0:00:01.6 Emily Wearmouth : Bonjour et bienvenue dans cette nouvelle édition du podcast des Visionnaires de la sécurité. L'épisode d'aujourd'hui est un véritable casse-tête pour tous les fans de sport ou, je suppose, pour tous ceux qui aiment les événements physiques en direct. Mon invité aujourd'hui est Ben Morris. Il est le chef du groupe de cybersécurité de World Rugby. Aujourd'hui, il se joint à moi pour parler de l'intersection de la cybersécurité et de la sécurité physique. Bienvenue dans le podcast, Ben.
0:00:25.5 Ben Morris : Merci beaucoup de m'avoir invité et je suis impatient de plonger dans le monde, non seulement de la cybersécurité, ce qui est évidemment un parti pris, mais aussi naturellement du sport et de la façon dont ils interagissent avec le monde dans lequel nous nous trouvons aujourd'hui. Alors oui, j'ai hâte de m'y plonger aujourd'hui.
0:00:38.7 Emily Wearmouth : Excellent. Si vous le voulez bien, j'ai tellement de choses à vous demander et je sais que nous sommes pressés, alors puis-je me lancer directement ?
0:00:45.6 Ben Morris : Absolument, oui. Tenant à.
0:00:47.3 Emily Wearmouth : Génial. Très bien. Ma première question est donc la suivante : lorsque nous parlons des défis modernes en matière de sécurité, nous nous concentrons très souvent sur le manque de cohérence de l'environnement physique et le considérons comme un problème. Nous parlons beaucoup des défis du travail à distance, par exemple, et je suppose que c'est ce que nous faisons. Nous revenons à une époque plus simple où l'emplacement physique était un environnement contrôlé. Mais je soupçonne que vous allez me dire que les environnements physiques peuvent ajouter de la complexité et qu'ils ne rendent pas nécessairement la vie plus facile. Pouvez-vous nous donner un bref aperçu de certaines des complexités qui se présentent lorsque le lieu lui-même est un élément dominant de vos plans de sécurité ?
0:01:21.7 Ben Morris : Oui, avec la responsabilité de World Rugby en tant qu'organisateur d'un événement majeur, il y a une grande dépendance à l'égard du lieu physique et de la présence. Et à moins d'avoir un moyen de déplacer un stade d'un pays à l'autre, ce ne sera pas le cas. Le défi auquel nous sommes confrontés est donc le suivant : nous avons des lieux à sécuriser, nous avons des périphériques toujours en mouvement. Nous avons des sociétés d'exploitation locales dans le monde entier. Il s'agit d'un défi varié. Comment fournir un environnement sécurisé à ces lieux physiques, aux adeptes des cafés, etc. Je ne pense pas que le sport soit le seul à être confronté à ce défi, mais je pense qu'il a été contraint de penser différemment en matière de sécurité.
0:02:06.5 Ben Morris : Aujourd'hui, lorsqu'il s'agit d'organiser un événement majeur, il faut tenir compte de tous ces éléments. Il a donc considérablement évolué. Aujourd'hui, je consacre davantage de temps à la sécurité physique des lieux qu'à toute autre chose. Et avec cela, les complexités de la façon dont nous fournissons ce type de performance zéro avec une sécurité vraiment robuste et ainsi de suite. Nous avons donc dû faire évoluer notre écosystème et notre architecture pour qu'ils s'articulent autour de l'informatique dématérialisée Zero Trust, offrant ainsi une richesse en matière de prévention des pertes de données (DLP), et ce dans le monde entier. Le sujet n'est donc pas facile à assimiler, mais il contribue de manière significative à la complexité de la gestion des grands événements de nos jours.
