[Article mis à jour le 28 février 2024 à 16h47] Le vol des plans de sécurité des JO 2024 survenu lundi dans un train à Paris interroge. Les documents contenus dans les clés USB et ordinateur dérobés pourraient constituer une menace pour la sécurité nationale, ce qui irrite la communauté cyber.
Un ingénieur de la mairie de Paris qui s'apprêtait à changer de train, lundi soir à la gare du Nord, a porté plainte pour le vol d'une sacoche au départ déposée au dessus de son siège. Elle contenait un ordinateur portable ainsi que deux clés USB, qui stockaient des plans de sécurisation de la police municipale parisienne pour les Jeux olympiques de Paris, qui débuteront dans 149 jours. Le président-directeur général de la société UBCOM, Frans Imbert-Vier, spécialisée dans la protection cyber des entreprises, déplore l'aspect grotesque et surtout dangereux de la situation.
Mise à jour :
Le parquet de Paris a confirmé, mercredi, que la clé USB volée qui stockait des documents directement liés aux JO de Paris « ne contenait que des notes en lien avec la circulation dans Paris lors des Jeux olympiques et non sur des dispositifs de sécurité sensibles ». Signe des tensions autour de l'affaire, la mairie de Paris a pris la peine de procéder aux « réinitialisations nécessaires », pour éviter toute intrusion dans son système informatique.
Un vol de documents qui n'est pas sans risque pour la sécurité des Jeux de Paris
« Le vol des plans de sécurité des JO de la mairie de Paris est l'incident le plus improbable qui soit, agrégé d'un cumul d'erreurs sidérantes et sans doute révélateur d'une carence qui pourrait s'avérer mortelle », peste Frans Imbert-Vier. Selon lui, le premier problème dans tout cela, c'est la réaction suite au vol.
Le dirigeant estime qu'au vu de la sensibilité des éléments stockés dans les clés USB et l'ordinateur, « le responsable Sureté et le juridique de la mairie de Paris n'auraient pas dû prévenir la police et déposer une plainte ». Car oui, la plainte a non seulement permis de rendre publique la disparition des éléments, mais « il se trouve que probablement, le voleur ne savait pas ce qu'il venait de prendre. Maintenant, il le sait sans doute », ajoute le dirigeant.
En réalité, la mairie de Paris aurait d'abord dû alerter la Direction générale de la sécurité intérieure (DGSI), qui aurait fait en sorte de ne pas rendre publique l'affaire. La DGSI aurait pu « engager une enquête à la hauteur de l'enjeu », selon Frans Imbert-Vier.
Tout est à refaire pour la sécurité des JO de Paris ?
Certains d'entre vous ont pu très justement le souligner dans les commentaires sous notre premier article. Que faisaient donc des informations sensibles dans une clé USB ? Le CEO d'UBCOM se le demande aussi. « Ce qui surprend tout de même, c'est qu'en 2024, on puisse extraire des informations qui devraient avoir une classification "Secret défense" sur une clé USB et en extérieur d'un site et sans être chiffré. »
Le spécialiste estime que le salarié de la mairie de Paris n'a sans doute pas été formé ni sensibilisé à ces risques, et ne peut que déplorer l'absurdité de la situation. « Cela dénote le niveau de l'administration face aux enjeux de la donnée stratégique et tactique, caractéristique typique de la donnée en question », répond Frans Imbert-Vier. Mais attention, une précision s'impose : la première clé, qui contenait les plans de sécurisation, était bien chiffrée. La seconde, qui ne contenait rien de sensible, ne l'était pas, comme le précise la préfecture de police. Alors que faire désormais ?
À moins de cinq mois du coup d'envoi des Jeux de Paris, déjà sous une forte menace d'attaques informatiques, les conséquences pourraient être nombreuses. « Si la nature des informations s'avèrent juste, alors la mairie de Paris a 4 mois pour tout repenser », réagit l'expert, qui n'y va pas par quatre chemins. Le compte à rebours ne s'arrêtera pas de tourner.
