Le monde du sport n’est pas épargné par le risque cyber, il constitue même une cible particulièrement intéressante pour les cybercriminels. Faisons le point sur les principales vulnérabilités propres aux fédérations et clubs sportifs et comment elles sont généralement exploitées.
—
Sommaire:
Les fédérations et clubs sportifs particulièrement ciblés
Un manque de sensibilisation au risque cyber
Les événements sportifs : un concentré d’opportunités pour cybercriminels
Le Système d’Information, principal talon d’Achille des organisations sportives
Comment gérer le risque cyber d’une organisation sportive
—
C’est un fait maintenant bien connu, le nombre de cyberattaques en France a quadruplé en un an (Cyberattaques France en 2020).
Comme beaucoup de PMEs, et dans de nombreux pays, les fédérations et clubs sportifs n'échappent pas à cette dure réalité, bien au contraire : un rapport du NCSC a montré qu’elles étaient deux fois plus ciblées par des cyberattaques.
Du “simple” ransomware aux menaces de plus grande envergure référencées dans un livre blanc sur la cybersécurité des sports Olympiques*, les cybercriminels exploitent toutes les vulnérabilités et failles possibles.
Pourtant, peu de ces organisations sont conscientes de ce fait ou se sentent concernées, malgré une actualité riche en faits alarmants : Le club de football de Paris (le Paris FC touché par une cyberattaque, cible d’une attaque par déni de service), le club de Rugby de Montpellier (MHR victime d’un ransomware cet été) ou encore la Fédération Française de Basketball (la FFBB lourdement impactée en 2019).
Pourquoi ce déni ? Souvent par manque de ressources, de connaissances en cybersécurité, mais avant tout par un défaut d’information et de sensibilisation sur leurs principales vulnérabilités.
Ce livre blanc classe les cyberattaques susceptibles de toucher les grands événements sportifs en quatre grandes catégories :
Parmi les cyberattaques enregistrées les plus connues, citons les sites de la Formule 1, la Fédération Anglaise de rugby, et bien sûr la coupe du monde de football 2014 au Brésil, impactée par l’attaque du site du ministère du sport.
Les Jeux Olympiques de 2008 à Beijing, et ceux de 2012 à Londres, sont connus pour avoir été involontairement à l’origine d’une vaste escroquerie à la billetterie : de nombreux codes confidentiels de cartes de crédit ont été récupérées grâce à du “Phishing”, par l’intermédiaire d’un site factice de vente de billets.
Plusieurs athlètes ont vu leurs données divulguées suite à la cyberattaques de l’Agence Mondiale de l’Antidopage en 2015.
Le comité d’organisation des Jeux Olympique d’hiver de Sotchi a dû sensibiliser les fans sur les risques d’infiltration de leurs données personnelles.
Grandes fédérations nationales ou clubs historiques, ces acteurs majeurs du sport ont vu, au fil des années, croître leur parc informatique et la complexité de leur SI, sans pour autant se doter d’un responsable sécurité.
Les brèches et faiblesses les plus exploitées sont
Le manque de visibilité sur les SI et leurs interconnexions avec les prestataires constituent de nombreux angles morts dans lesquels les cybercriminels peuvent aisément s’introduire.
Ajoutez à cela de nombreuses interconnexions avec des services tiers (billetterie, boutiques en ligne, plateformes diverses dans le cloud), l’absence d’une équipe dédiée à la sécurité informatique et une méconnaissance globale des cybermenaces par les différents collaborateurs de la structure, et vous obtenez un eldorado pour hacker.
Tout d’abord, afin de pallier l’absence d’un responsable sécurité des systèmes d’information (RSSI) en interne, le DSI de la structure peut se tourner vers une société experte en cybersécurité comme CT-Square pour évaluer cette menace en profondeur et en continu.
Le service permettant de surveiller à distance la sécurité d’un site s’appelle un SOC (Security Operation Center). Un SOC “outillé managé” repose une solution logicielle et/ou matérielle spécifiquement développée et opérée par le prestataire.
Par exemple, le SOC de CT-Square, nommé CT-OPS, repose sur une sonde qui surveille H24 7/7en continu l’activité (logs) du SI et permet à l’opérateur d’informer le DSI de comportements suspects.
Très vite opérationnel grâce à sa simplicité d’installation, le service managé permet d’analyser le SI en temps réel, de détecter les incidents et de guider les responsables IT dans leurs actions correctives et leurs prises de décisions.
Pour l’organisation sportive, cette solution présente de nombreux avantages : tout en se reposant sur l’expertise d’une entreprise constamment à jour sur les vulnérabilités les plus récentes, elle permet au DSI de monter en compétence sur les risques cyber sans avoir à embaucher de ressource dédiée type RSSI.
(*) Le livre blanc du Center for long-term cybersecurity (CLTC)
Photo by John Arano on Unsplash