Cybersécurité des JO 2024 : bilan et enseignements clés

Revenir Ă  la page
Newsletter
MĂ©lanie Lebrun
31/1/2025

Bonjour ïžđŸŽ‰,

Je vous retrouve pour l'édition de janvier du Récap'IT. Je pense que tout le monde le voit venir, on va parler de Donald Trump qui à peine arrivé a déjà pris un certain nombre de mesures. Pas d'inquiétude, je ne vais pas parler politique mais bien cyber.

Le Clusif a tenu son panocrim 2024. Je vais vous présenter le débrief des JO.

📅 O n the program today:

  • CybersĂ©curitĂ© et JO
  • Suppression des instances de cybersĂ©curitĂ© aux USA
  • L'IA en freestyle ?
  • Fuite de donnĂ©es, que dit la CNIL ?
  • The jumble column
  • Cyber attacks of the month
  • News from Youzer

👉 Go!!

Before we begin, I invite you to follow us đŸ‘‰ïž

­

‍

đŸ€ș CybersĂ©curitĂ© et Jeux Olympiques : un dĂ©fi colossal relevĂ©

Organiser les Jeux Olympiques, c'est gĂ©rer une ville Ă©phĂ©mĂšre ultra-connectĂ©e oĂč chaque systĂšme informatique doit fonctionner sans accroc... tout en Ă©tant la cible de cyberattaques en continu. Une mission titanesque qui a demandĂ© plus de 4 ans de prĂ©paration et une vigilance de chaque instant.

La menace Ă©tait bien rĂ©elle : 55 milliards d’évĂ©nements de cybersĂ©curitĂ© dĂ©tectĂ©s, 71 000 alertes traitĂ©es, et 2 200 incidents nĂ©cessitant une intervention humaine.

DDoS, tentatives d’intrusions physiques, phishing ciblĂ©, attaques sur la chaĂźne d’approvisionnement... Les assaillants Ă©taient bien prĂ©parĂ©s, mais l’équipe cyber l’était encore plus.

‍

Le SOC (Security Operations Center) a tournĂ© 24/7 pendant huit semaines, avec une centaine d’experts en rotation permanente. Des Ă©quipes de terrain, surnommĂ©es la "running squad", ont sillonnĂ© les sites pour repĂ©rer et corriger les failles avant qu’elles ne deviennent des brĂšches exploitables.

‍

Des mots de passe sur des Post-it ? Des portes de data centers coincées ouvertes ? Corrigés en urgence, parce que chaque détail comptait.

Alors comment expliquer que, malgré ce tsunami de menaces, les JO se soient déroulés sans incident majeur ?

‍

Trois piliers ont fait la différence :
đŸ”č Anticipation : Une prĂ©paration entamĂ©e trĂšs tĂŽt, avec des simulations et des entraĂźnements rĂ©pĂ©tĂ©s.
đŸ”č Expertise : Un Ă©cosystĂšme rĂ©unissant les meilleurs experts, aussi bien chez les partenaires privĂ©s que du cĂŽtĂ© des autoritĂ©s publiques.
đŸ”č CoopĂ©ration : Un travail main dans la main avec l’ANSSI, les grands acteurs de la cybersĂ©curitĂ© et toutes les parties prenantes des JO.

‍

Mais la clĂ©, c’est avant tout l’humain. Sensibilisation massive, entraĂźnement intensif, et une Ă©quipe cyber soudĂ©e et affĂ»tĂ©e. Quelques mois avant les Jeux, une simulation de spear phishing ciblĂ©e a montrĂ© des rĂ©sultats impressionnants : 0 clic sur les liens malveillants. Une preuve que la prĂ©paration paye.

‍

La cybersécurité des JO 2024 est une réussite car elle a été collective.

Un rappel que la sĂ©curitĂ©, c’est avant tout une question de prĂ©paration, de rigueur
 et d’humains qui font la diffĂ©rence.


Source : conférence du Clusif du 23 janvier 2025 - intervenant Franz Regul directeur cybersécurité du COJOP Paris 2024.

DĂ©brief de l'Ă©quipe cyber de Paris 2024

Get the best of the month's IT news.
Market developments, IT trends, cyberattacks in France... a digest of the latest news.

