Retour sur les JO 2024 et les impacts sur les prestataires

Les JO Paris 2024 vus par son RSSI

Une médaille d’or… en cybersécurité pour le RSSI des Jeux de Paris 2024, Franz REGUL et ses équipes. Entre le 8 mai et le 8 septembre 2024, l’ANSSI a recensé 548 événements de cybersécurité visant des entités liées aux Jeux, sans jamais perturber les cérémonies ni les compétitions.

Dans un épisode podcast des Enfants de l’IT avec Julien Merali (Agora Managers Groupe), Franz REGUL, aujourd’hui RSSI de Bpifrance, revient sur les coulisses de cette aventure : la création d’un SI entièrement from scratch, architecturé security by design et dépourvu de legacy* (création d’un système d’information en partant de zéro, conçu de manière sécurisée dès l’origine, sans aucun héritage technique).

Il revient sur le pilotage opérationnel 24/7 sous forte pression de 10 000 postes, 200 applications, des systèmes critiques et sur la coordination de prestataires aux maturités variées.
Et comment il a su « acculturer » et fédérer un écosystème complet – fournisseurs, partenaires locaux et internationaux – et transformer des pratiques disparates en un véritable réseau de confiance, aligné sur des standards communs.

Un retour d’expérience qui dépasse la cybersécurité : une aventure humaine hors norme.

Julien Merali : On va revenir sur ton histoire personnelle et professionnelle vécue lors des cinq années autour de ces J.O, mais peut-être avant, est-ce que tu peux nous présenter BPI France et ton rôle en son sein ?

Franz REGUL : Bpifrance, la Banque publique d’investissement, est la banque des entrepreneurs en France, donc une institution un petit peu à cheval sur le public et le privé, qui vient apporter aux entrepreneurs français l’ensemble des services financiers dont ils ont besoin. Et donc, dans ce contexte, en tant que banque, avec une licence bancaire, je suis directeur de la cybersécurité de l’établissement qui est lui même régulé par la Banque de France et la Banque centrale européenne.

Et j’essaie, aux côtés de mes collègues, en particulier dans le domaine de l’investissement, de contribuer un petit peu à faire émerger des champions hexagonaux en matière de cybersécurité.

Julien Merali : Donc forcément, beaucoup de sujets de gouvernance et de souveraineté.

Franz REGUL : Tout à fait. Alors je n’aime pas du tout, depuis les Jeux, le terme de souveraineté, donc je suis plutôt sur le terme un peu plus en vogue d’autonomie stratégique et ça fait partie de nos grands sujets pour les mois qui viennent.

Julien Merali : Alors, revenons sur les Jeux. On va essayer de dérouler un peu la frise chronologique. À quel moment et comment, un beau jour, tu es nommé RSSI des JO 2024 ?

Franz REGUL : J’aimerais pouvoir raconter une histoire incroyable, un concours de circonstances improbable. Mais non. En réalité, à l’été 2019, le comité d’organisation des Jeux olympiques publie son offre d’emploi. Et, à l’époque, quand je la vois poper sur LinkedIn, je me dis : c’est inconcevable de ne pas répondre à ça, de ne pas tenter le coup. (Il est alors CISO/RSSI – International Retail Banking de la Société Générale-ndrl)

Donc je postule. Le mode de recrutement était un peu original : il fallait réaliser une vidéo amusante pour se démarquer parmi les candidats. Ce n’est pas vraiment mon style, donc je tente… sans la vidéo qui était facultative. Quelques semaines plus tard, on me rappelle pour me proposer un entretien.

Je me rends sur place et je rencontre celui qui allait devenir mon N+1, Bruno Marie-Rose, Directeur des technologies et des systèmes d’information de Paris 2024. On échange, et il y a eu un bon fit. Je pense qu’il cherchait  le genre de compétences que je pouvais avoir.

Julien Merali : Donc tu es rattaché au Comité Olympique. Comment ça se passe ?

Franz REGUL : Le Comité d’organisation est une association de droit privé, à but lucratif, qui reçoit délégation du CIO et de la ville hôte pour organiser les Jeux. C’est donc une structure privée, et mon contrat de travail est rattaché directement à ce comité. Évidemment, il travaille en étroite collaboration avec les autorités : la Ville de Paris, la Région, et un certain nombre de ministères. Son rôle, c’est de livrer l’événement lui-même.

