Cybersécurité à Paris : comment conserver l'héritage des JO
A bientôt six mois de la fin des Jeux olympiques de Paris, tous les acteurs de la sécurité et de la cybersécurité nationaux n'ont qu'un souhait : pérenniser la synergie créée entre eux à l'occasion des JO. Le secrétaire général de la défense Stéphane Bouillon confiait même lors d'un événement en décembre qu'une "stratégie nationale cyber adoptée par un conseil de défense" avait pour objectif de "tirer les leçons des Jeux olympiques en matière de gouvernance, d'investissements, d'éducation du public et des entreprises privées ou encore en termes de coopération internationale".
Pour le lieutenant-colonel Sophie Lambert, adjointe à la division de la connaissance, de l'anticipation et de la gestion de crise du COMCYBER-MI, il s'agit désormais de "rester collectif, de continuer à travailler ensemble". Elle insiste sur le partage "naturel" d'informations entre entités publiques et privées constaté pour les JO.
Laurent Nunes, le Préfet de Police de Paris, n'est pas en reste. Pour lui, "il y a eu un cercle de réflexion, de décision qui a été élargi : c'est un héritage qu'il faut garder pour l'avenir, que la préfecture ne reste pas enfermée sur elle-même (…) ce mode de travail là est à conserver, ce ne sera pas facile, il va falloir qu'on s'y astreigne (…), ce que nous a demandé le ministre de l'Intérieur".
Rembobinons. Dès décembre 2022, un conseiller sécurité numérique est désigné au sein de la Préfecture de police parisienne. Son nom : Nicolas Moreau. Sa mission : réorganiser les départements pour assurer la continuité de service et faire travailler les différents fonctionnaires ensemble. Il commence par demander à la quinzaine de directions de la préfecture de lui nommer un correspondant. La désignation de ses interlocuteurs exclusifs, même s'ils n'ont "aucune idée du risque cyber, a été le début d'un fonctionnement efficace", explique Nicolas Moreau. S'ensuivent des rapprochements avec l'ensemble des acteurs des JO : policiers, BRI, GIGN, pompiers de Paris, taxis fluviaux, RATP, SNCF… "Il fallait que nous parlions la même langue.".
Un langage commun qui se traduit techniquement. Une liste des systèmes d'information nécessaires aux missions essentielles et une pour identifier les indispensables SI de supports sont soigneusement dressées. Les autres SI sont tout simplement "gelés" voire éteints à l'approche des JOP.
La navigation sur Internet est limitée. L'authentification par double facteur, peu usitée, devient obligatoire pour chaque membre de la préfecture. Et plus de 40 audits de sécurité sont menés sur les missions essentielles, "un excellent moyen de sensibilisation", remarque Nicolas Moreau, qui encourage les exercices de crise pour tester la capacité de réponse face à des cyberattaques. Détail qui n'en est pas un : des accréditations pour les différents sites des JOP ont été demandées pour les personnels d'astreinte informatique, dont la présence a été intensifiée pour l'occasion.
Les 400 000 QR Codes délivrés par la PPP aux personnes ayant besoin de se rendre dans les zones grises (pour y travailler ou rejoindre son domicile) a été l'un des points cruciaux de ces JO. La crainte était très forte que des terroristes arrivent à en obtenir. Finalement, plus de peur que de mal. Les augures prédisaient une intensité de la menace dix à douze fois plus élevées qu'aux JO de Tokyo, lesquels ont indiqué avoir subi 4 milliards de tentatives de cyberattaques. A Paris, "il y a eu des tentatives", indique Le préfet Laurent Nunes lors de son audition devant la Commission des Lois de l'Assemblée nationale, le 25 septembre dernier.
"Nous avons arrêté toutes les attaques cyber très tôt," confie un expert du secteur, "sans savoir qui attaquait, puisqu'on stoppait toute tentative. Ce qui a été un peu frustrant, je le confesse. Le cauchemar était que toutes les attaques se produisent en même temps ".
Au total, 548 événements de cybersécurité sur des entités liées au JOP ont été recensé par l'Anssi, entre le 8 mai et le 8 septembre 2024. La moitié correspondait à des attaques en déni de service. "Ce ne sont pas les plus graves", estime Stéphane Bouillon, "il y a eu beaucoup d'attaques que nous avons réussi à déceler à temps et à contrer".
Tous les acteurs de la cybersécurité française sont donc unanimes : il ne faut pas relâcher l'effort. Mais entre les mutations internes et la mise en adéquation des moyens financiers, la tâche s'annonce rude.