Recevoir l'actu IT

đŸ€” Suppression du DHS - Department of Homeland Security

L’administration Trump a rĂ©cemment dissous des comitĂ©s clĂ©s comme le Cyber Safety Review Board (CSRB), qui enquĂȘtait sur des cyberattaques majeures telles que "Salt Typhoon", attribuĂ©e Ă  des hackers soutenus par la Chine. Cette dĂ©cision s’inscrit dans une logique de rationalisation des dĂ©penses publiques et de centralisation des initiatives pour une gestion plus directe des prioritĂ©s nationales. L’objectif semble ĂȘtre de limiter les coĂ»ts et d’éviter une dispersion des efforts, tout en privilĂ©giant une approche plus centralisĂ©e des enjeux de cybersĂ©curitĂ©. Cependant, elle soulĂšve des inquiĂ©tudes quant Ă  l’impact sur la cybersĂ©curitĂ©.

  • Moins de transparence et d’analyse : Sans ces comitĂ©s, les enquĂȘtes sur les cybermenaces risquent de manquer de profondeur et de partage d’enseignements.
  • Perte de coordination internationale : La coopĂ©ration avec les alliĂ©s pourrait s’affaiblir, isolant les États-Unis.
  • Encouragement des attaquants : Cette dĂ©cision pourrait ĂȘtre perçue comme un signe de faiblesse, incitant les cybercriminels Ă  intensifier leurs actions.
  • Sans ces structures publiques et indĂ©pendantes, les USA vont se tourner vers le secteur privĂ© pour la cybersĂ©curitĂ©. Elles sont certes plus rĂ©actives mais elles ont surtout des objectifs financiers.

J'ai poussĂ© l'analyse avec cette rĂ©flexion : quel intĂ©rĂȘt ? Les USA ne veulent peut-ĂȘtre pas froisser davantage la Chine avec qui les tensions sont dĂ©jĂ  fortes. Des experts indĂ©pendants n'auront pas de difficultĂ© Ă  pointer du doigt des failles de sĂ©curitĂ© dans le systĂšme AmĂ©ricain, ce que l'administration n'a pas envie de montrer. Un peu d'opacitĂ© est prĂ©fĂ©rable.

Bien que cette dĂ©cision reflĂšte une volontĂ© de simplifier les structures et de recentrer les efforts, elle pourrait Ă©galement engendrer des vulnĂ©rabilitĂ©s Ă  moyen et long terme. La cybersĂ©curitĂ©, domaine complexe et en constante Ă©volution, nĂ©cessite un Ă©quilibre entre efficacitĂ© administrative, collaboration internationale et capacitĂ© d’adaptation face aux menaces Ă©mergentes.

Source : LeMagIT

Suppression du DHS aux USA

­

‍

đŸ€– L'IA en freestyle ?

Le prĂ©sident Donald Trump a rĂ©cemment abrogĂ© le dĂ©cret de Joe Biden encadrant les risques liĂ©s Ă  l’intelligence artificielle. Cette dĂ©cision vise Ă  stimuler l’innovation technologique en supprimant des rĂ©gulations jugĂ©es contraignantes, mais soulĂšve des dĂ©bats sur ses impacts Ă  court et long terme.

‍

L’abrogation favorise une accĂ©lĂ©ration du dĂ©veloppement de l’IA en rĂ©duisant les contraintes bureaucratiques. Les entreprises amĂ©ricaines pourront mettre leurs produits sur le marchĂ© plus rapidement, renforçant ainsi leur compĂ©titivitĂ© face Ă  des puissances comme la Chine et l’Europe. Ce cadre plus flexible encourage les investissements et l’innovation, notamment dans les start-ups et les technologies Ă©mergentes. En parallĂšle, un nouveau groupe de travail devra proposer une stratĂ©gie nationale pour maintenir le leadership amĂ©ricain.

‍

Cependant, l’absence de rĂ©gulation accroĂźt les risques de dĂ©rives. Les technologies pourraient ĂȘtre dĂ©ployĂ©es sans Ă©valuation suffisante des impacts Ă©thiques et sĂ©curitaires, exposant le public Ă  des biais algorithmiques ou des cybermenaces. De plus, cette approche pourrait fragiliser les initiatives d’IA responsable et compliquer les relations internationales, notamment avec l’Union europĂ©enne, qui prĂŽne des cadres rĂ©glementaires stricts.

