Les Jeux olympiques et paralympiques de Paris 2024 visent à être d’une envergure impressionnante. Cependant, la sécurisation de ces ambitions est un défi majeur. À deux ans de l’ouverture des Jeux, les chiffres sont vertigineux : un budget de 7,3 milliards d’euros, la vente de 13,4 millions de billets, l’attente de 600 000 spectateurs pour la cérémonie d’ouverture le long des quais de la Seine, et près de 40 sites répartis en Île-de-France et en régions. Et le risque cyber est omniprésent. La billetterie, les données personnelles, les systèmes de diffusion vidéo et de surveillance sont autant de cibles potentielles d’attaques informatiques qui doivent être anticipées.
En 2016, les organisateurs des Jeux olympiques de Rio ont enregistré environ un demi-milliard d’attaques informatiques, soit 400 par seconde. Quatre ans plus tard, à Tokyo, ce nombre a atteint 815 attaques par seconde. Interrogé par l’AFP, le président du comité d’organisation des JO 2024, Tony Estanguet, confirme : “Nous ne doutons pas que nous serons constamment attaqués… Il ne doit y avoir aucune faille dans aucun aspect, que ce soit parmi les collaborateurs, les logiciels ou l’écosystème.”
La menace cyber est multiple. Dans un rapport publié en 2021, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui joue un rôle majeur dans la sécurité informatique des Jeux de Paris, dresse un panorama de ces menaces : elles peuvent être d’origine étatique, cybercriminelle, cyberterroriste ou activiste. Et selon Bertrand Le Gorgeu, coordinateur sectoriel pour les grands événements sportifs à l’ANSSI, “la menace étatique est de loin la plus dangereuse”.
Afin d’éviter un nouveau fiasco similaire à la finale de la Coupe de la Ligue 2022 au Stade de France, tous les services de sécurité et de prévention relevant du ministère de l’Intérieur sont mobilisés. Plus d’une dizaine de services sont impliqués dans l’élaboration de la stratégie de cybersécurité des Jeux olympiques de Paris, placés sous la responsabilité du délégué interministériel aux JOP et de l’instance de coordination nationale pour la sécurité des Jeux olympiques et paralympiques 2024.
Cependant, selon une source ministérielle au sein de la délégation chargée de superviser les expérimentations des outils de cybersécurité, les débuts ont été marqués par de nombreux incidents. Notre source explique qu’il y a eu des frictions et qu’un grand nombre d’acteurs étaient absents des discussions jusqu’en juin. De plus, le ministère n’avait pas encore diffusé tous les appels à manifestation d’intérêt aux industriels.
Un expert en cybersécurité et renseignement en sources ouvertes, chargé de mission auprès du ministère, ajoute qu’il y a une certaine compétition entre les services du ministère de l’Intérieur. Chacun a ses propres méthodes et besoins, et tous ne sont pas au même niveau en matière de cybersécurité. Des ajustements ont donc dû être effectués.
Lors d’une réunion olympique convoquée le lundi 25 juillet à l’Élysée par le président Emmanuel Macron, en présence d’une dizaine de ministres, des préfets de police d’Île-de-France et du président du comité d’organisation des Jeux olympiques, Tony Estanguet, la chaîne de commandement a été clarifiée. Désormais, la sécurité de l’événement est placée sous la responsabilité du ministère de l’Intérieur.
La phase d’expérimentation des technologies de cybersécurité a débuté en avril dernier et est placée sous le contrôle de la direction ministérielle aux partenariats, aux stratégies et aux innovations de sécurité. La filière industrielle s’est préparée en conséquence, avec la mise en place de comités industriels pour répondre aux appels à manifestation d’intérêt lancés par le gouvernement dans le cadre de la stratégie globale de lutte contre les menaces cyber soutenue par le ministère de l’Intérieur. Cette phase d’expérimentation devrait se terminer en décembre 2022. Un rapport sera ensuite transmis aux autorités afin de procéder à l’acquisition des technologies retenues.
Il est crucial de respecter les délais pour deux raisons : d’une part, les industriels bénéficient d’une indemnisation financière pour leur participation aux expérimentations, qui prendra fin le 31 décembre. D’autre part, à partir de janvier 2023, l’État pourra acquérir les technologies sélectionnées, ce qui permettra de les tester à grande échelle lors de nombreux événements sportifs et culturels (comme la Coupe du monde de rugby 2023) qui se dérouleront jusqu’au lancement des Jeux olympiques de Paris, prévu pour le 26 juillet 2024.
Selon une source interne au ministère de l’Intérieur citée par Slate, dans l’ensemble, toutes les expérimentations devraient être terminées dans les délais. Cependant, les contraintes des différents services entraînent des ralentissements. Les congés d’été, les nombreux événements sportifs et culturels de cette période, ainsi que la rentrée sociale à venir, font craindre une baisse de motivation des acteurs impliqués.
Les Jeux olympiques de Paris doivent être une opportunité pour la France de devenir un acteur majeur dans le domaine de la cybersécurité et de la sécurité numérique, en devenant “une filière d’avenir”. Malgré la présence de plusieurs acteurs internationaux dans l’organisation de ces Jeux, tels que l’américain Cisco ou le géant chinois Alibaba, le ministère assure que “aucune technologie américaine ou israélienne ne sera sélectionnée”. Les entreprises françaises seront privilégiées, avec un objectif d’au moins 30% de PME.
Dans le cadre du plan de relance gouvernemental, une enveloppe de 20 millions d’euros a été allouée par le ministère de l’Économie (Bercy). Cependant, la Cour des comptes exprime ses inquiétudes. Dans son rapport provisoire de 76 pages, révélé par Le Canard enchaîné début juillet, la Cour des comptes renouvelle ses avertissements. Elle souligne une nouvelle fois qu’il est “impératif” d’accélérer le rythme pour relever le “défi considérable en matière de sécurité” que représentent ces “menaces protéiformes”.
La version définitive de ce document, qui a récemment été transmise aux autorités, sera publiée d’ici la fin de l’année et comprendra les réponses des différentes parties impliquées dans l’organisation. Cependant, selon les médias qui ont pu le consulter, il souligne déjà les enjeux considérables d’un tel événement. La question de la sécurité demeure donc un sujet sensible pour les Jeux olympiques de Paris 2024, pour lesquels il faudrait mobiliser entre 22 000 et 33 000 agents par jour, selon les estimations de la Cour des comptes.