Mardi 17 septembre 2024, SMART TECH reçoit Laurent Célérier (directeur europe, Orange Cyberdéfense) et Gérôme Billois (expert cybersécurité, Wavestone)
Category
🗞
NewsTranscription
00:00A la une de ce grand rendez-vous cyber, on va essayer de dresser un premier bilan de
00:08ce qui s'est passé en matière de cybermenace pendant les Jeux Olympiques de Paris.
00:13En plateau, Laurent Cellerier, bonjour Laurent, merci d'être avec nous.
00:17Directeur Europe d'Orange CyberDéfense, filiale du groupe Orange, capitaine également de
00:22Vaisseau de Réserve, vous enseignez aussi à Sciences Po Paris sur les sujets de défense
00:27et d'anticipation des risques.
00:29Et puis avec nous à distance, Jérôme Billois, associé au sein du cabinet de conseil
00:34Wefstone sur la cybersécurité et la confiance numérique.
00:37Bonjour Jérôme, merci d'être connecté avec nous.
00:42Vous êtes également administrateur du CLUSIF, le club de sécurité de l'information français,
00:47des systèmes d'information bien sûr français.
00:50Alors, on va commencer peut-être par les déclarations de Vincent Strubel de l'Annecy
00:56dans une interview à West France qui révèle que l'agence a traité 548 événements de sécurité
01:02sur la période du 8 mai, au moment de l'arrivée de la flamme, au 8 septembre, la fin des Jeux Paralympiques.
01:08Et il parle d'un niveau de menace intense, avec 83 incidents qualifiés sur 500 entités
01:16accompagnées pendant ces Jeux.
01:18Et pourtant, rien n'est venu perturber ces JOP 2024.
01:23Effectivement, je crois que grâce à, et on y reviendra, à tout le travail de préparation qui a eu lieu ces 4 dernières années,
01:30les attaques que la France a subies, et en particulier l'écosystème autour des Jeux Olympiques, n'a pas eu d'impact.
01:36Et c'est bien ça l'objectif, on ne peut pas stopper toutes les attaques,
01:41par contre, on peut travailler sur limiter leur impact opérationnel,
01:46et je crois qu'on peut se féliciter de ce résultat pour nous.
01:51Et je pense que Jérôme ne me contredira pas, c'est un beau succès.
01:55Et j'ai envie de dire, pour Orange, peut-être presque particulièrement,
01:58parce que vous étiez le seul opérateur, l'opérateur télécom officiel sur ces JO,
02:04donc pas le droit à l'erreur, grosse pression.
02:07Exactement, exactement, personne ne voulait être le maillon faible.
02:10Et notamment les quelques opérateurs qui étaient, j'ai envie de dire, sur le chemin critique des JO.
02:15Et notamment Orange, contrairement à Tokyo, 4 ans avant, où il y avait de mémoire 5 opérateurs,
02:22là, il n'y avait qu'Orange comme opérateur,
02:24et donc on portait sur nos épaules la responsabilité de diffuser à 4,5 milliards de téléspectateurs
02:33les images des JO, en plus, vous le savez, dans des conditions un peu particulières,
02:37ce n'était pas dans un stade, c'était mouvant sur la scène, c'était aux quatre coins du monde.
02:42Et finalement, un seul opérateur, est-ce que c'était plus simple,
02:45alors on va parler de la cybersécurité spécifiquement,
02:47est-ce que c'est plus simple du coup pour parer aux attaques ?
02:51Alors, est-ce que c'est plus simple ? Peut-être, mais d'un autre côté,
02:55vous mettez tous vos oeufs dans le même panier.
02:58Et nous, chez Orange, il y avait plus de 2000 personnes, il faut se rendre compte,
03:022000 personnes mobilisées sur les JO.
03:06Et une préparation qui s'est organisée comment ?
03:08Alors qui s'est organisée sur 4 ans, en fait,
03:11et ça a commencé déjà par aller interroger nos amis japonais,
03:15comment ça s'est passé Tokyo, il y a 4 ans,
03:19et puis après, on a, sur la partie cyber, préparé ça,
03:25en étudiant l'évolution de la menace, au début,
03:28et la menace, donc quels sont les incidents qu'on redoutait,
03:31une phase d'audit, vérifier quels sont les périmètres qu'on va devoir protéger,
03:37et puis, plus on s'est rapproché, plus l'intensité de préparation s'est accélérée.