0:02:51.1 Emily Wearmouth : Je pense que pour les auditeurs qui sont moins familiers avec le World Rugby, il est probablement utile de préciser que vous n'êtes pas le responsable de la sécurité à Stanford Bridge ou que j'ai cherché le nom d'un stade américain, alors je vais dire Michigan Stadium. Vous n'êtes pas le responsable de la sécurité d'un tel lieu. Vous êtes responsable de la sécurité d'un sport qui fait le tour du monde. De même que la Formule 1 se produit dans différentes villes au cours de différents tournois, cela rend-il votre travail complètement différent de celui des personnes responsables d'un site sportif statique spécifique ?
0:03:20.4 Ben Morris : En effet. C'est le cas. L'établissement de relations solides avec des lieux dédiés, comme le pont de Stanford que vous avez cité en exemple, implique une grande responsabilité. Au Royaume-Uni, nous organisons la Coupe du monde de football féminin l'année prochaine et il y a huit ou neuf sites. Nous n'avons aucune responsabilité à l'égard de ces lieux. Nous avons conclu un accord contractuel, mais rien n'oblige ces sites à vous laisser reconstruire l'ensemble de leur réseau. Ces lieux sont polyvalents. Ainsi, le samedi et le dimanche, ils peuvent organiser un événement de rugby. Le lundi, il peut s'agir d'un concert en direct ou d'un événement complètement différent. Le défi auquel nous sommes confrontés en tant qu'organisation est donc de savoir comment instiller les normes que nous recherchons en tant qu'organe directeur et fédération majeure sur ces sites, mais aussi comment faire en sorte qu'il soit gratifiant pour le site de nous aider dans cette voie.
0:04:14.8 Ben Morris : Pour ce qui est des lieux, la complexité est telle que je ne fais que mettre... Si j'étais gestionnaire d'un site, je ne pourrais pas construire selon les normes imposées par World Rugby. Il est également possible que l'UEFA établisse des normes pour les grands concerts, comme celui de Taylor Swift, et pour les championnats d'Europe de 2028. Nous ne pouvons pas continuer à construire. En tant que World Rugby et dans le cadre de mon rôle, je dois donc déterminer quelles sont les exigences minimales qui peuvent être transférées à d'autres organisateurs d'événements majeurs. Ainsi, lorsque nous aurons terminé l'année prochaine, en 2025, l'UEFA pourra venir et dire : "Oh, ils ont déjà tout mis en place." Et les sites se sentent à l'aise de pouvoir présenter ces normes que nous avons contribué à faire évoluer. C'est la responsabilité de toutes les grandes instances dirigeantes, pas seulement World Rugby, mais aussi la FIFA, les Jeux olympiques, l'UEFA, la NFL, je pourrais continuer à citer les fédérations. C'est notre responsabilité, en tant que sport mondial, de nous assurer que nous améliorons les normes des sites, d'aider à gérer le risque par rapport à la récompense lorsqu'il s'agit d'investissements et de coûts pour un site.
0:05:23.7 Ben Morris : Oui, c'est mon rôle, je suis presque un élévateur de normes et j'ai mes exigences minimales pour aller, vous devez vous assurer que vous avez MFA ou vous devez vous assurer que vous sécurisez votre périphérique correctement. Vous formez votre personnel à cet effet. Il s'agit de s'assurer que nous élevons l'ensemble du sport, et pas seulement d'être égoïstes et de dire "vous devez suivre mes normes", car cela ne mènera personne nulle part.
0:05:46.6 Emily Wearmouth : Si vous devenez essentiellement un organisme de normalisation ou quelqu'un qui définit les meilleures pratiques, dans quelle mesure vous alignez-vous sur d'autres organisations qui le font ? Je pense peut-être à des gouvernements qui ont également des normes de sécurité. Existe-t-il des bonnes pratiques que vous tirez des réglementations gouvernementales ou les gouvernements se tournent-ils vers vous pour obtenir des conseils sur ce qu'ils devraient intégrer dans leurs exigences nationales ?
