JOP 2024 : l’ANSSI met à disposition un kit d’exercice « JOP massifié »

L’ANSSI livre désormais des kits d’exercice pour aider les organisations à se préparer à la gestion d’une crise d’origine cyber. L'agence met à disposition un kit « JOP massifié » spécifiquement construit pour implémenter un exercice simulant le contexte des Jeux Olympiques et Paralympiques (JOP24).

Publié le 29 Novembre 2023 Mis à jour le 01 Décembre 2023

En complément du guide « Organiser un exercice de gestion de crise cyber » visant à accompagner pas à pas les organisations dans la mise en place d’un exercice de gestion de crise, l’ANSSI a débuté la mise à disposition de kits d’exercice pour aider les organisations à se préparer à d'éventuelles crises. Après un kit dédié à l’entrainement des collectivités territoriales et un kit dédié à l’Enseignement supérieur et la recherche (ESR), l’ANSSI met à disposition un kit « JOP massifié » spécifiquement construit pour implémenter un exercice simulant le contexte des Jeux Olympiques et Paralympiques (JOP24). 

Les Jeux Olympiques et Paralympiques, un défi sécuritaire

Défi organisationnel et logistique, les JOP constituent également un défi sur le plan de la sécurité informatique. L’historique des compétitions précédentes nous assure que nous ferons face à un nombre accru de cyberattaques. Les JOP, en raison de l’intérêt qu’ils suscitent chez des centaines de millions de personnes et des flux financiers importants qu’ils génèrent, constituent une opportunité d’agir pour des acteurs aux motivations diverses. En effet, ces derniers peuvent chercher à perpétrer des actes malveillants à des fins lucratives, de déstabilisation (notamment liée au contexte géopolitique) ou encore d’espionnage.

Demain, l’organisation responsable et génératrice de confiance sera celle qui s’attache à maîtriser le risque numérique et fait preuve de sa capacité à se relever d'une crise d'origine cyber. Or, les crises cyber ont leurs spécificités : technicité du sujet, impacts fulgurants, évolutivité, sortie de crise longue, etc.

Il est nécessaire que chaque entité ait conscience de son rôle pendant les JOP, identifie les systèmes d’informations essentiels à la bonne tenue de l’évènement et prépare des procédures de fonctionnement dégradé si ces systèmes d’informations devaient être la cible d’une cyberattaque (et rendus indisponibles).

Il est donc essentiel de s'y préparer. Pour cela, l'organisation d'exercices de gestion de crise cyber est fondamentale.

Un kit dédié aux spécificités du contexte des JOP, prêt à l’emploi pour faciliter l’organisation d’exercices

Pour faciliter l’organisation d’exercice reproduisant le contexte des JOP, l’ANSSI a élaboré des kits d'exercice de gestion de crise cyber prêts à l'emploi.

L’agence déploie actuellement un kit d’exercice prêt à l’emploi en fournissant un accompagnement resserré auprès des acteurs critiques des Jeux. Il s’agit d’un modèle d’accompagnement qui a fait ses preuves lors de l’exercice REMPAR22, l’an dernier. Il offre à la fois une facilité d’organisation par rapport à l'envergure d’un exercice en propre, tout en maintenant une autonomie dans le choix des priorités et objectifs visés par chaque acteur.

Dans la droite ligne de cette stratégie visant à massifier l’accompagnement proposé par l’agence auprès des acteurs privés et publics, l’ANSSI met à présent à disposition un kit d’entrainement « JO massifié » dont le scénario est adapté en fonction du type d’organisation :

  • Sites de compétition (Stades, Centres sportifs, Monuments d’accueil, Espaces médias, etc.) ;
  • Collectivités hôtes (Communes et Collectivités territoriales hôtes) ;
  • Pouvoirs publics et organisateurs (Préfectures et forces de l’ordre, Comités d’organisation, etc.);          
  • Fournisseurs de service (Presse, Construction, Transport, IT et Telecom, etc.).

Au total, les organisations peuvent donc choisir parmi 12 formats d’exercice (4 types de secteur * 3 niveaux de maturité). Ainsi, les impacts métiers sont plus pertinents pour le contexte métier de l’organisateur.

Le chronogramme, élément central de l’exercice, est complétée par plusieurs éléments simplifiant l’organisation : stimuli, dossier de mise en situation, modèle de briefing joueur ou animateur, grille de RETEX, etc. L’investissement nécessaire pour organiser l’exercice en est fortement réduit.

Certains modèles d’outils pertinents en gestion de crise (main courante, annuaire, etc.) sont également intégrés pour les acteurs débutant sur cette thématique.

Enfin, comme les premiers kits d’exercices sectoriels publiés récemment, ce kit dédié aux JO est adapté selon 3 degrés de complexité correspondant au niveau de maturité qui peuvent être identifiés en réalisant une auto-évaluation du niveau de préparation à la gestion de crise d’origine cyber à partir de l’outil mis à disposition par l’ANSSI. Les organisations pourront ainsi s’assurer de conduire un exercice adapté à leur besoin.

Selon le niveau de maturité, un exercice sur table (niveau 1), une simulation (niveau 2) ou une simulation avancée (niveau 3) sont proposés.