Il ne construit pas les stades, ça, c’est le rôle de la SOLIDEO, qui existe toujours pour les Jeux d’hiver 2030 dans les Alpes. Le comité d’organisation, lui, livre les cérémonies, les compétitions. Dit comme ça, on pourrait imaginer qu’il s’agit juste de fournir quelques PC Windows et quelques antivirus pour quelques dizaines de Gaulois… mais pas du tout.

Les chiffres sont considérables : plus de 10 000 postes de travail, plus de 200 applications pendant les Jeux… et tout cela doit être construit from scratch.

Julien Merali : On part vraiment de rien ?

Franz REGUL : De rien du tout. Pour tout un tas de raisons historiques, très peu d’éléments sont fournis par le CIO ou par les autorités olympiques. Et il y a même très peu d’historique exploitable. Par tradition, ceux qui ont terminé de livrer les Jeux retournent à leur vie civile et ne passent pas leur temps à briefer leurs successeurs.

Et, de toute façon, ça aurait un intérêt limité : quand les Jeux changent de continent, tout change avec eux, la réglementation, la culture du travail, etc.

Julien Merali : Est-ce qu’il y a plus d’avantages que d’inconvénients à ne pas avoir de legacy et d’être finalement cybersécurité by design ?

Franz REGUL : Les deux, mon capitaine. Il est évident que lorsque j’arrive début 2020, et qu’on part d’une feuille blanche, c’est extrêmement intimidant. C’est très rare comme opportunité professionnelle de se dire : je vois à peu près où je dois être dans quatre ans, mais là, je n’ai rien. Et donc : quelles sont les étapes pour partir de zéro et atteindre l’état de l’art en quatre ans ?

C’est très difficile, d’autant que la deadline ne bouge pas. On n’est pas du tout dans les projets qu’on rencontre dans d’autres environnements : la cérémonie d’ouverture, sauf cas de force majeure, elle ne change pas. Et c’est quand même une pression très très dure sur toute la construction du projet. Ça veut aussi dire qu’on n’a pas le droit de se louper, qu’on ne peut pas revenir 50 fois sur un sujet.

En revanche, au fil du temps, alors que le projet avance, ça devient progressivement un avantage. C’est-à-dire qu’au fur et à mesure qu’on livre les différents systèmes, le fait de les construire à l’état de l’art, de les construire secure by design, devient une force. Et c’est l’un des apprentissages de ces Jeux : sans fanfaronner, a posteriori, une partie de nos systèmes était vraiment très robuste parce qu’elle avait été conçue à l’état de l’art dès le départ.

Julien Merali : Alors, intéressons-nous aux prestataires. Est-ce qu’on vient te voir en te disant “voilà la liste des prestataires avec lesquels on va travailler” ? Comment ça se passe ?

Franz REGUL : J’essaie de ne pas citer de noms, mais il y a tout un tas d’anecdotes amusantes sur le sujet. C’est très varié. Ce qu’il faut comprendre, c’est que le comité d’organisation est une structure privée, qui doit se financer elle-même. Son budget, c’est 96 % de fonds privés : principalement la billetterie, les droits TV et les partenariats payants.

Donc, évidemment, un partenaire payant, un sponsor des Jeux, en échange de sa contribution financière et de l’usage de l’image Olympique, attend un retour sur investissement ou, à minima, une certaine visibilité. Donc tous nos fournisseurs passent par une consultation pour déterminer si un partenaire est intéressé par la catégorie.

Selon les moments du projet, on travaille avec les partenaires “TOP”, les partenaires mondiaux imposés par le CIO, on pense à Alibaba ou Omega, puis avec des partenaires domestiques comme Cisco ou Eviden pour la cybersécurité.

Ensuite, il y a aussi un certain nombre de fournisseurs que l’on sélectionne par appel d’offres. Dans le cas des Jeux de Paris, l’une des exigences de l’État, en échange de sa garantie, était que nous soyons soumis à la commande publique. Pour moi, c’était nouveau. Et puis on rencontre également beaucoup de partenaires potentiels, des entreprises candidates qui aimeraient travailler avec les Jeux.

