La sécurisation des grands événements sportifs est cruciale, alors que la numérisation croissante et les technologies émergentes augmentent les points d’entrée pour les cybercriminels. Des menaces telles que les faux points d’accès WiFi, les attaques contre les flux de paiement et les robots d’achat de billets nécessitent une vigilance constante et une préparation rigoureuse des infrastructures numériques.

Les événements sportifs de premier plan qui se déroulent cet été posent un certain nombre de défis en matière de cybersécurité. Les manifestations sportives génèrent beaucoup d’activités pour les spectateurs et visiteurs, qu’il s’agisse d’hôtels, de restaurants ou de commerces de détail. Les grands événements sportifs reposent sur des réseaux de connectivité qui incluent les prestataires, les sponsors, les employés et les utilisateurs finaux. Ces réseaux relient la billetterie, le merchandising, l’accès aux sites, les informations sur les événements en direct, la diffusion et tout ce qui se trouve entre les deux. Cette connectivité apporte beaucoup de valeur aux sites, aux vendeurs et aux usagers, mais elle peut aussi créer des points d’entrée potentiels pour les cybercriminels.

Le secteur du sport et du divertissement est différent des autres industries et continue à faire face à de nombreuses menaces et défis. Dans d’autres secteurs, l’infrastructure technologique est conçue pour une utilisation à long terme, et la stratégie de cybersécurité reflétera donc la stratégie de l’entreprise, qui s’articule autour d’objectifs à long terme ; la stratégie tiendra compte de l’évolutivité et devra être suffisamment souple pour s’adapter à tout changement dans l’entreprise.

Toutefois, dans le domaine du sport et du divertissement, l’infrastructure d’entreprise à long terme doit être associée à des stratégies à court terme. L’objectif de l’infrastructure technologique à court terme est d’évoluer jusqu’au dernier moment de l’événement, en mettant l’accent sur la « mise à l’échelle juste à temps » et sur la capacité à fournir un service spécifique à un moment précis, qui peut être facilement démantelé une fois qu’il est nécessaire.

La convergence cyber-physique

Le développement rapide des technologies dans l’industrie du sport, comme la réalité augmentée, les tourniquets intelligents, la reconnaissance faciale et d’autres fournisseurs, ont tous des interdépendances complexes et ont augmenté la complexité des problèmes de cybersécurité. Dans notre monde hautement connecté, l’essor des jumeaux numériques et la collaboration entre diverses plateformes transforment le paysage sportif en un réseau commercial interconnecté.

Parmi les nombreuses technologies hautement numérisées qui peuvent constituer des cibles lucratives pour les cyberattaques, le PIID en est un excellent exemple :

1 – Personnalisation (P) : Des fonctions personnalisées pour les supporters dans les stades, souvent fournies par le biais d’applications mobiles, améliorent l’expérience des supporters.

2 – Collecte d’informations (I) : Les informations sur les joueurs ou sportifs sont recueillies pendant les matchs à l’aide de dispositifs de suivi des performances des athlètes, tels que les bracelets de santé et les smartwatches.

3 – Reprise instantanée (I) : La technologie de relecture instantanée, couramment utilisée par les arbitres, repose sur des données qui, si elles sont compromises, pourraient être exploitées par des sociétés de paris pour créer un biais. Cela souligne l’importance de discuter de l’utilisation de l’IA et de la distinction entre les capteurs de temps et les capteurs tactiles dans la collecte de données.

4 – Souveraineté des données (D) : la collecte accrue de données suscite des inquiétudes quant à la souveraineté des données, à la confiance et à la protection de la vie privée, en particulier en ce qui concerne l’IP.

La convergence des systèmes cyber et physiques (convergence cyber-physique) est motivée par l’utilisation croissante des technologies numériques, qui se traduit par des changements transformateurs dans les technologies de l’information et la connectivité (Bring Your Own Device – BYoD), et par la prolifération de l’internet des objets (IoT) au sein des systèmes physiques.

Les composantes essentielles de cette convergence comprennent les capteurs de connectivité pour la collecte de données (par exemple, les accéléromètres sportifs), l’automatisation et les mécanismes de contrôle. Cette convergence peut offrir de nombreux avantages, notamment des capacités de maintenance prédictive, des mesures de sécurité renforcées et des temps d’arrêt réduits.

Cependant, cette convergence présente également le potentiel de nouvelles menaces, telles que :

Les attaques DDoS : Ces attaques peuvent gravement affecter des services essentiels tels que la billetterie et l’entrée aux portes, entraînant des répercussions financières et le mécontentement des spectateurs. Des cas de verrouillage à distance des portes de stades se sont déjà produits par le passé et les conséquences pourraient être désastreuses. En particulier, cela pourrait conduire à l’exclusion de certains spectateurs ou forcer un afflux massif de personnes vers une seule sortie.

