Le Tour de France reste une cible de choix pour les cyberattaques
Peu d'événements sportifs doivent répondre à des défis logistiques à la hauteur du Tour de France. Pour éviter les cyberattaques et garantir l'intégrité de la diffusion, l'organisateur de l'événement, ASO, utilise le cloud et une sécurité physique rigoureuse.
Les cyber incidents, rares autrefois dans l'industrie du sport, sont devenus monnaie courante. Si les organisations sportives collectent et stockent de grandes quantités d'informations sensibles et précieuses, les incidents eux-mêmes sont souvent liés à des facteurs politiques. Ce fut, par exemple, le cas de la cyberattaque qui a frappé la cérémonie d'ouverture des Jeux olympiques d'hiver de 2018 en Corée du Sud. Baptisée OlympicDestroyer, cette attaque, attribuée à la Russie probablement en représailles à l'interdiction d'accès de ses athlètes, avait entraîné l'arrêt de plusieurs services, dont l'application officielle d'achat de billets. L'attaque avait également visé le fournisseur de services informatiques de l'événement. Ces dernières années, l'Agence mondiale antidopage et l'instance dirigeante de l'athlétisme World Athletics ont également été piratées. À cette occasion, les données médicales de nombreux athlètes du monde entier ont été volées. La FIFA a également subi des fuites d'informations suite à une violation de ses systèmes.
Les événements sportifs sont suivis par des millions de téléspectateurs à travers le monde, c'est pourquoi la diffusion télévisée est une cible de choix pour des pirates ayant des revendications politiques. Ces dernières années, des pirates se revendiquant de la cause islamiste ont lancé des attaques contre des émissions françaises et israéliennes. En 2019, ils avaient notamment perturbé la diffusion du concours de l'Eurovision et envoyé de fausses alertes aux missiles. Amaury Sport (ASO), organisateur du Tour de France, la plus grande manifestation cycliste du monde, doit s'assurer que toutes les informations qu'il diffuse ne seront pas perturbées par des interférences d'aucune sorte.
Plus de données à protéger avec la transformation numérique
Plus de 170 cyclistes parmi les meilleurs du monde viennent s'affronter dans le Tour de France. En 2019, plus de 10 millions de personnes se sont massées aux bords des routes pour suivre l'évolution des sportifs le long d'un parcours de 21 étapes couvrant 3500 kms et réparti sur 23 jours. Des millions d'autres personnes regardent aussi la course à la télévision ou sur le site officiel et le portail web de la course. Récemment, l'événement a nettement amélioré ses capacités de numérisation pour offrir autre chose que de simples images des coureurs. Auparavant, la localisation et la position des cyclistes étaient calculées manuellement par des observateurs. « Aujourd'hui, nous récupérons la position GPS, des flux de données de chaque coureur, et nous sommes donc capables de produire beaucoup d'informations », a déclaré Pascal Queirel, DSI de ASO. « Nous voulions vraiment révolutionner l'expérience visuelle et localiser tous les coureurs en temps réel, en donnant d'abord aux diffuseurs plus d'informations sur les leaders, et en permettant aux fans de rechercher des informations sur des coureurs spécifiques ».
Après avoir collecté les données, ASO et son partenaire numérique NTT diffusent à la fois le flux de diffusion et les informations sur l'emplacement précis des coureurs, leur position dans la course et leur vitesse. Sauf pour ce qui est des flux de diffusion traditionnels, le processus passe principalement par le Race Center, un portail web qui sert de centre d'informations en temps réel sur les positions des coureurs, la météo et le contenu rich media, plus des informations plus statiques sur la géographie des étapes et quelques données biographiques sur les coureurs. Ces informations sont envoyées aux téléspectateurs dans un format facile à traiter.
Logistique, échelle et sécurité
Pendant le Tour, l'équipe numérique se préoccupe surtout de la disponibilité et de l'intégrité de la diffusion et du centre de course. La diffusion ne doit pas être perturbée et les informations concernant l'événement et les coureurs doivent être justes. Une interruption de la diffusion aurait un impact non seulement sur ASO, mais aussi sur tous les diffuseurs avec lesquels travaille l'organisateur et sur l'expérience des fans. « Les données que nous traitons sont toutes disponibles en temps réel, en ligne », a encore déclaré M. Queirel. « Les principaux risques sont le déni de service, l'attaque de certaines fonctionnalités du site ou un détournement du site ».