Et là, on a eu quelques frictions et quelques anecdotes amusantes. Tout un tas d’acteurs s’attendaient à ce qu’on vienne les chercher… parce qu’on préparait les Jeux Olympiques. Mais ça ne peut juste pas arriver ! On a tellement de choses à faire qu’on ne va pas aller solliciter des fournisseurs, même très bons dans leur domaine, alors qu’on doit livrer, gérer des problèmes en permanence, des imprévus constants, alors qu’on est déjà démarché par des partenaires extrêmement solides et puissants.

Julien Merali : Les RSSI de vos partenaires et prestataires ont-ils vu dans les J.O. une opportunité pour renforcer leur propre cybersécurité et convaincre leur direction, ou plutôt une contrainte supplémentaire avec des normes à respecter ?

Franz REGUL : Alors, on a observé les deux attitudes. Lorsque j’ai débuté mon travail, j’ai immédiatement approché nos grands partenaires, notamment les implantations françaises des grands partenaires du CIO. Je pensais qu’ils seraient aussi enthousiastes que moi à l’idée des Jeux Olympiques et qu’ils allaient mobiliser leurs forces pour m’aider.

De plus, lorsque je suis arrivé au sein du Comité d’organisation, il n’y avait pas encore de budget cybersécurité. Il y avait très peu d’activité et, à l’époque, j’ai été accueilli froidement, c’est-à-dire qu’ils étaient intéressés, mais ils avaient bien d’autres choses à faire. C’était juste avant le Covid, par conséquent ils n’étaient pas nécessairement très réceptifs.

Ensuite, au fur et à mesure que nous avons construit le projet, nous avons effectivement travaillé main dans la main avec nos fournisseurs, nos prestataires et nos partenaires. Car c’était déjà une de mes convictions avant de rejoindre le COJOP : l’exposition de la chaîne d’approvisionnement était un élément clé, y compris dans l’histoire des Jeux.

L’attaque de Pyeongchang* en 2018 en était une illustration, via la chaîne d’approvisionnement ; c’était donc l’un des scénarios noirs qu’il fallait absolument éviter – (*Surnommé « Olympic destroyer », ce programme combinait des fonctionnalités de propagation automatique pour contaminer d’autres ordinateurs d’un même réseau une fois une machine infectée, avec des fonctionnalités de destruction).

Ainsi, nous avons eu en gros quatre types d’interactions. D’abord, les petits spécialistes de l’événementiel qui nous ont regardés débarquer un beau jour comme si nous étions des Martiens, parce que nous leur parlions de cybersécurité. Eux sont des professionnels de l’événementiel, ils connaissent parfaitement leur métier. En revanche, pour la majorité d’entre eux, leur métier n’inclut pas la cybersécurité. Notre travail a donc consisté à les convaincre et à les accompagner de façon pragmatique. C’est-à-dire que nous n’appliquions pas des clauses contractuelles sur ce genre de prestataire en nous disant : « Je m’en lave les mains, débrouillez-vous. » Il fallait leur proposer des approches pragmatiques, parce qu’ils n’ont pas non plus la masse critique pour faire durablement de la cybersécurité. Ils s’adaptent à l’occasion.

Ensuite, nous avons eu des structures beaucoup plus matures en cybersécurité : tous les partenaires à vrai dire, et la plupart des grands fournisseurs, pour qui les Jeux étaient, de ce point de vue-là, une opportunité. 

Et je suis très content, en tant que RSSI, d’avoir aidé un certain nombre de mes confrères à décrocher des financements, à débloquer des grands programmes qui, pour certains, traînaient depuis des années. Ainsi, ils ont obtenu, avec leur démarche individuelle et les éléments de langage que nous leur avons fournis, de leur direction générale les fonds, les moyens et l’autorité pour faire avancer ces grands programmes.

