Le secteur du sport n’est pas exclu du cyber-risque, il représente même une cible potentielle pour les cybercriminels. Quelles sont les vulnérabilités qui concernent le domaine et comment les exploiter ? Focus sur la cybersécurité dans le sport.
Le sport est un secteur dans lequel la cybersécurité n’est pas un sujet courant. Néanmoins, il faut juste s’y pencher davantage pour voir qu’il n’est pas si banal de trouver une relation entre les deux.
En effet, les sportifs peuvent se trouver dans la ligne de mire des pirates informatiques. Acteurs principaux dans ces disciplines, les hackers peuvent viser leur réputation, leur carrière ou encore leur intégrité physique. Dans notre société actuelle, ce sont des choses qui peuvent avoir un impact négatif sur le moral ainsi que la carrière des athlètes.
Cependant, ce ne sont pas les seules potentielles cibles d’une cyberattaque. Les sponsors, les supporters et les fournisseurs peuvent être aussi les victimes d’une personne malveillante.
La cybersécurité dans le sport : un placement à ne pas négliger par les organisations sportives
La cybersécurité doit être une préoccupation principale pour les plateformes et les sites dans le monde du sport qui traitent une grande quantité de données. En effet, les cyberattaques peuvent leur coûter des millions de dollars.
Dans cette optique, toutes les organisations sportives doivent adopter des mesures permettant de renforcer la protection des spectateurs, des athlètes ou encore les membres du personnel et d’autres parties prenantes qui utilisent souvent leurs infrastructures.
L’industrie du sport est la première cible des cybercriminels, ainsi, il est judicieux de prendre des mesures de protection. Les organisations qui ont opté pour une approche de la sécurité ajustée à l’identité sont mieux préparées que les autres quand il s’agit d’amoindrir l’exposition aux risques et de minimiser les dommages engendrés par les attaques.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Cybersécurité et sport : quels sont les risques ?
Les clubs sportifs et les fédérations : les plus ciblés
Le nombre de cybermenaces en France a quadruplé en seulement un an selon les rapports de cyberattaques en 2020.
À l’instar de nombreuses PME, et dans plusieurs pays, les clubs sportifs ainsi que les fédérations ne sont pas épargnés de cette triste réalité. Contrairement, le rapport du NCSC a déclaré qu’elles étaient deux fois plus touchées par les cybermenaces.
Du « ransomware » aux plus grandes attaques répertoriées dans un livre blanc sur la cybersécurité des sports olympiques, les pirates informatiques profitent de toutes les failles et les fragilités possibles.
Or, elles sont nombreuses à ne pas avoir conscience du risque cyber ou se sentent encore concernées, même si les actualités alarment sur ces faits. Parmi les clubs ciblés, on peut citer le club de Rugby de Montpellier MHR qui a été la cible d’un ransomware, le club de football de Paris qui a été victime d’une attaque de déni de service et la Fédération Française de Basketball qui a été très impactée en 2019.
Généralement, ce déni est causé par le manque de ressources, le défaut d’information et de sensibilisation sur les principales faiblesses ou encore le manque de connaissances en cybersécurité dans le monde du sport.
Viennent ensuite les installations en première ligne
Les stades dans lesquels les compétitions sportives se déroulent sont très innovantes en termes de technologies. Elles sont davantage automatisées, connectées et administrées grâce à des systèmes informatiques sophistiqués comme le « Building Management Systems ».
Ce genre d’infrastructure est en ce moment équipé d’ascenseurs, de climatisation, de système audio et de vidéo diffusion, des systèmes de sécurité physique, de Wi-Fi public ou encore des systèmes d’aide à l’arbitrage. Comme tous les dispositifs numériques, ces différents systèmes peuvent avoir des failles de sécurité pouvant entraîner des attaques cyber.
Différents scénarios peuvent ainsi se produire :
- sabotage de l’air conditionné ;
- sabotage de l’infrastructure électrique du stade ;
- piratage de l’intégralité des systèmes de réseaux Wi-Fi publics ;
- vol de données sur les appareils mobiles compromis ;
- injection de malwares ;
- déni de services des dispositifs de mesure de la performance sportive ou des systèmes d’assistance à l’arbitrage.
Outre le stade, les infrastructures d’accueil des délégations sont davantage numérisées. C’est ce qui s’est produit en Autriche en 2016, pendant le piratage du « Lakeside Alpine Hotel ». Plusieurs clients ont été bloqués dans leurs chambres après un ransomware.
Le sabotage des transports comme les aéroports, les trains, les signaux de trafic routier ou encore le métro est aussi l’un des scénarios qui peuvent se produire. D’ailleurs, il faut les prendre au sérieux. Certes, ce sont des systèmes très bien protégés, toutefois, l’attaque peut être organisée par des organisations structurées.
La compagnie aérienne nationale polonaise LOT a d’ailleurs été victime de ce genre d’attaque en juin 2015. Elle a dû annuler 20 vols après une attaque cyber contre l’aéroport à Varsovie.