Les attaques de robots contre la billetterie : Les programmes automatisés ont la capacité d’acquérir des billets à un rythme nettement supérieur à celui des humains, ce qui contribue à la pratique de la vente à la sauvette et à l’inflation artificielle des prix. Ce phénomène crée une distribution inéquitable de l’accès aux événements, ce qui a un impact négatif à la fois sur les aficionados et sur les organisateurs d’événements. La ruée vers les transactions en ligne – obtention de billets ou d’accès aux salles pour les grands événements – ouvre également la voie à des sites frauduleux conçus pour obtenir des identifiants de connexion qui, à leur tour, peuvent être utilisés pour voler des données personnelles, y compris des informations sur les cartes de crédit.

Les points d’accès WiFi trompeurs / points d’accès pirates : De faux points d’accès WiFi peuvent inciter les utilisateurs à établir des connexions, permettant ainsi à des acteurs malveillants d’intercepter des données sensibles, de les rediriger vers des sites web malveillants et de dérober leurs informations personnelles. En outre, un stade peut posséder environ dix mille ports réseau ou plus, plus d’un millier de points d’accès et mille cinq cents balises. La combinaison des pratiques BYOD (Bring Your Own Device) et des environnements WiFi ouverts crée un terrain idéal pour les attaques de réseaux et de logiciels malveillants.

Les attaques contre les flux de paiement : Les pirates peuvent cibler les systèmes de paiement pour voler les données des cartes de crédit et effectuer des transactions frauduleuses, ce qui peut entraîner des pertes financières tant pour les clients que pour les organisations. Pour exploiter cette vulnérabilité largement répandue, les acteurs de la menace ont souvent recours à l’ingénierie sociale, qui consiste à inciter les gens à divulguer des informations sensibles, comme les données PCI, que les pirates peuvent utiliser à leurs propres fins sans scrupules. Les pirates profitent des grands événements sportifs, car ils suscitent beaucoup de passion chez les supporters et peuvent créer une certaine confusion autour de l’événement, en raison de l’afflux massif de touristes, de l’augmentation de la présence policière et de l’essor de l’activité commerciale et des marchands non officiels.

Les faux messages sur les tableaux d’affichage et d’information : Les attaquants ont la capacité de manipuler les tableaux d’affichage et d’information pour afficher de faux messages, provoquant ainsi la confusion, la panique et perturbant l’expérience de l’événement. Cela peut avoir un impact sur l’intégrité du jeu, mais présente des risques pour la sécurité en diffusant des messages erronés qui peuvent provoquer la panique.

Protéger la chaîne d’approvisionnement numérique

Le réseau d’entreprise d’un site sportif moderne comporte de nombreux éléments mobiles, connectant les employés, une myriade d’appareils, la sécurité et la surveillance, les fournisseurs sur site, etc. Le site interagit également avec des partenaires externes pour toute une série de services et de fonctions. Il peut y avoir des composants de réseau informatique périphérique, de réseau privé, de réseau MEC et de réseau en nuage, qui peuvent s’interfacer avec d’autres systèmes et réseaux. En d’autres termes, la cybersécurité d’un site sportif n’est pas autonome ; elle fait partie d’une chaîne d’approvisionnement numérique.

Prenons l’exemple d’un studio de cinéma, qui peut nous éclairer sur cette dynamique. Les grands studios externalisent un certain nombre de services, tels que les arts graphiques, l’animation, la postproduction, etc. Nombre de ces sociétés de postproduction, en particulier les ateliers spécialisés, sont plus petites et disposent d’un budget limité en matière de cybersécurité. Pourtant, elles abritent la précieuse propriété intellectuelle du studio, qui peut attirer l’attention d’acteurs menaçants. Ces petites entreprises peuvent servir de porte dérobée à des pirates informatiques qui n’y auraient pas eu accès autrement.

En d’autres termes, la cybersécurité d’une organisation est aussi forte que son maillon le plus faible. L’absence de sécurité au sein de l’infrastructure des fournisseurs et autres partenaires tiers peut compromettre un site. Les acteurs de la menace peuvent exploiter cette dynamique à leur profit, par exemple en se faisant passer pour un fournisseur de confiance dans un courriel accompagné d’une facture frauduleuse.