Troisièmement, nous avons eu des partenaires très matures qui n’avaient pas besoin de grands programmes, car ils étaient déjà mûrs et exposés au quotidien. Avec eux, nous avons travaillé surtout durant les derniers mois pour construire un véritable écosystème cybersécurité : mettre en place une vraie solidarité entre les acteurs des Jeux, afin que nous soyons capables de communiquer, travailler et opérer ensemble, notamment en échangeant du renseignement cyber pour être plus forts collectivement. Et cela constitue un des grands succès des Jeux ; je sais que certains de ces partenaires s’en sont inspirés pour leurs entreprises, et que moi, j’essaie de le porter à mon niveau aujourd’hui.

Et enfin, le quatrième profil, c’est très spécifique. Ce sont nos deux partenaires, Cisco et Eviden, qui occupaient vraiment un rôle très à part dans l’environnement olympique. Et donc on a une aventure passionnante parce qu’on s’est un petit peu cherché au début. Mais ce qui est extraordinaire, c’est que ce sont des boites qui sont très très matures, qui emploient certains des meilleurs spécialistes du monde. Et là, on n’était plus dans une relation client fournisseur mais dans une vraie relation partenariale.

J’ai eu des retours après coup, des témoignages de gens avec qui on a travaillé, qui nous ont confirmé que ça avait été également pour eux une aventure très forte, parce qu’on était revenu aux fondamentaux de la cybersécurité en laissant un petit peu de côté la dimension commerciale pour se concentrer sur l’aventure collective.

Julien Merali : Comment, d’un point de vue managérial, réussir à réunir fournisseurs et prestataires aux profils hétérogènes et niveaux de maturité différents autour d’une même table, et à mettre en place une communication fluide sur une période aussi longue que cinq ans ?

Franz REGUL : Alors, by the book pour l’essentiel. C’est-à-dire que nous avons intégré la sécurité très tôt dans les projets. Pour moi, qui ai commencé en cybersécurité en tant qu’analyste, il était essentiel de faire de la cybersécurité by design, y compris vis-à-vis de nos tierces parties. J’étais particulièrement attaché au fait que les clauses contractuelles que nous mettions en place soient pragmatiques. L’exemple que je cite souvent, c’est : la clause d’auditabilité, c’est bien, mais l’audit réel, c’est mieux.

Donc, très tôt, nous nous sommes montrés ambitieux. Nous les avons parfois un peu bousculés quand leur maturité n’était pas encore au rendez-vous, mais nous sommes restés constructifs. Cela nous a permis de bâtir une cartographie très solide de nos fournisseurs : de leur niveau d’exposition, leur maturité et leur niveau de risque selon le service rendu.

Au fur et à mesure que nous approchions des Jeux, l’équipe s’est beaucoup appuyée sur ces premières relations de travail qu’on avait construites. Nous avons aussi veillé à dégager du temps, ce qui n’est pas toujours évident quand on a la tête dans le guidon et un projet qui ne peut pas être décalé.

Mais il fallait savoir dire : oui, je fais une pause, parce que c’est important de protéger l’écosystème dans son ensemble parce que si les trains n’arrivent pas à l’heure, si les ordures ne sont pas ramassées dans Paris… ce ne sont pas directement des problèmes de système d’information, mais c’est quand même notre événement.

Julien Merali : Nous avons donc vu toute la préparation de ces JO 2024. De l’extérieur, tout semble s’être bien déroulé en matière de cybersécurité. Est-ce qu’il y a des choses que tu aurais faites différemment ?

Franz REGUL : Est-ce qu’on aurait fait différemment ? Déjà, il faut rester humble face aux résultats obtenus. Le succès est là. C’est vrai que c’est un immense privilège à la différence de beaucoup de confrères car je peux dire que le travail est livré. Alors que là, je suis désormais de retour dans une organisation pérenne et je ne sais jamais, avec 100 % de certitude, ce qui se passe à un instant T sur mon système d’information.

Là, les Jeux sont terminés, tout a été démantelé et c’est un succès. Et, par ailleurs, ce succès a été obtenu avec un budget maîtrisé. Tout le budget du comité d’organisation est resté sous contrôle, et nous avons fonctionné avec moins de 30 millions d’euros, ce qui, pour cinq ans et l’ampleur du dossier, est très raisonnable.

Maintenant, si c’était à refaire, il est évident qu’avec le retour d’expérience, il y a plusieurs choses que j’aborderais différemment — et que j’ai partagé avec mon successeur à Los Angeles. La première, c’est que nous aurions mobilisé plus tôt les partenaires autour de ce que nous avons appelé “le club des RSSI”, que nous n’avons activé qu’en septembre 2023.