‍

L’équilibre entre innovation et rĂ©gulation sera crucial pour Ă©viter que ces avancĂ©es ne deviennent des sources de nouveaux dĂ©fis sociĂ©taux.


Source : APNews, TheVerge, LeMagIT

Libration de l'IA, bon ou mauvais

­

‍

💧 Fuite de donnĂ©es, que dit la CNIL ?

En 2024, la CNIL a observé une augmentation significative des violations de données personnelles, avec une hausse de 20 % par rapport à l'année précédente, atteignant un total de 5 629 incidents signalés.

‍

Parmi ces violations, plusieurs ont concerné des bases de données de grande envergure, touchant des millions de Français. Face à cette situation préoccupante, la CNIL recommande aux organisations de renforcer leurs mesures de sécurité pour protéger les données personnelles qu'elles détiennent.

‍

ParallÚlement, la réutilisation des données personnelles est devenue un sujet central. La CNIL rappelle que toute réutilisation doit respecter les principes fondamentaux du RGPD, notamment la compatibilité avec la finalité initiale de la collecte, l'obtention du consentement explicite des personnes concernées en cas de nouvelle finalité, la garantie de la qualité et de la sécurité des données, ainsi que l'information des individus sur leurs droits.

‍

Il est essentiel pour les organisations de rester vigilantes et de mettre en Ɠuvre des mesures appropriĂ©es pour assurer la protection des donnĂ©es personnelles, tant lors de leur collecte que lors de leur rĂ©utilisation.

Source : CNIL

Would you like to receive our white paper on identity and access management?

Nous n'avons pas pu confirmer votre demande.
Votre demande de livre blanc est bien prise en compte.

Pell-mell

  • Une fuite de donnĂ©es massive impliquant Gravy Analytics, une entreprise spĂ©cialisĂ©e dans la collecte de donnĂ©es de gĂ©olocalisation, a Ă©tĂ© rĂ©vĂ©lĂ©e rĂ©cemment. Un Ă©chantillon de 30 millions d'identifiants sur un total de 7 milliards a Ă©tĂ© briĂšvement mis en ligne sur un forum de hackers russe avant d'ĂȘtre retirĂ©.
    L'entreprise collecte via des applications des données de géolocalisation et revend ensuite ces informations.
    Bien que les identités des utilisateurs ne soient pas directement exposées, il est possible de les déduire en combinant ces données avec d'autres informations. Des agences gouvernementales comme le FBI figurent parmi les utilisateurs de ces données, ce qui soulÚve des questions sur la surveillance des citoyens.
    Voici quelques applications concernées : Tinder, Grindr, Yahoo Mail, Candy Crush... plus de 3000 applications sont concernées dont les thÚmes sont le jeu, la religion, la santé...
    Source : Numerama
  • L'association europĂ©enne de protection des donnĂ©es a portĂ© plainte contre plusieurs entreprises comme AliExpress, Shein, Tiktok et Xiaomi Technology qui confirment des transferts de donnĂ©es vers la Chine. L'association considĂšre que la Chine en tant que pays autoritaire n'offre pas les mĂȘmes niveaux de protection des donnĂ©es que l'UE.

  • Puisque je vous envoie cette news juste aprĂšs l'annonce de Deepseek voici un petit Ă©tat des lieux :
    ✅ Points positifs :
    â–ȘRapiditĂ© et fluiditĂ© : RĂ©ponses ultra-rapides, notamment pour l’analyse de documents.
    â–ȘCapacitĂ©s avancĂ©es : Bonne gestion des fichiers (jusqu'Ă  50 documents, 100 Mo par fichier).
    â–ȘPerformances open-source : Surpasse les autres modĂšles open-source en benchmarks.
    â–ȘCoĂ»t ultra-compĂ©titif : API bien moins chĂšre que la concurrence.
    â–ȘArchitecture MoE optimisĂ©e : Permet une gestion plus efficace des ressources.
    â–ȘBonne prise en charge du chinois et des langues multilingues.