La menace interne

Selon le rapport 2024 Verizon Business Data Breach Investigation Report (DBIR), l’élément humain est l’un des principaux responsables des failles de sécurité, puisqu’il est à l’origine de plus des deux tiers (68 %) des failles de sécurité survenues l’année dernière. Elles sont souvent non malveillantes et internes – les employés peuvent être victimes d’une attaque de type « Business Email Compromise » (BEC), par laquelle les pirates se présentent comme un cadre de confiance au sein de l’organisation. Ces escroqueries sont plus susceptibles d’être efficaces pendant les périodes de forte activité, lorsque les employés sont sous pression et pressés de respecter les délais. Les événements sportifs très médiatisés de cet été créent précisément ces conditions. Cette culture de la célébrité peut rendre les amateurs de sport plus sensibles à l’ingénierie sociale, car leurs émotions sont exacerbées et leur attention est attirée dans de nombreuses directions. Sachant cela, les pirates peuvent créer un sentiment d’urgence dans leurs textes et leurs courriels afin de contraindre les utilisateurs à cliquer impulsivement sur un lien malveillant ou à partager des informations sensibles. Selon le DBIR, il faut moins de 60 secondes à l’utilisateur moyen pour tomber dans le panneau d’un courriel d’hameçonnage.

Tout cela signifie que les sites doivent non seulement renforcer leur réseau interne, mais aussi leur réseau externe de partenaires. Le personnel doit être en alerte tant pour les menaces internes involontaires que pour les menaces externes malveillantes. Comme les escrocs peuvent se faire passer pour des cadres internes ou des vendeurs, chaque élément de communication pendant les périodes d’activité intense doit être considéré avec scepticisme, de peur qu’il ne permette à un pirate informatique de s’implanter dans le réseau.

1 – Connaissance de l’environnement

Les organisations doivent avoir une connaissance approfondie de leurs actifs numériques, y compris le matériel, les logiciels, les réseaux et les données. Cela implique de mener des audits réguliers pour identifier les vulnérabilités et les vecteurs d’attaque potentiels. En comprenant leur environnement, les organisations peuvent mieux hiérarchiser leurs efforts en matière de cybersécurité et allouer des ressources en conséquence.

2 – Comprendre le paysage des attaques

Il est essentiel que les organisations se tiennent informées des dernières cybermenaces, des méthodes d’attaque et des tendances émergentes. Pour ce faire, elles doivent surveiller les avis de sécurité, les rapports de veille sur les menaces et les actualités du secteur. En comprenant le paysage des attaques, les organisations peuvent anticiper les menaces potentielles et élaborer des contre-mesures pour en atténuer l’impact.

3 – Évaluation des risques

Une fois que les organisations ont une bonne compréhension de leur environnement, du paysage des attaques et de l’inventaire de leurs actifs, elles peuvent procéder à une évaluation approfondie des risques. Il s’agit d’identifier les actifs critiques et de les classer par ordre de priorité, d’évaluer la probabilité et l’impact d’attaques potentielles et de hiérarchiser les risques en fonction de leur gravité. En procédant à une évaluation des risques, les organisations peuvent décider en connaissance de cause où investir leurs ressources en matière de cybersécurité.

4 – Vigilance et surveillance des menaces

Les organisations doivent être vigilantes et surveiller leurs réseaux et leurs systèmes pour détecter toute activité suspecte. Cela implique la mise en œuvre d’outils de surveillance de la sécurité, tels que des systèmes de détection des intrusions (IDS) et des solutions de gestion des informations et des événements de sécurité (SIEM). En surveillant en permanence leur environnement, les organisations peuvent détecter les menaces et y répondre à temps.

5 – Formation et éducation

Il est essentiel de sensibiliser les cadres et les employés aux attaques d’ingénierie sociale pour prévenir les atteintes à la sécurité. Il s’agit notamment de les sensibiliser aux méthodes d’attaque les plus courantes, telles que les courriels d’hameçonnage, les escroqueries téléphoniques et l’usurpation d’identité dans les médias sociaux. Les organisations devraient organiser des sessions de formation régulières pour s’assurer que les employés disposent des connaissances et des compétences nécessaires pour identifier et signaler les activités suspectes.

En adoptant ces mesures, les organisations peuvent améliorer considérablement leur position en matière de cybersécurité et se protéger contre un large éventail de menaces. Il est important de se rappeler que la cybersécurité est un processus continu et que les organisations doivent s’adapter en permanence à l’évolution du paysage des menaces.
____________________________

Par Ashish Khanna, Senior Managing Director Security Consulting Services, Verizon Business

 

À lire également :

Cyber et JO 2024 : Un événement à haut risque

JO de Paris 2024 : la cybersécurité est un sport d’équipe

La 5G : un catalyseur inédit pour l’efficacité et la sécurité dans les transports publics…

Les enseignements cybersécurité d’une pandémie qui perdure…

L’IA pour optimiser le réseau … et inversement…