Le football européen est souvent qualifié de « beau sport », mais les menaces et les défis en matière de sécurité auxquels est confrontée la Football Association of Wales (FAW) sont loin d'être aussi propres. Au Pays de Galles, c’est l'instance dirigeante qui a la responsabilité de protéger l’intégrité des associations sportives. Or, les progrès technologiques ont accru les priorités en matière de protection des informations sensibles, des données des joueurs et des systèmes opérationnels contre les risques cyber. Evren Karaibrahimgil, responsable des technologies de l'information et de la communication à la Football Association of Wales (FAW), explique qu'il est donc essentiel pour le bon fonctionnement de l'organisation de disposer d'un plan d'action efficace pour mettre les cybermenaces hors-jeu.
« Au cours des 12 derniers mois, sur le front de la cybersécurité, la FAW a principalement axé son action sur la sensibilisation des utilisateurs finaux, l’identification des vulnérabilités potentielles et veillé à ce que tous les aspects de son infrastructure soient sécurisés, tant au niveau local que dans le cloud », déclare Evren Karaibrahimgil. « Ces mesures englobent la sécurité de tout le matériel (pare-feu, commutateurs, points d'accès, serveurs) sur les trois sites de la FAW, ses locations Office 365, la supervision de la sensibilisation et de l'éducation des utilisateurs finaux, et l'assurance que tous les fournisseurs et prestataires tiers sont conformes ».
Evren Karaibrahimgil est responsable informatique de la Fédération de football de Galles. (Crédit : Football Association of Wales)
Accès par des tiers et piratage parmi les plus grandes menaces
« L'accès par des tiers et le piratage sont parmi les plus grandes menaces de cybersécurité auxquelles la FAW est confrontée actuellement », explique Evren Karaibrahimgil. « La première résulte d’un manque de contrôle des environnements tiers, tandis que la seconde se matérialiserait très probablement à travers le compte Office 365 d'un utilisateur final par le biais d'un courriel. Même si nos fournisseurs tiers opèrent tous dans des environnements sécurisés, nous n'avons aucun contrôle sur leurs infrastructures et aucun moyen de connaître les vulnérabilités qui pourraient les affecter ».
Sensibilisation des utilisateurs, 2FA et contrôle d'accès, éléments clés de la sécurité
« Pour relever les défis et les risques auxquels elle est confrontée depuis environ un an, l'équipe a adopté plusieurs approches, l'éducation des utilisateurs finaux étant le plus grand obstacle à surmonter, notamment pour l'identification des courriels de phishing », indique Evren Karaibrahimgil. « Même si nous avons la possibilité de renforcer notre infrastructure de cybersécurité, nous ne pouvons pas supprimer à 100 % les courriels indésirables ou d'hameçonnage, car il y en a toujours qui passent à travers les mailles du filet ». Sensibiliser les utilisateurs finaux à l'identification de ces courriels peut s'avérer difficile, parce que tout le monde n'est pas en mesure de les repérer facilement ou n'est pas sensibilisé aux technologies de l'information. Cette sensibilisation des utilisateurs finaux est cruciale pour identifier les courriels malveillants, et la FAW a organisé un cours de sensibilisation à la cybersécurité délivrée par l'Union des associations européennes de football (Union of European Football Associations, UEFA) pour s'assurer que les utilisateurs peuvent distinguer entre les vrais et les faux courriels, tout en travaillant avec le nouveau partenaire de cybersécurité PureCyber dans ce domaine », fait savoir le responsable TIC de la Fédération de football de Galles.
« Cela fait un certain temps que nous utilisons l’authentification à deux facteurs 2FA pour notre abonnement Office 365, mais nous l'appliquons désormais à tous les comptes et à tout le matériel. Nous appliquons également les règles habituelles, notamment des mots de passe forts, des changements de mot de passe réguliers et l'impossibilité d'utiliser le même mot de passe plusieurs fois, de façon à éviter les mots de passe faibles ou périmés, et réduire considérablement le risque de piratage », poursuit-il. « La FAW utilise aussi des enregistrements DNS DMARC et SPF sur tous ses domaines afin de garantir qu'il n'y a pas d'usurpation d'adresse électronique, ce qui est impératif », précise Evren Karaibrahimgil. Le contrôle de l'accès externe a également été pris en compte, tout comme la sauvegarde et la migration des données. L'équipe de la FAW a désactivé l'accès externe à son pare-feu, en le limitant et en le verrouillant à des adresses IP spécifiques. Entre-temps, tous les serveurs et toutes les données sont sauvegardés localement et dans le cloud, et l'entreprise est en train de migrer ses fichiers vers Sharepoint. « Toutes nos données Sharepoint et Office 365 sont désormais sauvegardées par PureCyber, ce qui nous a permis d'accroître notre résilience en cas d'événement catastrophique », avance Evren Karaibrahimgil.
Priorité à la surveillance de l'infrastructure, aux tests d'intrusion et à la certification
Selon Evren Karaibrahimgil, sensibiliser les utilisateurs, se préoccuper de la sécurité du matériel et examiner et surveiller l'infrastructure sont les principales priorités de la FAW en matière de cybersécurité. « En cas de violation, nous devons être en mesure de sécuriser rapidement les ordinateurs portables des utilisateurs finaux et d’empêcher toute activité malveillante. Aujourd'hui, nous pouvons gérer, contrôler et éteindre les appareils presque en temps réel et à distance. Cette capacité a considérablement réduit le risque d’activité malveillante résultant d'un piratage ou d'une atteinte à la sécurité », poursuit Evren Karaibrahimg. Et ce dernier d'ajouter que l'examen et la surveillance réguliers de l'infrastructure de la fédération sont essentiels pour s'assurer qu’elle peut identifier et traiter toutes les failles et tous les problèmes potentiels de cybersécurité avant qu'ils ne se produisent.
« L’environnement des TIC étant dynamique, le paysage de notre infrastructure évolue en permanence et nous devons nous assurer qu'il n'y a pas de vulnérabilité potentielle. C’est une priorité de premier ordre pour l'avenir, notamment en ce qui concerne les risques de sécurité émanant de l'infrastructure externe de la FAW, comme les sociétés d'hébergement, les sites web et les systèmes externes », déclare Evren Karaibrahimgil. « Quand nous travaillons avec des entreprises externes, nous devons nous assurer qu'elles respectent les règles de cybersécurité et qu'elles sont résilientes - toute faille potentielle pourrait être catastrophique, en particulier du point de vue de la protection des données. Enfin, la FAW prévoit d'effectuer des tests de pénétration annuels, tant en interne qu'en externe, afin d'identifier toute vulnérabilité potentielle au sein de l'entreprise et de ses partenaires, et de s'engager dans le programme de certification Cyber Essentials, mis en place par le gouvernement britannique pour aider les entreprises à mieux se protéger contre les cyberattaques, avec l'objectif de le mener à bien, sur une période de 36 mois », conclut Evren Karaibrahimgil.