    ❌  Points nĂ©gatifs :
    â–ȘFiabilitĂ© des rĂ©ponses : Certaines erreurs factuelles, notamment en recherche web.
    â–ȘCensure et biais : Blocage de sujets sensibles comme Tiananmen sans connexion internet.
    â–ȘMoins performant que GPT-4o & Claude : Notamment pour les tĂąches complexes.
    â–ȘManque de fonctionnalitĂ©s : Pas de gĂ©nĂ©ration d’images.
    â–ȘProblĂšmes de sĂ©curitĂ© et de confidentialitĂ© : DonnĂ©es stockĂ©es en Chine, non conforme RGPD et AI Act.
    â–ȘAbsence de mĂ©moire personnalisĂ©e : Moins adaptĂ© aux usages longs et approfondis.
    Source : Ludovic Salenne
Deepseek point sur cette IA

­

‍

☠ Cyberattacks of the month

Kiabi : des cybercriminels pĂ©nĂštrent 20 000 comptes clients des donnĂ©es personnelles sont consultĂ©es comme le nom, le prĂ©nom, l'adresse et đŸ„ l'IBAN. Cette attaque est trĂšs probablement du type credential stuffing c’est-Ă -dire que vos donnĂ©es sont vendues et que des hackers tentent de nombreux sites avec l'email + mot de passe (qui est rĂ©utilisĂ© tout le temps).

‍

Showroomprivé : une série de tentatives de connexions à des comptes clients a eu lieu. Nous sommes encore sur une attaque type crendial stuffing. Showroomprivé a identifié les comptes concernés et a fait un reset des mots de passe.

‍

E.Leclerc : tentatives d'accÚs à des comptes Primes énergies. L'enseigne recommande de changer les mots de passe. Les données exposées sont, nom, prénom, mail, identifiants, mot de passe, n° de dossier...

‍

Plusieurs fédérations sportives : 4.5 millions de données ont été exflitrées. Les fédérations concernées sont : la boxe, les sports automobiles, le motocyclisme, le roller & skate, le tir à l'arc, la montagne et l'escalade, la force, sportive et culturelle.

‍

ENGlobal : société américaine qui gÚre des services d'ingénierie et d'automatisation pour le gouvernement fédéral américain ainsi que pour des infrastructures critiques s'est fait hacké. Des données personnelles compromises et des accÚs cryptés.

‍

Deepseek : une vulnérabilité a été exploitée et 1 million de lignes de journaux a été exposé. Il comprenait des discussions en claires, des clés API et des détails de développement back-end.

­

‍

What's new at Youzer?

Les bons droits Ă  la bonne personne

‍

Attribuer les bons droits à la bonne personne ça passe aussi par vérifier réguliÚrement que cette politique est toujours correctement appliquée.
Chez Youzer nous avons un module qui s'appelle 'alignement' et qui vous permet de vérifier que chaque utilisateur a des accÚs et des droits en adéquation avec son profil de base.


Les profils sont gérés par des packages applicatifs.

  • Vous paramĂ©trez un ensemble d'applications et de droits spĂ©cifiques pour un service, un type de poste, de contrat, etc.
  • Vous attribuez un package spĂ©cifique pour un utilisateur.

‍

=> Youzer vous avertit s'il y a un écart entre le package qui a été appliqué pour un utilisateur et les accÚs et droits qui lui sont actuellement attribués.

Si l'écart est réel, une correction automatique vous est proposée, sinon vous pouvez ignorer la recommandation.

Je veux une démo

‍

‍

Thanks for reading this far!

Would you like to discuss a project?

That's what I'm here for 👋.

👉 Contactez-nous sur Youzer

‍

On vous a transfĂ©rĂ© la newsletter et vous la trouvez top ??  Inscrivez-vous ici 👇

I subscribe to the IT Recap

Partagez cette newsletter, c'est ce qui la fait vivre !

‍

Humour internet / openai /deepseek

‍

Linkedin Melanie Lebrun

Every month, I send you my discoveries and analyses of IT news.
I do a lot of monitoring and I share it all!

I'm MĂ©lanie and I'm Youzer's marketing manager.

About me? I have an unquenchable thirst for learning! I'd rather read a book 100 times than see a movie. I'm a fan of HP đŸ§™đŸŒ.
I run and rollerblade as a team sport (don't look it up, it's dangerous).

Close

Hey! you know the drill :) We use anonymous data analysis cookies. By "Accept all cookies", you help us understand (anonymous) page views. Learn more about our privacy policy.
PreferencesRefuseAccept