En termes d'échelle et de logistique, peu d'évènements peuvent se comparer au Tour de France : 180 camions déplacent tout entre chaque étape, y compris l'infrastructure technologique du Tour. Pour Pascal Queirel, le DSI de ASO et Tim Wade Wade, le vice-président Global CTO de NTT, le Tour est un énorme puzzle logistique qui demande chaque jour la mise en place de multiples niveaux de sécurité. « Chaque jour, nous déplaçons un datacenter embarqué dans un gros camion d'une ville à l'autre », a expliqué le DSI d'ASO. « Chaque jour, nous déployons notre grosse connexion Internet avec tous les fournisseurs, tous les partenaires, et tous les diffuseurs ».
Un partenaire clef : NTT
ASO et sa société mère, les Éditions Philippe Amaury - le groupe de médias français qui détient notamment le journal sportif L'Équipe - disposent de leurs propres équipes de sécurité. Mais, pour le Tour de France, une grande partie de la responsabilité de la sécurité est déléguée à NTT. « Nous devons séparer nos systèmes internes et le système que nous mettons en place sur site pendant l'événement. C'est sur ces systèmes spécifiques, qui se déplacent chaque jour d'un endroit à l'autre, que nous devons être vigilants et nous concentrer pendant l'événement ». Un informaticien de l'équipe du site web d'ASO est affecté au Tour pour résoudre d'éventuels problèmes de charge ou de site web, et la NTT met trois techniciens à disposition sur site, tout le reste de l'équipe technique travaillant à distance. L'ASO accorde aussi beaucoup d'attention à la sécurité physique. Dès que les camions sont garés, des clôtures sont érigées, des contrôles d'accès nécessitant une accréditation et des cartes RFID sont installés, et des agents de sécurité patrouillent la zone en permanence.
Il y a et il y aura probablement toujours, une présence physique sur place pour superviser les aspects technologiques. Mais l'époque des appliances multiples et des connexions physiques directes pour échanger les données entre camions et partenaires sur site avec des câbles est révolue, et le déploiement se fait en grande partie dans le cloud. « Avant le début du Tour, nous réservons toujours quelques jours pour vérifier que tout fonctionne, résoudre les éventuels problèmes et mettre en place les connexions », a expliqué Tim Wade. « Non ne devons plus faire, comme c'était le cas auparavant, des déploiements très compliqués au jour le jour, où il fallait aller chercher les câbles et nous assurer que tout était sécurisé et que toutes les configurations étaient opérationnelles ».
L'innovation testée avant la Tour
Aujourd'hui, ces connexions sont toutes basées sur le cloud. Les intégrations se font par le biais de web sockets avec un token sécurisé sur un VPN et sont configurées avant la course elle-même. Cela signifie que les équipes peuvent régler un plus grand nombre de problèmes d'intégration potentiels à l'avance et que si des problèmes surviennent pendant l'événement, ils peuvent également être traités à distance. Il faut peu d'infrastructures physiques sur le site, ce qui réduit les risques d'intrusion dans les équipements. « Ces sessions sont déjà configurées et sécurisées en amont, ce qui nous permet d'avoir un déploiement plus sûr, car nous pouvons utiliser des outils basés sur le cloud pour la protection des points d'extrémité, la protection DDoS et l'antivirus », a expliqué M. Wade. « Finalement, notre équipement sur site est assez restreint et n'est pas accessible par des personnes qui se promènent ».
En plus du Tour de France et d'autres courses cyclistes de taille plus modeste, l'ASO organise des événements de sport automobile comme le rallye Dakar, de voile comme le Tour Voile, des événements qui rassemblent un grand nombre de participants comme le Marathon de Paris et du golf avec l'Open de France féminin de Golf Lacoste. Cependant, le Tour de France reste l'évènement le plus important organisé par l'ASO et celui sur lequel l'organisateur concentre le plus de ressources. « Le Tour de France est unique », a déclaré M. Queirel. « C'est le seul événement cycliste qui réunit plus de 40 diffuseurs sur site à la ligne d'arrivée, et attire plus de 2 millions de personnes sur les bords du circuit. C'est exceptionnel ». Les mêmes composants numériques et de sécurité de produits comme Race Center développés pour le Tour, sont ensuite réutilisés pour de plus petits événements, si cela s'avère pertinent. Ils peuvent être facilement redéployés à partir du cloud. « Dans notre organisation, c'est vraiment le Tour de France qui est prioritaire », a encore expliqué M. Queirel. « Et toute innovation pour le Tour est testée avant l'évènement. Notre devise, c'est : « pas de tests sur le Tour de France ».
