“Le marché de cybercriminalité est 1,5 fois plus important que le marché de la contrefaçon et 3 fois plus important que le trafic de drogue”, assène Benoît Delpierre. Et pour cause, de nombreuses typologies d’acteurs se retrouvent dans la cybercriminalité. Certains sont sponsorisés par des États, d’autres veulent profiter de l’écho des grands événements pour défendre leurs causes politiques ou idéologiques et enfin, il y a les criminels stricto sensu.
Par rapport aux Jeux Olympiques de Tokyo en 2021, dix fois plus de cyberincidents sont ainsi redoutés pour Paris 2024.
Dans la cybersécurité, l’anticipation est indispensable. La notion de temps court des JO change tout par rapport à la cybersécurité d’une entreprise qui se construit petit à petit. Nous essayons d’éviter l’effet Star Wars, quand on est dans le faucon millenium et que tous les boutons clignotent.
Benoît Delpierre, CTO D'Eviden
Bug Bounty et tests continus
Alors, pour protéger les JOP, les différents acteurs de la cybersécurité misent notamment sur les programmes de Bug Bounty. L’objectif est de colmater les failles et d’anticiper les menaces. Mais, comment cela fonctionne exactement ? “En fonction de ce que les chercheurs peuvent identifier comme menaces, ils gagnent des primes, détaille Adrien Jeanneau. Le rôle de YesWeHack est de mettre en relation des hackeurs éthiques et des chercheurs avec des entreprises pour booster la lutte contre les cybermenaces.” Et Benoît Delpierre abonde dans ce sens : “Le programme de Bug Bounty est d’une grande aide pour nous. Nous faisons des tests d’intrusion en amont, et une fois que nous avons attesté de la robustesse de l’application, on l’intègre dans un programme de Bug Bounty pour la tester en continu.” La pratique s’est largement répandue auprès des plus grandes entreprises privées comme Google ou Microsoft. Et le Comité Olympique, avec ses partenaires, a misé également dessus en testant ses applications au printemps dernier, lors du FIC (Forum International de la Cybersécurité).
La croissance des menaces durant Paris 2024 va exploser. Tous les experts sont d’accord sur ce point. Donc, pour anticiper les risques, l’intelligence artificielle pourrait bien jouer un rôle majeur. “L’IA est très importante et elle est en constante évolution, observe Benoît Grunemwald. Nous avons sorti notre premier papier sur l’IA en 1997, juste après IBM. Et à l’époque, nous ne répertorions que 50 000 ou 100 000 menaces par an. L’IA nous permettait déjà de classer les niveaux de menaces en analysant les données.” Depuis, la quantité de menaces a explosé. Il y avait, par exemple, plus de 236 millions d'attaques de rançongiciels au premier semestre 2022, selon Statesman.
Security by design et formation
J’ai parfois été confronté à des situations dans lesquelles les RSSI connaissaient les failles potentielles, mais ne pouvaient pas les colmater faute de moyens. C’est pourquoi il faut mettre rapidement en place le security by design, car il permet de limiter les coûts, puisque les enjeux cyber interviennent en amont et que le système est créé autour de lui.”
Adrien Jeanneau, (aka Hisxo), Head of Security Analysts chez YesWeHack
Et les entreprises ne s’y trompent pas, car le security by design – qui consiste à développer un produit avec la sécurité et la notion de risque au cœur de sa conception – est pratiqué par un peu plus de la moitié des organisations (53% dans le monde et 47% en France), selon une étude IDC. “La question à se poser en cyber n’est pas de savoir si vous allez être attaqué, mais plutôt de déterminer quand vous allez être attaqué. C’est pourquoi il faut appliquer les bonnes pratiques le plus tôt possible, notamment avec le security by design”, abonde Benoît Grunemwald.
Mais, en plus de la protection des systèmes d’information, il ne faut pas sous-estimer le facteur humain. Pour les Jeux Olympiques par exemple, 30 000 volontaires seront déployés sur le terrain, en plus des spectateurs et des Parisiens eux-mêmes qui circuleront autour des stades. “D’un point de vue opérationnel, nous sommes prêts. Mais nous allons continuer à optimiser nos outils et nos méthodes jusqu’au début des Jeux”, révèle Benoît Delpierre. Et Adrien Jeanneau ajoute : “Nous sommes comme une équipe de foot, nous devons nous entraîner ensemble pour jouer parfaitement le jour du match. C’est pourquoi le red teaming, qui consiste à créer des scénarios catastrophes pour tester nos temps de réponse, est très important pour nous.” La sensibilisation et la formation des développeurs, des collaborateurs et du public lui-même est donc indispensable pour garantir le bon déroulement des Jeux.
Pour aller plus loin sur les sujets cyber :
➡️ Entreprise et particuliers : comment réagir en cas de cyberattaques ?
➡️ 5 startups françaises de la cybersécurité pleines d'avenir
➡️ Yosra Jarraya, CEO d’Astran : une femme à la tête d’une DeepTech Cyber innovante
Vous souhaitez en savoir plus sur les métiers de l'infrastructure et de la cybersécurité ? Alors, consultez nos offres de formation pour devenir Technicien Systèmes et Réseaux en bootcamp ou Administrateur Système DevOps en alternance. Vous apprendrez toutes les compétences qui feront de vous un professionnel dans votre domaine.
