Cybersécurité et sport : protéger l'épine dorsale numérique des événements sportifs

Une contribution de Thomas Manierre, directeur France et EMEA Sud de BeyondTrust ;

La capitale accueillera cet été des milliers d’athlètes, les plus performants du monde entier. Dans le contexte actuel où les tensions géopolitiques mondiales sont fortes, la visibilité mondiale, les incitations financières, le symbolisme politique et la forte dépendance à l’égard des infrastructures numériques font des événements sportifs une cible attrayante pour un large éventail d’acteurs menaçants. Les systèmes et infrastructures informatiques qui soutiennent ces événements offrent une cyber-arène cachée, mais tout aussi compétitive, dans laquelle attaquants et défenseurs de la cybersécurité s’affrontent. Ici, contrairement aux épreuves sportives, il n’y a ni médaille ni deuxième place.

Les cybermenaces constatées lors des précédentes éditions

Le concept de risques de cybersécurité impactant les grands événements sportifs n’est pas nouveau. Tous les plus grands événements, de la Coupe du monde de football au Super Bowl, en passant par le cyclisme et le tennis, tous représentent des cibles lucratives pour les cyberattaques en raison de leur envergure mondiale, de leur impact économique et de leur dépendance aux technologies numériques pour différents aspects opérationnels.

Les cyberattaquants sont susceptibles de cibler les systèmes numériques de ces événements (c’est-à-dire les systèmes de billetterie et de notation) et les plateformes de gestion d’événements, les canaux d’engagement des fans, ainsi que les services de streaming en ligne et les réseaux de diffusion pour perturber les opérations ou voler des informations sensibles.

Lors de l’édition 2016 à Rio, le site web officiel de l’événement et celui de plusieurs associations qui y sont associées ont été victimes d’une attaque par déni de service distribué (DDoS) à grande échelle et soutenue qui a duré plusieurs mois. L’Agence mondiale antidopage a également été attaquée par des acteurs russes connus sous le nom de « Fancy Bear », qui ont utilisé une campagne de phishing pour accéder à une base de données de l’AMA et ont divulgué des informations confidentielles sur les médicaments utilisés par quarante et un athlètes ayant participé aux Jeux olympiques de Rio.

Lors de l’édition d’hiver 2018 à PyeongChang, une attaque de malware dirigée contre le comité d’organisation de Pyeongchang a supprimé l’accès à Internet et les émissions télévisées, cloué au sol les drones des diffuseurs, fermé le site Web de Pyeongchang 2018 et empêché les spectateurs d’imprimer leurs réservations et d’assister à la cérémonie.

A Tokyo, en 2021, les équipes de sécurité ont signalé 450 millions de tentatives de cyberattaques, notamment via des logiciels malveillants Emotet, l’usurpation d’e-mails, du phishing, des faux sites Web, des attaques contre les infrastructures critiques, des ransomwares, des attaques par déni de service distribué (DDoS) et des attaques sur le réseau 5G. Le nombre d’attaques était 2,5 fois supérieur à celui de l’édition de Londres en 2012.

Pourquoi les événements sportifs sont-ils une cible clé pour les cyberattaquants ?

On parle ici des événements mondiaux les plus regardés et les plus célébrés, qui offrent aux acteurs de cybermenaces de nombreuses opportunités pour réaliser leurs méfaits :

Une grande visibilité à travers le monde. Avec des millions de spectateurs, d’athlètes, de sponsors et une couverture médiatique du monde entier, toute perturbation ou compromission pendant l’événement peut attirer une attention significative, permettant aux acteurs menaçants d’acquérir une notoriété et de nombreuses opportunités de faire avancer leurs programmes.

De nombreux points de vulnérabilité. Ces événements représentent une entreprise logistique massive, impliquant des opérations complexes sur plusieurs sites, réseaux de transport, installations d’hébergement et plateformes numériques. Malgré des investissements importants en matière de sécurité, leur ampleur et leur complexité posent des défis inhérents au maintien d’une posture de sécurité solide. De nombreux points de vulnérabilité potentiels, notamment les lacunes ou faiblesses en matière de sécurité physique, de cybersécurité des infrastructures critiques et des systèmes numériques, de formation du personnel et de gestion de la chaîne d’approvisionnement, peuvent être exploités, permettant aux acteurs malveillants d’obtenir un accès non autorisé, de perturber les opérations ou de compromettre des données sensibles.

Des incitations financières. En tenant compte de la vente de billets, des droits de diffusion, des parrainages, des marchandises et des revenus touristiques, les évènements sportifs représentent une industrie de plusieurs milliards de dollars offrant de nombreuses opportunités aux acteurs malveillants de rechercher un gain financier (par exemple : fraude aux billets, marchandises contrefaites, attaques de ransomwares), ou vol d’informations financières sensibles auprès d’athlètes, de sponsors ou de participants).

Des perturbations politiques et idéologiques. Ces compétitions constituent une cible potentielle pour les acteurs malveillants ayant des motivations politiques ou idéologiques. Les acteurs étatiques, les groupes hacktivistes ou les organisations extrémistes peuvent chercher à perturber ou à saper l’événement pour faire avancer leurs programmes politiques, provoquer des tensions géopolitiques ou promouvoir leurs causes. Suite à la suspension de la Russie pour dopage d’État et à l’interdiction de World Athletics suite à l’invasion de l’Ukraine, l’événement a fait l’objet de lourdes attaques de la part d’acteurs menaçants russes cherchant à faire valoir des arguments politiques.

L’espionnage. La convergence d’athlètes, d’officiels, de dignitaires et de représentants des médias de divers pays et horizons offre une opportunité unique de collecte de renseignements et d’espionnage. Les auteurs de cybermenaces, y compris les groupes d’espionnage parrainés par l’État, peuvent cibler l’événement pour collecter des informations sensibles, effectuer une surveillance ou infiltrer des réseaux en vue d’opérations futures. En 2022, le FBI a exhorté les athlètes et les visiteurs à utiliser des téléphones temporaires lorsqu’ils assistent aux compétitions d’hiver de Pékin afin d’atténuer le risque d’applications malveillantes, d’outils de suivi ou de logiciels malveillants installés sur des appareils ayant accès à des données sensibles.

Alors que tous les regards sont tournés vers l’événement à venir, et que le volume et la sophistication des vecteurs de cyberattaques continuent d’augmenter, le risque qu’un incident de cybersécurité perturbe ce dernier est plus élevé que jamais. Il est impératif que toutes les personnes impliquées – des spectateurs aux organisations qui travaillent avec l’organisme en charge de l’événement – soient en état d’alerte et adaptent leurs défenses afin de pouvoir détecter, atténuer et répondre efficacement aux menaces émergentes à cette occasion.