préparation de la gestion des risques associés (dans un budget maîtrisé, avec des échéances claires et donc une structure de gestion de projet adaptée). Ce travail fait pour Tokyo 2020 doit servir de socle pour Paris 2024 dans le cadre du nouveau dialogue bilatéral cyber signé le 12 juin à Tokyo. A coup sûr la Cyber-sécurité y est au 1er plan !