0:06:11.7 Ben Morris : Un peu des deux. Le gouvernement n'est donc pas seulement redevable au sport ou au divertissement. Ils ont un grand nombre d'exigences dans différents secteurs. Je vais utiliser le Royaume-Uni comme un cas d'école. Nous entretenons des relations très étroites avec le NCSC, car nous reconnaissons que nous sommes en train de rattraper notre retard en ce qui concerne les sites et les stades et que la technologie évolue si rapidement que nous ne sommes pas à la pointe des investissements technologiques. Ils ont donc également besoin de notre retour d'information et de nos exigences en tant qu'organisateur d'un événement majeur. C'est là que nous changeons les règles du jeu, et je vais m'appuyer sur l'aspect de la cybersécurité, car il n'y a pas vraiment ce que je pourrais appeler une norme mondiale pour la sécurisation d'un lieu en matière de cybersécurité. Je pense que cela va évoluer de manière significative au cours des quatre prochaines années, car historiquement, les lieux de spectacle ont été un écosystème très physique sur le plan de la santé et de la sécurité.
0:07:09.9 Ben Morris : Et naturellement, la sécurité des supporters, la sécurité des joueurs, le bien-être de tous ces éléments a toujours été primordial. Il existe donc déjà un processus efficace au niveau national, et pas seulement au Royaume-Uni. Nous parlons ici d'un point de vue global. Les exigences en matière de sécurité physique sont donc très strictes. Comme vous le savez tous, la cybersécurité a changé au cours de l'année écoulée, sans parler des dix dernières années. Le gouvernement, et pas seulement au Royaume-Uni, est donc en train de rattraper son retard en ce qui concerne les exigences en matière de cybersécurité. L'une des choses qui me tient vraiment à cœur est de veiller à ce que tous les stades et toutes les salles répondent à un ensemble de normes particulières et d'utiliser le Royaume-Uni, avec son amplification et ses connexions, pour dire : "D'accord, nous aimons ces normes du secteur privé, du sport, et pourquoi ne pas en faire un plan directeur."
0:07:57.9 Ben Morris : Ainsi, lorsqu'un nouveau stade est créé, ou plusieurs stades sont construits, ne serait-ce que cette année, veillez à ce qu'ils respectent ces normes. Puis, en utilisant le même cadre et les mêmes procédures d'audit que pour la sécurité physique, pourquoi ne pas vérifier également la cybersécurité et essayer de la rendre obligatoire et de la rendre plus mature. C'est ainsi que nous travaillons avec le gouvernement de ce côté-là. Nous travaillons avec le gouvernement dans de nombreux autres domaines, mais il y en a un qui me passionne et dans lequel je suis très impliqué, c'est la promotion de l'ensemble des stades et l'utilisation du gouvernement britannique et de ses relations pour amplifier le message.
0:08:35.1 Emily Wearmouth : Vous avez parlé un peu de la sécurité physique qui est peut-être un peu en avance en termes de réglementation, d'attentes et de normes. Lorsque les choses se gâtent et que vous êtes confronté à un événement particulier, comment travaillez-vous avec l'équipe chargée de la sécurité physique ? Sont-elles complètement séparées de vous ou êtes-vous intégrées ?
0:08:52.7 Ben Morris : Il y a deux équipes distinctes avec des buts et des objectifs différents lorsqu'il s'agit d'un événement majeur. Cependant, si vous me posiez la question il y a dix ans, je peux vous garantir qu'il n'y avait probablement pas de communication ou, s'il y en avait une, qu'aujourd'hui vous êtes très proches les uns des autres lorsqu'il s'agit de sécurité physique. C'est absolument essentiel. Si vous réfléchissez à l'interconnexion des lieux, vous constaterez qu'il y a tellement de points de contact. Vous avez beaucoup de périphériques IoT, vous avez des périphériques de point de vente, vous avez des tourniquets, vous avez des systèmes HVAC, tout cela est maintenant numérique. Ce sont des points de connexion numériques. Auparavant, vous auriez pu l'isoler. Il se peut qu'un entrepreneur se rende sur place et apporte son soutien. Ce n'est plus le cas. Dans la plupart des cas, il s'agit d'une personne à distance qui surveille un système. Ainsi, aujourd'hui, en tant que World Rugby, nous sommes tous pareils. Nous avons donc des groupes de travail collaboratifs réguliers lorsqu'il s'agit d'événements majeurs.
