Sport : la cybersécurité s’invite sur le terrain

Le 22 juin dernier, nous apprenions dans la presse que la Fédération française de rugby (FFR) subissait une cyberattaque et des menaces de divulgation d’informations.  

Cette attaque nous confirme cette maxime que nous avons parfois tendance à oublier : « Tout le monde peut être la cible d’une cyberattaque ». Elle s’est imposée en 2020, en pleine période COVID, lorsque des attaques ont ciblé des hôpitaux. Aujourd’hui, elle ne surprend plus vraiment, car oui, « tout le monde peut être la cible d’une cyberattaque ».  

Le monde du sport n’échappe pas à la règle. Les motivations de ces attaques restent simples : comme pour les hôpitaux, les pirates ciblent les structures exposées, qui peuvent potentiellement leur rapporter un gain. C’est le cas de la Fédération Française de Rugby (FFR) et de la Coupe du Monde de Rugby. L’événement approchant et sa médiatisation s’intensifiant, les pirates s’y intéressent de plus en plus. Quel impact cyber sur les événements sportifs? 

Zoom sur cette menace grandissante et les chantiers prioritaires pour la contrer.  

Lors d’un événement sportif (amateur ou professionnel), la structure d’accueil dispose de biens essentiels (vidéosurveillance, contrôle d’accès, écrans géants et bannières publicitaires, gestion technique des bâtiments, etc.) pour assurer le bon déroulement de la rencontre, la sécurité des supporters et la logistique. Ces solutions interagissent avec le Système d’Information de l’enceinte sportive et sont étroitement liées aux données des différents prestataires et des partenaires.  
Les cyberattaquants peuvent en faire une cible, conscients des vulnérabilités induites, principalement dues à une vision des équipes internes partielle de l’écosystème IT et à un manque de connaissance des menaces cyber ou des bonnes pratiques à adopter.  
À titre d’exemple, une perturbation survenant sur la solution de contrôle d’accès peut entraîner des répercussions importantes sur l’organisation, comme le ralentissement du processus de validation des billets pour accéder à l’enceinte sportive. Ce ralentissement pouvant engendrer à son tour, dans le meilleur des cas, de l’impatience mais aussi, des mouvements de foule aux abords du stade, avec un impact direct sur la sécurité physique des personnes. 
D’autres risques sont étroitement liés au renforcement de la sécurité des réseaux filaires et Wi-Fi, des infrastructures serveurs, des postes de travail ou encore des moyens de connexion aux Systèmes d’Information des partenaires et prestataires.  
S’ajoutent à cela l’importance du cloisonnement des différentes solutions, la sécurisation des interconnexions avec le monde extérieur et la mise en place de processus de validation liés à la sécurité physique et aux droits d’accès au sein de l’enceinte sportive.  

Tous ces risques nécessitent un fort besoin de sécurité en termes de Disponibilité, d’Intégrité, de Confidentialité et de Traçabilité (DICT). Le niveau attendu évoluant en fonction de la législation imposée aux clubs et/ou associations sportives et aux complexes sportifs associés : taille de l’installation, nombre de sports pratiqués, de salariés, de prestataires, de l’exposition médiatique, etc.  
Bien entendu, lors d’événements mondiaux tels que la Coupe du Monde de Rugby ou les Jeux Olympiques, les enceintes sportives sélectionnées sont régies par la réglementation des autorités nationales et des fédérations sportives. Trois principaux acteurs ont la charge de leur application: l’organisateur de l’événement, la préfecture et la ville hôte.  
Sauf exception, les collectivités hôtes sont responsables des infrastructures sportives mises à disposition pour l’évènement et de la sécurisation des Systèmes d’Information associés. Ainsi, en amont de ces évènements, différentes actions sont préconisées par les autorités (réalisation d’une analyse de risques, sensibilisation des collaborateurs, réalisation d’un Plan de Continuité/Reprise d’Activité, etc.) dans le but d’effectuer un état des lieux de l’existant et d’en déduire les chantiers à réaliser. Cette étape est essentielle pour augmenter le niveau de sécurité et de maturité cyber des infrastructures.  

