Sport et cybersécurité : Pourquoi les fédérations et clubs sportifs sont des cibles de choix

Le monde du sport n’est pas épargné par le risque cyber, il constitue même une cible particulièrement intéressante pour les cybercriminels. Faisons le point sur les principales vulnérabilités propres aux fédérations et clubs sportifs et comment elles sont généralement exploitées.

—

Sommaire:

Les fédérations et clubs sportifs particulièrement ciblés

Un manque de sensibilisation au risque cyber

Les événements sportifs : un concentré d’opportunités pour cybercriminels

Le Système d’Information, principal talon d’Achille des organisations sportives

Comment gérer le risque cyber d’une organisation sportive

—

Les fédérations et clubs sportifs particulièrement ciblés

C’est un fait maintenant bien connu, le nombre de cyberattaques en France a quadruplé en un an  (Cyberattaques France en 2020).

Comme beaucoup de PMEs, et dans de nombreux pays, les fédérations et clubs sportifs n'échappent pas à cette dure réalité, bien au contraire : un rapport du NCSC a montré qu’elles étaient deux fois plus ciblées par des cyberattaques.

Du “simple” ransomware aux menaces de plus grande envergure référencées dans un livre blanc sur la cybersécurité des sports Olympiques*, les cybercriminels exploitent toutes les vulnérabilités et failles possibles.

Un manque de sensibilisation au risque cyber  

Pourtant, peu de ces organisations sont conscientes de ce fait ou se sentent concernées, malgré une actualité riche en faits alarmants : Le club de football de Paris (le Paris FC touché par une cyberattaque, cible d’une attaque par déni de service), le club de Rugby de Montpellier (MHR victime d’un ransomware cet été) ou encore la Fédération Française de Basketball (la FFBB lourdement impactée en 2019).

Pourquoi ce déni ? Souvent par manque de ressources, de connaissances en cybersécurité, mais avant tout par un défaut d’information et de sensibilisation sur leurs principales vulnérabilités.

Les événements sportifs : un concentré d’opportunités pour cybercriminels

Ce livre blanc classe les cyberattaques susceptibles de toucher les grands événements sportifs en quatre grandes catégories :

‍

1/ L’infiltration des sites sportifs et leurs systèmes d’information

Parmi les cyberattaques enregistrées les plus connues, citons les sites de la Formule 1, la Fédération Anglaise de rugby, et bien sûr la coupe du monde de football 2014 au Brésil, impactée par l’attaque du site du ministère du sport.

2/ L’escroquerie liée à la billetterie

Les Jeux Olympiques de 2008 à Beijing, et ceux de 2012 à Londres, sont connus pour avoir été involontairement à l’origine d’une vaste escroquerie à la billetterie : de nombreux codes confidentiels de cartes de crédit ont été récupérées grâce à du “Phishing”, par l’intermédiaire d’un site factice de vente de billets.

3/ Vol et divulgation de données personnelles des athlètes

Plusieurs athlètes ont vu leurs données divulguées suite à la cyberattaques de l’Agence Mondiale de l’Antidopage en 2015.

4/ Les cyberattaques contre les spectateurs

Le comité d’organisation des Jeux Olympique d’hiver de Sotchi a dû sensibiliser les fans sur les risques d’infiltration de leurs données personnelles.

Le Système d’Information, principal talon d’Achille des organisations sportives

Grandes fédérations nationales ou clubs historiques, ces acteurs majeurs du sport ont vu, au fil des années, croître leur parc informatique et la complexité de leur SI, sans pour autant se doter d’un responsable sécurité.

Les brèches et faiblesses les plus exploitées sont

• le manque de visibilité sur l’ensemble du SI,
• les connexions avec des systèmes externes,
• et la méconnaissance des menaces cyber.

Le manque de visibilité sur les SI et leurs interconnexions avec les prestataires constituent de nombreux angles morts dans lesquels les cybercriminels peuvent aisément s’introduire.

Ajoutez à cela de nombreuses interconnexions avec des services tiers (billetterie, boutiques en ligne, plateformes diverses dans le cloud), l’absence d’une équipe dédiée à la sécurité informatique et une méconnaissance globale des cybermenaces par les différents collaborateurs de la structure, et vous obtenez un eldorado pour hacker.

Comment gérer le risque cyber d’une organisation sportive

1 - Soulager le DSI et le faire monter en compétence

Tout d’abord, afin de pallier l’absence d’un responsable sécurité des systèmes d’information (RSSI) en interne, le DSI de la structure peut se tourner vers une société experte en cybersécurité comme CT-Square pour évaluer cette menace en profondeur et en continu.

2 - Cartographier l’ensemble du SI et Analyser en continu les activités

Le service permettant de surveiller à distance la sécurité d’un site s’appelle un SOC (Security Operation Center). Un SOC “outillé managé” repose une solution logicielle et/ou matérielle spécifiquement développée et opérée par le prestataire.

Par exemple, le SOC de CT-Square, nommé CT-OPS, repose sur une sonde qui surveille H24 7/7en continu l’activité (logs) du SI et permet à l’opérateur d’informer le DSI de comportements suspects.

Très vite opérationnel grâce à sa simplicité d’installation, le service managé permet d’analyser le SI en temps réel, de détecter les incidents et de guider les responsables IT dans leurs actions correctives et leurs prises de décisions.

Pour l’organisation sportive, cette solution présente de nombreux avantages : tout en se reposant sur l’expertise d’une entreprise constamment à jour sur les vulnérabilités les plus récentes, elle permet au DSI de monter en compétence sur les risques cyber sans avoir à embaucher de ressource dédiée type RSSI.

(*) Le livre blanc du Center for long-term cybersecurity (CLTC)

Photo by John Arano on Unsplash