« Aucun angle mort »
À un peu plus d’une semaine de la cérémonie d’ouverture des Jeux olympiques et paralympiques, l’ANSSI nous a communiqué son état des lieux. L’agence est revenue sur ses préparations et s’est dit « confiante ».
Les Jeux olympiques et paralympiques sont sous haute surveillance. Comme tout évènement très médiatisé, il attirera les acteurs malveillants de tous horizons. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) s’attend à tous types d’attaques. Les différentes catégories sont les mêmes que celles récemment abordées dans ses recommandations pour les données sensibles dans le cloud : attaques étatiques, cybercriminalité et hacktivisme.
« En termes de menaces, on sait que des choses vont se produire pendant les jeux », nous a indiqué l’ANSSI. L’agence ne s’attend pas à un ciblage particulier des entités impliquées dans les JOP 2024, mais y voit une opportunité pour les acteurs de la menace et un élargissement de la « pêche au chalut ».
Hacktivisme et communication
L’un des aspects abordés l’agence concerne la communication, particulièrement les hacktivistes : « Ils sont là pour faire du bruit et vont profiter de la grande visibilité pendant les Jeux olympiques. Ils ne font pas des choses très graves. Il s’agit souvent de déni de service, sans effet destructeur. Pendant ce genre d’évènement, ça fait du bruit. Mais ces groupes sont de très bons communicants. Plusieurs ont déjà annoncé leur intention de déclencher des actions. On ne donne pas de noms, pour ne pas leur faire de publicité ».
« Certains sont même déjà à l’œuvre », a ajouté l’ANSSI. « On constate de petits DDoS, sans gravité. Mais on ne crie pas victoire pour autant ». D’autant que des attaques plus sérieuses peuvent survenir, plus ciblées, avec des malwares et autres techniques. L’ANSSI s’attend également à ce que des acteurs étatiques se manifestent.
Sur la communication, l’ANSSI affirme qu’elle fera preuve d’autant de transparence que possible. Elle livrera les informations quand elle les aura et ses équipes se tiendront prêtes à répondre aux questions. Comme toujours, les éléments ne seront pas tous disponibles au départ.
L’agence est « confiante »
L’ANSSI est sûre d’elle. Elle sait que l’attention sera braquée sur ses capacités pendant toute la durée des JOP. Et pour cause : « L’ANSSI s’est préparée, avec des mesures supplémentaires et pour réagir aussi vite que possible. On a fait tout ce qu’on avait prévu de faire ».
L’agence est finalement allée au-delà de ce qu’elle avait prévue. En février, elle indiquait ainsi avoir identifié 300 entités à accompagner dans la préparation pour les JOP, qui a commencé il y a plus de deux ans. On sait maintenant que ce chiffre dépasse 500. Le nombre d’entités critiques n’a pas changé (80), mais l’agence a évoqué dix entités ayant bénéficié d’un accompagnement intense et personnalisé. Aucun nom n’a été cité.
L’ANSSI s’est également présentée comme « chef d’orchestre » de la sécurité informatique pendant les JOP 2024. Elle travaille avec un officier de liaison de Paris 2024 et est en lien avec le CNCS (Centre national de commandement stratégique). Les équipes ont été renforcées pour l’occasion, avec 630 agents « pleinement mobilisés ».
« Même des agents dont ce n’est pas métier à la base ont reçu une formation spécifique. Nous sommes conscients que les regards seront braqués sur nous, surtout face à des acteurs qui sont de bons communicants », nous a indiqué l’agence. Elle ajoute que la Coupe du monde de rugby a d’ailleurs été un bon entrainement. Aujourd’hui, la situation semble claire : « Aucun angle mort n’a été identifié ».
Les JOP sont une occasion
Nous avons demandé à l’ANSSI des précisions sur la préparation des entités : s’agissait-il d’un processus spécifique aux Jeux olympiques et paralympiques ? Ou l’agence visait-elle plus loin, en profitant de l’occasion pour instaurer des processus pérennes, surtout au regard de cadres réglementaires en préparation, comme la transposition de la directe européenne NIS 2 ?
C’est bien la deuxième solution : « Oui, les travaux ont été faits dans la perspective des JOP. Mais ce qu’on a fait avec eux, sur les compétences et la manière de communiquer avec l’ANSSI, va plus loin. Beaucoup d’entités travaillaient régulièrement avec l’ANSSI, mais pas d’autres, notamment des hôpitaux. Tout ce qu’on a mis en place servira plus tard ».
L’agence ajoute que « des kits d’entrainement ont été distribués aux entités. Elles pourront les déployer chez eux, pour qu’ils s’entrainent chez eux, en lien ou pas avec l’ANSSI. Tout cela participe au passage à l’échelle ».
L’agence compte-t-elle sur ces entités préparées pour « évangéliser » d’autres structures ? Pas vraiment, nous répond-elle : « Pour nous, ce qui compte, ce sont les retours d’expérience. Avec les entités, avec l’État, en interne, pour voir ce qui a fonctionné ou pas ».