La France, fervente terre de sport, accueille de multiples manifestations sportives, collectives et individuelles, tout au long de l’année. Aussi bien pour les championnats réguliers (Ligue 1, Top 14, D1 Starligue, etc.) que pour des événements d’ampleur internationale (Rolland Garros, Le Tour de France, la Ligue des champions, etc.), toutes les disciplines font l’objet d’une couverture médiatique et sont soumises à de forts enjeux culturels, économiques et sociétaux.  
La nécessaire exposition de systèmes sur internet et les interconnexions avec le Système d’information du complexe sportif constituent de réelles « portes d’entrée » via lesquelles les cyberattaquants peuvent s’infiltrer et perturber l’événement en amont ou le Jour J, créant ainsi un climat d’instabilité et des risques.  

Ces vulnérabilités profitent à tous les types de criminalité, que ce soit des hacktivistes, des groupes terroristes, ou encore des officines spécialisées, sponsorisées ou non par des organisations étatiques. Ces attaquants s’intéressent au secteur dans le but de déstabiliser l’événement, extorquer des informations à des fins de lucratives ou bien encore organiser des opérations « coup de poing » pour se faire connaitre ou revendiquer une idée. 

Les organisateurs et leurs partenaires doivent accroître leur niveau de vigilance en raison de l’accroissement de ces actes de malveillance.  En effet, en plus d’être en nette augmentation à l’encontre des événements sportifs, ils n’impactent plus seulement la manifestation en elle-même mais aussi les sportifs et les supporters. 
Derrière les fraudes envers les supporters se cachent des cyberattaquants très organisés. Ils interviennent principalement autour de la vente au marché noir de billets illégaux mais peuvent utiliser également la méthode dite des « Jeux concours ». Elle incite le joueur à remplir un formulaire de contact, contenant des données à caractère personnel, dans le but de gagner des places pour assister à l’événement. Afin de contrer ce type d’attaque lors de la Coupe du Monde de Rugby, l’organisateur de l'événement a d’ailleurs mis en place une plateforme de revente officielle sécurisée, permettant aux supporters de remettre en vente leurs billets.  
Les sites de paris sportifs ou encore de streaming sont également pris pour cibles par les cyberattaquants. 

Enfin, s’ajoutent à cela depuis quelques années les attaques envers les sportifs eux-mêmes. En effet, les performances physiques et sportives des athlètes sont scrutées par les équipes médicales qui s’appuient sur les nouvelles technologies (balances et montres connectées, capteurs de puissance, GPS, home trainer, etc.) afin de relever des mesures, de les centraliser et d’adapter ainsi les plans d’entrainement. Une typologie de données dont les attaquants sont friands, car ils peuvent les exploiter, les revendre à des concurrents sportifs ou les diffuser au grand public. 

Les structures sportives et leurs directions sont heureusement de plus en plus conscientes des risques liés à la Cybersécurité. De ce fait, elles octroient à présent une place importante à la sécurisation de leurs Systèmes d’Information et à l’amélioration du niveau de maturité cyber de leurs entités. 

Une des missions d’Orange Cyberdefense est de faire prendre conscience aux différents acteurs que la cybersécurité n’est pas un sprint mais un réel marathon.  

Nos équipes apportent leur expertise en cybersécurité, avec les prestataires présents, pour renforcer la sécurité globale et la résilience des systèmes. En voici quelques exemples :  

• La réalisation d’audits de maturité et de tests d’intrusion ; 

• La mise en place de plans de continuité/reprise d’activité (PCA/PRA) ; 

• La création ou l’actualisation de processus métiers ; 

• La rédaction de documents tels qu’une Politique de Sécurité des Systèmes d’Information (PSSI), une Politique Opérationnelle des Systèmes d’Information (POSSI), ou encore un Plan d’Assurance Sécurité (PAS) ; 

• L’élaboration d’un Plan de Gestion de Crise (PGC) et l’exécution d’un exercice de simulation de crise cyber. 

Ce besoin de renforcement du niveau de maturité cyber s’illustre notamment cette année, puisqu’en amont de la Coupe du Monde de Rugby, nos équipes ont accompagné une partie des complexes sportifs recevant l’événement. En amont de la compétition, l’objectif était d’effectuer un état des lieux du niveau de sécurité existant afin de définir la marche à suivre et de mener certaines actions en collaboration avec les équipes locales.  