Donc un peu moins d’un an avant les Jeux, nous avons commencé à réunir, sur la base du volontariat, les RSSI des grandes organisations, les partenaires, les fournisseurs, mais aussi les opérateurs d’infrastructures et des membres de l’écosystème. L’objectif était de réfléchir ensemble et de structurer notre défense collective. Ça a bien fonctionné, mais si nous avions commencé six mois plus tôt, je pense que nous aurions été tout aussi bien accueillis, et nous aurions pu aller encore plus loin dans la coopération.

J’aurais aussi aimé pousser plus loin le curseur de l’analyse et de la défense cyber-physique. Dans le secteur de l’événementiel, les enjeux entre le physique et le cyber sont de plus en plus importants : autour des sites de compétition et de célébration, on accueille du public, qu’il faut protéger.

Et cela passe par un ensemble de systèmes technologiques : vidéoprotection, contrôle d’accès, mais aussi et on y pense moins, les systèmes d’affichage, de sonorisation, qui sont critiques. Nous avons conçu une démarche et beaucoup travaillé sur ces sujets avec l’ANSSI et les opérateurs de sites. Mais là aussi, aller plus loin aurait été intéressant car ce sera un enjeu croissant pour l’événementiel, sportif comme culturel.

Avec le recul, il y a également beaucoup de choses que nous aurions pu faire plus simplement. La collaboration avec l’État s’est globalement très bien passée, mais nous avons eu des frictions sur certains sujets, notamment autour de notre partenaire cloud préféré, Alibaba. Peut-être ai-je été naïf, et certaines positions n’ont pas facilité le fonctionnement du Comité d’Organisation.

Julien Merali : Et quel a été l’impact pour les prestataires, ainsi que les retours qu’ils t’ont faits par la suite ?

Franz REGUL : Certains RSSI ont pu porter des initiatives et donner de la visibilité à leur métier. Cela leur a permis aussi d’aborder la cybersécurité en comité de direction, de débloquer des sujets qui stagnaient depuis longtemps.

On en a moins parlé mais plusieurs membres de l’écosystème m’ont rapporté des incidents ou une hausse inhabituelle du volume d’activités malveillantes — preuve que le travail accompli a porté ses fruits.

Et puis, nous verrons dans les prochains mois et les prochaines années — notamment en vue des Jeux olympiques d’hiver 2030 en France, si nous avons contribué, à notre échelle, à muscler l’écosystème de l’événementiel sportif, et à l’aider à évoluer dans un monde où la cybersécurité deviendra une considération incontournable.

Julien Merali : Alors, une fois que les J.O sont passés, que se passe-t-il lors du décommissionnement ? On éteint la lumière, on débranche les prises et on s’en va ?

Franz REGUL : Déjà, il y a un aspect très brutal quand on y réfléchit : 80 à 90 % des effectifs du Comité d’organisation partent dans la semaine qui suit la cérémonie de clôture des Jeux paralympiques. Beaucoup de mes collaborateurs, qui étaient évidemment prévenus à l’avance, avaient pour instruction : après la cérémonie de clôture, télétravail uniquement. Ils ne sont revenus au bureau que pour dire au revoir à leurs collègues et rendre leur PC. C’est de la masse salariale, et une fois l’événement terminé, il faut la réduire rapidement. C’est programmé, mais c’est frappant, parce que tout cela est extrêmement intense.

On passe du plus grand événement du monde à : « Qu’est-ce que je fais ensuite ? ». Pour une partie d’entre nous, l’aventure continue encore quelques mois. Le Comité d’organisation lui-même a mis la clé sous la porte en juin 2025, soit un an après la fin des Jeux. Moi, je suis resté jusqu’à fin novembre, et le directeur de la technologie jusqu’à fin décembre.

Qu’avons-nous fait pendant ces mois-là ? Comme tu l’as dit : du décommissionnement. Nous avions imaginé, en nous inspirant de Rio et Tokyo, que ce serait une grande opération, presque un mini-projet.