03:42Et à titre d'exemple, l'année précédente,
03:48on avait eu la Coupe du monde de rugby,
03:51qui a constitué un excellent entraînement,
03:53et puis après, on a fait beaucoup d'exercices de gestion de crise,
03:57de plans de continuité, voilà,
03:58on a imaginé plein de scénarios d'attaque et on les a testés,
04:02et puis, au dernier moment, on a enrichi au quotidien la menace
04:09pour parer à toute éventualité.
04:12Donc on était vraiment dans un rythme qui allait crescendo pour être prêts.
04:17Alors, vous avez évoqué la question du périmètre.
04:20Jérôme, quand on parle de sécuriser les Jeux olympiques,
04:23on parle de quoi, de quel périmètre, qu'est-ce que ça recouvre ?
04:28Ce périmètre est très très large.
04:29On imagine évidemment un premier cercle,
04:32qui est le cercle, celui le plus visible, le plus médiatique,
04:35celui qui est vraiment au cœur du JO, c'est les épreuves.
04:37C'est-à-dire qu'on va s'assurer que l'épreuve, elle se déroule bien,
04:41au bon moment, que les images puissent être envoyées,
04:44que le chronométrage aussi fonctionne comme il doit.
04:47Donc ça, c'est vraiment le cœur du cœur.
04:49Ça, c'est plutôt sous la responsabilité,
04:50habituellement, du CIO et des équipes qui sont habituées à faire ce genre de choses.
04:55Ensuite, on a un deuxième cercle concentrique.
04:57C'est le cercle, en fait, des services directement liés aux épreuves,
05:01c'est-à-dire, c'est les stades, c'est les lieux où ont lieu les compétitions.
05:05Il faut qu'on puisse garantir leur sécurité,
05:07il faut qu'on puisse garantir l'accès, valider les billets,
05:10s'assurer que les gens puissent entrer,
05:12qu'il y ait de la nourriture, que les télécoms fonctionnent, etc.
05:16Ce qui fait aussi, évidemment, le succès.
05:18Et puis, il y a le troisième cercle, et celui-là est énormément plus large.
05:22Parce que pour que des gens puissent être dans le stade,
05:24il faut qu'ils puissent arriver au stade.
05:26Donc, il y a tous les transports.
05:27Pour que les gens puissent voir et échanger, il y a les télécoms.
05:32Pour qu'il y ait de l'électricité dans le stade, il y a les fournisseurs d'électricité.
05:35Et en fait, tous ces différents maillons ont bien été identifiés dans les phases de préparation
05:39et ont fait l'objet d'une mobilisation extrêmement large.
05:42L'Annecy le dit bien, plus de 500 structures suivies,
05:46et avec des structures qui avaient des niveaux de cybersécurité extrêmement divers et variés.
05:51C'est sûr qu'à un stade, comme certains ont pu accueillir des épreuves en province,
05:56par exemple, ne sont pas forcément habitués à avoir une menace étatique qui peut peser sur eux.
06:01Et donc, il y a eu tout un programme de sécurisation,
06:05déjà d'identification du niveau de sécurité de chacune de ces structures,
06:08d'identification des actions à réaliser, de définition d'un socle minimum de cybersécurité à mettre en place,
06:14et puis tout un programme qui a été conduit depuis plusieurs années pour monter en puissance le niveau de protection.
06:19Et une fois que le niveau de protection était là, Laurent l'a mentionné tout à l'heure,
06:22énormément d'exercices de crise pour arriver à faire travailler tous ces gens ensemble,
06:26qui habituellement ne travaillent pas ensemble et n'avaient même pas trop de raison, finalement, de travailler ensemble.
06:32Les JO, c'est vraiment un moment particulier, un temps très restreint, un nombre d'acteurs énorme,
06:37une attention médiatique internationale et énormément de monde en back-office pour que tout fonctionne.
06:43Et c'est cet enchevêtrement d'actions qui était vraiment difficile à faire fonctionner et à sécuriser.
06:50Et là, je pense qu'on peut vraiment adresser la médaille d'or à toutes les équipes qui étaient opérationnellement sur le terrain.
06:57Nancy, le CIO, Orange, Atos, tous les partenaires qui ont travaillé parce qu'effectivement, ça s'est bien déroulé.
07:04Alors, ça s'est bien déroulé, mais même moi, j'ai été surprise quand j'ai vu le chiffre annoncé par Nancy.
07:09On est vraiment très, très loin de ce qu'on avait entendu au moment, justement, des JO de Tokyo.
07:15Et pourtant, Vincent Strobel nous parle d'une menace qui a été intense.
07:20Alors, comment on explique ça ? Est-ce que la menace a été d'ailleurs à la hauteur de ce que vous attendiez ?