Guillaume Pauls, Consultant en cybersécurité chez Orange Cyberdefense, revient sur l’une de ces missions : « C’est un réel privilège de pouvoir évoluer dans des environnements sportifs. Ce sont des missions enrichissantes, tant humainement que professionnellement. Nous travaillons en effet en étroite collaboration avec toutes les équipes, ce qui permet de créer une relation de confiance et d’avancer ensemble vers un même but. 

Lors de nos échanges avec les équipes métiers, nous avons constaté que la sécurité et la continuité des services au sein des enceintes sportives étaient des sujets très importants. Tous les collaborateurs sont conscients des risques actuels liés aux cyberattaques et de l’exposition associée aux événements sportifs.  

La démarche mise en place par nos équipes est claire : accompagner, expertiser et sensibiliser. 

Lors du démarrage de ce type de mission, il est dans un premier temps important de sensibiliser nos interlocuteurs aux risques cyber mais aussi de les rassurer. Ensuite, nous travaillons en collaboration avec les équipes métiers, afin de cibler les biens essentiels, d’analyser les solutions et mesures existantes et de recenser les vulnérabilités présentes sur le Système d’Information. Cela nous permet ensuite de proposer un plan d’actions, dans le but de permettre à l’entité et à ses prestataires/partenaires de perfectionner leurs niveaux de sécurité ». 

L'univers du sport est désormais profondément ancré dans l'ère numérique, offrant des opportunités sans précédent tout en exposant le secteur à des risques complexes. 
L'expansion rapide des technologies numériques dans ce monde apporte une série de défis géopolitiques. Les grands événements sportifs, tels que la Coupe du Monde de Rugby, attirent l'attention mondiale et peuvent servir de toile de fond à des conflits numériques subtils entre nations. Les menaces de cyberattaques potentielles, visant à perturber les événements ou à compromettre l'intégrité de certaines données, requièrent une coordination internationale renforcée en matière de cybersécurité.

Parallèlement, les risques humains ne peuvent être sous-estimés. Les acteurs malveillants ciblent non seulement les infrastructures sportives, mais aussi les données sensibles des athlètes, des supporters et des organisateurs. La collecte et l'exploitation non autorisées de données personnelles créent des vulnérabilités qui peuvent être exploitées pour des actes frauduleux. Les pressions accrues sur les athlètes pour performer, non seulement physiquement mais également numériquement, soulèvent des préoccupations concernant leur bien-être mental et émotionnel. Les professionnels de la cybersécurité ont un rôle crucial à jouer en veillant à ce que les aspects humains de cette révolution numérique soient pris en compte dans les stratégies de protection. 

Alors que la France se prépare à accueillir la Coupe du Monde de Rugby 2023, les acteurs de la cybersécurité doivent donc être prêts à relever ces défis complexes.  
Les technologies avancées qui enrichissent l'expérience sportive doivent être accompagnées d'une vigilance accrue en matière de protection numérique. Les instances sportives, les autorités gouvernementales et les acteurs de la cybersécurité doivent collaborer de manière proactive pour anticiper les menaces, mettre en place des défenses robustes et élaborer des plans de réponse agiles. Force est de constater que les enjeux liés à la cybersécurité dans le sport sont ainsi sensiblement identiques à ceux présents dans tout autre domaine. Telle une entreprise publique, privée ou un hôpital, une enceinte sportive devra appliquer une stratégie cyber à 360°, axer ses efforts sur un volet gouvernance et sur les 5 étapes du cycle de vie de la menace : anticiper, identifier, protéger, détecter, réagir. 

La cybersécurité dans le sport, notamment à l'approche de la Coupe du Monde de Rugby 2023, repose sur un équilibre délicat entre innovation et protection. En relevant ces défis avec détermination et en prenant en compte les aspects géopolitiques et humains, nous pouvons garantir que la passion et l'unité du sport ne seront pas compromises par les menaces numériques mais renforcées par notre engagement à préserver l'intégrité et la sûreté de chaque compétition majeure. 

Auteur : Guillaume Pauls, Consultant Cybersécurité chez Orange Cyberdéfense

Orange - Sport et innovations : nos coups de cœur