Les systèmes de navettes véhiculant les spectateurs pourraient être ciblés par ces attaques prochainement. Par ailleurs, il faudra anticiper certains risques comme le sabotage de la génération électrique ou sa distribution, la qualité de l’eau courante ou encore les climatisations automatiques.
Les rencontres sportives : des événements pleins d’opportunités pour les pirates informatiques
Le livre blanc répertorie quatre grandes catégories de cyberattaques qui peuvent cibler les événements sportifs.
L’infiltration des sites sportifs et leurs systèmes d’information
Ce type d’attaque permet aux hackers de s’infiltrer dans les sites des organisations sportives. La tentative de phishing arrive aussi très souvent dans ce cadre.
À ce niveau, les cyberattaques répertoriées sont nombreuses. En premier, on peut citer l’attaque de la Fédération anglaise de rugby ou les sites de la Formule 1. La coupe du monde de football 2014 au Brésil a aussi été victime. Ils ont subi des attaques DDos qui ont complètement mis hors service le site du ministère du Sport.
Se protéger contre le détournement de billet
L’emplacement aux manifestations est aussi à l’origine des attaques cyber. La vente de billets permet aux criminels de voler des informations personnelles et les codes de cartes de crédit. Mais comment ? Le pirate informatique peut créer un site factice de vente de billets pour tromper les spectateurs. Il s’agit d’une attaque appelée « phishing ». Pour piéger les spectateurs, les pirates proposent par exemple des billets à prix très abordable. On a relevé une importante escroquerie à la billetterie involontaire durant les Jeux olympiques de 2008 à Beijing et de 2012 à Londres.
Vol et révélation des données personnelles des athlètes
Les renseignements personnels des athlètes de haut niveau sont souvent très sensibles. La divulgation de leurs informations peut leur nuire. Les pirates en profitent ainsi pour leur faire pression ou leur soutirer de l’argent. En 2015, des données sur plusieurs athlètes ont été divulguées après l’attaque de l’Agence mondiale antidopage.
Les cyberattaques contre les spectateurs
Les fans de sport sont des cibles faciles pour les personnes malveillantes, surtout qu’ils sont bien connectés et mal protégés.
D’ailleurs, lors des Jeux olympiques d’hiver de Sotchi, le comité d’organisation a dû sensibiliser les spectateurs à d’éventuels risques d’infiltration de leurs renseignements personnels vu qu’ils sont les principales proies des hackers.
Le système d’Information : le talon d’Achille des organisations sportives
Depuis quelques années, le parc informatique des clubs historiques ainsi que les grandes fédérations nationales ont connu une importante hausse. De l’autre côté, leurs SI sont devenues plus sophistiquées, mais ils n’ont pas eu recours à un responsable de sécurité.
Les vulnérabilités et les brèches les plus profité sont :
- le manque de visibilité sur tous le SI ;
- les connexions avec des systèmes externes ;
- l’ignorance des menaces cyber.
Le déficit de visibilité sur les SI ainsi que leurs interconnexions avec les prestataires forment plusieurs angles morts dans lesquels les pirates informatiques peuvent entrer facilement.
À cela s’ajoutent plusieurs interconnexions avec d’autres prestations (les boutiques en ligne, la billetterie et les plateformes dans le cloud), le manque d’une équipe en charge de la sécurité informatique et une ignorance globale des cybermenaces par les personnels de la structure et vous aurez un paradis pour les cybercriminels.
Des solutions de cybersécurité pour se protéger dans le monde du sport
Il existe différentes manières de gérer le risque cyber au sein d’une organisation sportive.
Renforcer la cybersécurité : alléger le DSI et augmenter sa compétence
Pour remédier au problème d’absence de responsable sécurité des systèmes d’information RSSI en interne, il est possible de recourir au service d’un professionnel de cybersécurité dans le secteur de la santé. Le DSI de l’entreprise peut collaborer avec ce genre d’expert pour évaluer la menace, et ce, de manière continue.
Cartographier tous les SI et analyser continuellement les activités
Le Security Operation Center ou SOC est un service qui permet d’évaluer à distance la sécurité d’une plateforme en ligne.
Le SOC « outil managé » est basé sur une solution logicielle ou matérielle créée spécialement par le prestataire. Certains d’entre eux sont fondés sur une sonde qui sert à surveiller 24/7 en continu l’activité du SI. Il joue également le rôle d’informateur auprès du DSI des agissements suspects.
Le service managé est très facile à mettre en place et est rapidement opérationnel. Grâce à ce dernier, il est possible d’analyser le SI à tout moment, de diriger les gestionnaires IT dans les opérations correctives et leurs prises de décisions ou encore de repérer les incidents.