07:26Est-ce que ça a été finalement beaucoup plus calme que prévu ?
07:30Quelles sont, vous, vos impressions là-dessus ?
07:33Notre impression, nous, chez Orange, c'est qu'il y a eu un niveau de menace effectivement important, mais pas exceptionnel.
07:41On a traité, lors de la période, chez Orange CyberDéfense, à peu près 200 incidents,
07:47ce qui constitue une moyenne haute, mais néanmoins accessible.
07:53Et en fait, on pense que parce qu'on s'était extrêmement préparés, parce qu'on avait mis des capteurs partout,
08:01qu'on arrivait à stopper les attaques le plus tôt possible et donc à limiter l'impact. Voilà, je crois que, comme l'a souligné Jérôme...
08:10Et Nancy parle aussi de la réactivité, en fait de la collaboration qui a été, qui a hyper bien fonctionné entre les différents acteurs
08:17de tout ce système qui faisait que les JO fonctionnaient.
08:19C'est ça. Tout le monde était extrêmement vigilant, extrêmement réactif. Les équipes étaient mobilisées.
08:24Et du coup, le moindre début d'attaque était traité pour éviter un impact.
08:30Et je crois que finalement, comme l'a souligné Jérôme, c'est l'ensemble de l'écosystème cyber français qui a fait un immense pas en avant à l'occasion de ces JO.
08:40Alors, je voudrais quand même qu'on précise de quelles attaques on parle.
08:44Qu'est-ce qui s'est passé pendant ces JO qu'on n'a pas vraiment vu, finalement, ou très peu ? Jérôme ?
08:51Alors, effectivement, on avait anticipé trois grandes familles de menaces, des menaces qui étaient le plus craintes et qui, finalement, ne se sont pas avérées.
09:00Je pense que c'est des menaces étatiques avec des attaques de très forte intensité, très ciblées sur un certain nombre d'éléments clés,
09:08qui auraient amené à la destruction du système, qui auraient amené à l'impossibilité, finalement, de conduire un certain nombre d'épreuves.
09:13Donc, celles-là, elles ont peut-être eu lieu, mais elles ont été stoppées très, très vite.
09:17Ce qui a eu le plus lieu, ce qui a été à la limite du visible, on va dire, c'est ce qu'on appelle les attaques en déni de service.
09:25Nous, on a un certain nombre de nos clients qui ont vu une augmentation par 5 du nombre d'attaques en déni de service qu'il fallait traiter.
09:33Donc, c'est des attaques qui visent à saturer les sites web, qui visent à saturer tous les systèmes numériques et à faire que, finalement, ils marchent beaucoup moins bien.
09:41Donc, ça amène de la lenteur, du ralentissement. Ça va amener un dysfonctionnement par moment. Donc, ça, oui, ça a été observé.
09:48Il y a eu une augmentation franche sur certains périmètres, pas sur tous, mais sur certains périmètres.
09:52— Pas de rançongiciel ?
09:55— Alors, les rançongiciels étaient craints aussi. Vous en souvenez certainement. Il y a eu le cas sur le Grand Palais, qui n'était pas vraiment le Grand Palais qui était touché.
10:03C'est un des fournisseurs qui faisait de la gestion des flux financiers pour le Grand Palais et pour une quarantaine de musées en France qui ont été touchés par,
10:11je dirais, l'attaque la plus fréquente, Orgio, ces fameux rançongiciels. On bloque les systèmes, on vole des données, on demande une rançon pour faire remarcher tout ça.
10:19C'était craint. C'est arrivé. Je dirais... Ça, c'était impossible que ça n'arrive pas, parce que le rançongiciel, il y en a toutes les semaines.
10:26Vous pouvez prendre l'actualité. J.O. ou pas, vous aurez forcément des rançongiciels, malheureusement. Voilà. Donc ça, ça a été bien.
10:33— On avait plutôt prédit une quantité d'attaque phénoménale 8 fois plus que d'ordinaire. Bon, finalement, tant mieux, j'ai envie de dire. On s'est tous un petit peu trompés.
10:43— Et vous parliez des acquis durables. Est-ce qu'il y a des enseignements qui ont été faits pendant cette période des Jeux olympiques ?
10:52Qu'est-ce qui va rester ? J'imagine que les mobilisations et les budgets ne vont pas rester. Mais alors qu'est-ce qui va en rester, quand même, de cette expérience ?
10:59— Eh ben il va rester plusieurs éléments. Il y a tout d'abord au niveau organisationnel. Dans la plupart des entreprises ou des organisations qui ont été mobilisées,
11:08ils ont optimisé leur organisation. Et ça, c'est pérenne. Deuxième chose, beaucoup ont investi dans des solutions complémentaires pour renforcer leur protection.