Mais la différence, c’est qu’à Tokyo ou Rio, ils faisaient du data center. Nous, nous étions cloud natives. Lorsque nous avions anticipé les modalités de réversibilité, la récupération des données et l’identification, avec les stakeholders, de ce qui devait être conservé et selon quelles modalités… eh bien, au final, c’est aussi simple que de cliquer sur un lien.

C’est très frappant de se dire qu’on a passé des années à construire ce système d’information, et qu’il ne faut que quelques jours pour le démanteler. Avec mon équipe, nous avons bataillé pour construire un SOC à l’état de l’art — probablement, pendant quelques semaines, l’un des meilleurs SOC du monde. Et un mois plus tard… il n’y avait plus rien.

Psychologiquement, c’est très dur. On crée des liens très forts dans cette aventure, presque par définition : un comité d’organisation est une structure à mission. On est là pour livrer un événement. Cela crée des liens extrêmement forts.

De plus, les Jeux olympiques et paralympiques sont uniques car actifs 24/7. Contrairement à la Coupe du monde de la FIFA où il n’y a jamais deux compétitions simultanées (sauf en fin de qualifications). Nous, avec le surf à Tahiti en plus, avions littéralement des journées où cela ne s’arrêtait jamais.

Côté cybersécurité, cela faisait partie des fonctions 24/7. Donc nous avons du réorganisé toute l’équipe en trois squads qui se relayaient en continu. On affronte certains des meilleurs hackers du monde et on vit des difficultés qui prennent immédiatement une ampleur énorme, compte tenu des enjeux. Donc on se serrent les coudent et à la fin, les liens sont très forts et on reste en contact. Et certains ressentent un mélange étrange : c’est fini, on souffle, puis très vite… ça manque.

On a travaillé comme des chiens pendant des mois, on s’est assis sur nos congés 2024. Puis, soudainement, tout s’arrête : on touche notre dernier chèque, notre solde de tout compte, on revoit sa famille, ses proches. Et ensuite, on se dit : « Ah oui… c’est fini. Mais ça manque un peu cette tension, cette pression, cette importance aussi. »

Alors moi, j’ai eu de la chance car j’ai été beaucoup sollicité pour le décommissionnement et ensuite par des interventions de retours d’expérience. Et puis il y avait un dernier projet qui m’a tenu jusqu’à la dernière semaine qui est l’Handover, la synthèse de nos 50 projets pour nos successeurs à Los Angeles : le bon, le moins bon, ce qu’on aurait fait différemment, ce sur quoi il faut se préparer. 

Puis, j’ai replongé rapidement, notamment grâce à un très bon contact avec Bpifrance. Mais il reste toujours quelques moments de blues — ce qu’on appelle d’ailleurs l’event blues, bien connu de ceux qui enchaînent les grands événements internationaux.

Julien Merali : Sur le plan personnel, comment as-tu vécu ces années de préparation, très exigeantes ? Comment cela s’est-il passé pour toi ?

Franz REGUL : C’est très intense. J’ai pris quelques cheveux blancs, perdu quelques kilos. C’est extrêmement éprouvant moralement, physiquement, mentalement. C’est exigeant aussi d’un point de vue personnel : il y a des expériences formidables, mais ma famille vivait les JO à travers moi, et cela peut être difficile. Pour certains collègues, cela a même mené à des séparations.

Il y a un côté sombre. Le travail est énorme, les structures fonctionnent avec des budgets bien plus limités qu’on ne l’imagine, donc on est peu nombreux. Avec une croissance très rapide, on court tout le temps pour recruter et renforcer l’équipe. Et quand les gens arrivent, il est parfois déjà trop tard : il faut déjà penser aux suivants. Donc, c’est très intense.

Si c’était à refaire, j’y retournerais sans hésiter. Mais si en 2020 on m’avait dit la moitié des enquiquinements qui m’attendaient… je n’y serais probablement jamais allé.

Propos recueillis par Julien Merali, Directeur du Pôle IT d’Agora Managers Groupe

#Cybersécurité #JO2024 #Paris2024 #RSSI #SecurityByDesign #CyberSecurity #Podcast #CyberDefense #DSI #SupplyChain #ITGovernance #GestionDeCrise #AgoraManagers #Bpifrance