Au sein d’une organisation sportive, cette technique propose de nombreux avantages. Elle permet au DSI d’avoir plus de compétences sur les cyberattaques sans faire appel à une ressource dédiée comme le RSSI. En fait, elle se repose sur l’étude d’une structure à jour en temps réel sur les nouvelles fragilités.
La technologie : un autre allié pour la cybersécurité dans le sport
Le sport et la technologie ne font pas souvent bon ménage. Pour ce qui est du domaine militaire, l’application Strava sert à analyser le chemin de jogging des agents. Ce programme a montré la place d’une base, par le biais des renseignements.
Le CLTC a aussi annoncé une courbe sur laquelle on aperçoit les attaques actuelles et celles qui sont susceptibles de se produire à travers les nouvelles technologies pour les prochaines années.
Dès lors, le monde sportif doit-il tendre à une importante digitalisation ? Effectivement, car les exploits sportifs pourront être améliorés. La pratique des joueurs envers leur sport changera en même temps.
La digitalisation est l’un des éléments à améliorer dans le secteur pour les années à venir, renforçant les capacités sportives ainsi que les impressions des spectateurs. L’expérience vécue sera ainsi divergente et plus surprenante.
En outre, il est essentiel d’envisager les risques et de saisir s’ils seront invoqués au même titre que les solutions de prévention et la sécurité adjointes. Cette évolution expose les joueurs de haut niveau encore plus en danger.
Le risque physique arrive en premier lieu, parce que dans la pratique du sport, les différentes infrastructures qui entourent le sportif pourraient lui porter atteinte. En cas de blessure grave, il peut arrêter sa carrière.
Le deuxième risque peut impacter la réputation de l’athlète, portant préjudice à son intégrité morale. Ce sont des risques qui proviennent généralement des informations personnelles qui peuvent lui apporter du discrédit, et ce, sur le plan professionnel ou personnel.
En 2025, de nouvelles menaces peuvent affecter le cadre du sport de haut niveau :
- la compromission des vidéos utilisées pour l’arbitrage ;
- les accès robotisés aux stades ;
- la manipulation des billetteries en ligne.
La hausse actuelle du tourisme peut aussi devenir encore plus importante. L’athlète et sa santé seront au cœur de problématiques cyber, sa réputation et son intégrité physique seront visées par les hackers. Renforcer la cybersécurité dans le monde du sport est donc plus important que jamais.
Vers une mise en œuvre des normes et des politiques de sécurité
Les sites et les organisations sportives doivent instaurer des protocoles et des solutions de sécurité dans le cadre de leur culture générale.
La cybersécurité est une activité d’équipe, les acteurs dans le monde du sport doivent ainsi comprendre l’importance des risques auxquels ils sont confrontés avant de pouvoir établir un plan efficace.
Pour se protéger des cyberattaques, votre organisation doit connaître les potentielles menaces et les manières dont elles affectent votre organisation, si elles sont exécutées.
Par ailleurs, il est primordial d’avoir une politique écrite pour chaque type d’attaques, surtout les courriels d’hameçonnage, les données compromises sauvegardées dans les systèmes informatiques, les fichiers infectés par les logiciels malveillants, etc. Vous devez vous assurer que toutes les personnes qui ont accès aux systèmes peuvent réagir correctement en cas de menaces.
Enfin, les collaborateurs doivent être formés aux différentes pratiques quand vient le moment d’appliquer ces plans. Par exemple, ils doivent être habitués à ne cliquer sur les liens contenus dans les messages électroniques qu’une fois après avoir vérifié sa validité auprès des autres collaborateurs. En effet, lorsque les employés sont bien formés aux enjeux de la cybersécurité dans le monde du sport, ils sont capables de travailler efficacement, sans exposer les protocoles de sécurité.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
Les acteurs du sport, tels que les sportifs, les sponsors, les supporters et les fournisseurs, peuvent être des cibles potentielles de la cybercriminalité. Les clubs sportifs et les fédérations sont particulièrement vulnérables aux attaques, notamment le vol de données personnelles, les attaques DDoS, les ransomwares et les attaques par phishing. Les stades et les infrastructures d'accueil des délégations peuvent également être des cibles d'attaques cyber, tout comme les systèmes de transport utilisés pendant les événements sportifs.
Les organisations sportives peuvent renforcer leur cybersécurité en adoptant des mesures de protection telles que la cartographie et l'analyse en continu de leur système d'information, l'augmentation de la compétence de leur DSI en matière de sécurité informatique, la collaboration avec des experts en cybersécurité et l'utilisation de technologies de sécurité telles que le Security Operation Center (SOC).
La digitalisation peut offrir de nombreux avantages dans le monde du sport, tels que l'amélioration des performances des athlètes, une expérience plus immersive pour les spectateurs et une meilleure gestion des événements sportifs. Toutefois, la digitalisation peut également exposer les organisations sportives à de nouveaux risques en matière de cybersécurité, ce qui souligne l'importance de renforcer la protection des systèmes d'information.