11:21Et ça aussi, ça va rester. Et puis troisième chose, c'est la coordination entre les différents acteurs, entre l'Annecy, qui peut-être jusqu'à maintenant
11:31avait jamais parlé à certains sous-traitants des JO. Et maintenant, ils ont une relation. C'est entre les fournisseurs de services et les utilisateurs.
11:41Et c'est enfin – dernier point extrêmement important – les utilisateurs. Nous, on considère qu'à peu près 80% des attaques que l'on voit,
11:51l'utilisateur est dans la chaîne d'attaque. Donc l'utilisateur est un maillon essentiel de la sécurité. Et à l'occasion des JO...
11:59— Il a été plus prudent, l'utilisateur ? — Ah bah je pense. Et surtout, il a été beaucoup sensibilisé. Comme je vous le disais, aucune entreprise,
12:05aucune organisation voulait être le maillon faible. Donc il y a eu énormément de campagnes de sensibilisation qui ont eu lieu à l'occasion des JO et qui,
12:13je pense, vont apporter leurs fruits dans le temps. Il faudra en refaire. Ce genre de choses, il faut y revenir. Mais voilà. Je crois que beaucoup des acquis resteront.
12:27— Et Jérôme, pour terminer aussi là-dessus, est-ce qu'il y a des enseignements du côté... Bah vous, qui conseillez les entreprises,
12:35du côté des entreprises elles-mêmes qui pourront être tirées de cette période des Jeux olympiques ?
12:41— Effectivement, il y en a de très nombreux. Moi, je confirme ce qu'a dit Laurent et ce que je noterai de manière additionnelle. C'est les compétences.
12:47C'est-à-dire que les JO ont permis aussi à un certain nombre d'acteurs dans les systèmes d'information, d'acteurs dans les sites des épreuves,
12:55dans tout cet écosystème que j'évoquais tout à l'heure, de monter en compétences sur la cyber. Et ça, c'est quelque chose qui va vraiment être
13:00un héritage durable. Quand vous avez appris quelque chose, quand vous l'avez pratiqué, eh bien vous le conservez pour toute la durée.
13:07Et je pense que ça ouvre la porte à le prochain marathon cyber qui va être la conformité à la directive NIS2, qui vise à augmenter le niveau de sécurité
13:15général à l'échelle de l'Europe, qui va toucher de très nombreuses structures de type ETI, PME, évidemment aussi les grands groupes, mais qui sont déjà
13:24un peu plus en avance. Et je pense qu'on pourra tirer aussi de l'enseignement des JO sur comment on a réussi à faire monter le niveau de sécurité
13:32de structures qui, au départ, n'étaient pas vraiment intéressées, n'étaient pas vraiment au niveau attendu. Et ça a été un bon exemple de comment aborder
13:40le sujet, comment trouver des solutions opérationnelles techniques sur le terrain. Et tous les gens qui ont participé à cette augmentation générale du niveau
13:47de l'écosystème JO ont appris beaucoup de choses qui pourraient certainement être rejouées sur l'augmentation générale du niveau de l'écosystème France et Europe.
13:55Et ça, c'est vraiment le challenge de 2025. — Je crois qu'effectivement, les JO ont été un formidable levier managerial, un levier de transformation.
14:03Tout le monde voulait être au rendez-vous et personne ne voulait être le maillon faible. Et donc ça, ça a conduit à une mobilisation importante et qui a permis
14:12de monter notre niveau de jeu, ce qui nous met dans les meilleures conditions pour aborder les prochains défis. Et ce qui est intéressant, c'est qu'on a déjà
14:18des contacts avec Los Angeles. On a rencontré le Secret Service. Alors le Secret Service assure la sécurité du président, mais aussi la sécurité
14:28des grands événements aux États-Unis. Et ils sont venus nous voir pour nous demander quels étaient nos enseignements. Et on leur a dit qu'il faut commencer maintenant.
14:36C'est 4 ans de mobilisation, mais c'est un super levier pour faire monter le niveau de sécurité nationale.
14:42— Bon, moi, je distribue pas de médailles, mais je compte sur vous pour en distribuer aux équipes. — Bah oui.
14:48— Merci beaucoup, Jérôme Billois, d'avoir été connecté avec nous, associé au sein du cabinet Wavestone, et Laurent Sellerier, directeur Europe d'Orange CyberDéfense.
14:56Merci. — Merci. — Tout de suite, c'est notre rendez-vous avec Le Monde du Libre.