0:09:49.9 Ben Morris : Nous travaillons donc tous les quinze jours, je crois, pour parler de la sécurité physique du site, des pratiques de cybersécurité et de la façon dont tout cela est lié. En effet, vous pouvez avoir le meilleur système de sécurité physique au monde, mais s'il est exposé du point de vue de la cybersécurité, il est très vulnérable et vous entendez maintenant des histoires d'horreur de personnes qui désactivent les tourniquets lors d'événements majeurs. Nous ne voulons pas de cela. C'est ainsi que la cybersécurité peut s'infiltrer dans la sécurité physique. En effet, si vous supprimez les tourniquets, vous ne pouvez plus garantir la santé et la sécurité non seulement des personnes qui se trouvent à l'extérieur de la salle et qui essaient d'entrer, mais aussi des personnes qui se trouvent à l'intérieur de la salle. Il s'agit donc simplement d'un système d'entrée et de sortie. Nous parlons ensuite d'accréditation, pour nous assurer que les bonnes personnes se rendent dans un lieu au bon moment, et qu'elles ont le bon accès.
0:10:38.4 Ben Morris : Et si quelqu'un compromet ce système ? Aujourd'hui, la sécurité physique et la cybersécurité sont en quelque sorte placées au même niveau de priorité, ce qui est une très bonne chose. Mais le défi que nous devons relever en matière de cybersécurité, c'est que nous n'avons pas vraiment de normes prescrites, alors que la sécurité physique est bien établie. Ils entretiennent des relations très étroites avec les autorités locales et la police locale. Ainsi, lorsque vous parlez du groupe de travail de World Rugby, vous n'avez pas seulement la cybersécurité et la sécurité physique, vous avez la police métropolitaine, vous avez les transports, vous avez le ministère de l'intérieur, le DCMS, nous sommes tous dans le même appel. Il y a une raison à cela. Parce qu'il y a tellement d'interconnexions dans ce cas. Vous avez donc tout à fait raison. Il n'y a plus de distinction claire entre la sécurité physique et la cyber-sécurité. C'est un peu la même chose. Et vous avez des responsables dans chaque domaine qui mènent leurs propres initiatives, mais qui travaillent en collaboration avec chacun d'entre eux.
0:11:32.8 Emily Wearmouth : Ma prochaine question est donc un peu enjouée. Lors de notre première conversation, j'ai lancé à la légère un grand nombre d'exemples de films et de séries télévisées. Cela joue avec l'idée de la sécurité physique et de la cybersécurité. Nous parlions d'Ocean's Eleven, de Logan Lucky, de Prison Break et, en fait, c'est environ 24 heures avant que le ministère britannique de la justice n'annonce que les plans de la prison avaient fait l'objet d'une fuite sur le dark web que je disais. L'évasion de prison est-elle une préoccupation réelle ? Je me suis donc sentie très prévoyante. Mais je voulais savoir qui avait le plus raison, à votre avis, en termes de culture populaire, où l'on trouve la représentation la plus fidèle possible de votre monde dans les films ou à la télévision ?
0:12:11.5 Ben Morris : Oui, je me souviens de la brève discussion que nous avons eue à ce sujet. C'est assez intéressant parce que lorsque vous regardez la dramatisation d'Ocean's Eleven, il y a des éléments qui sont assez réalistes, mais une grande partie est assez farfelue. Il est très facile pour quelqu'un de faire une reconnaissance d'une organisation, de voir comment les gens se déguisent, comment le personnel de sécurité se déguise, de regarder votre accréditation, de regarder vos cartes-clés et de reproduire cela pour essayer de se frayer un chemin dans un lieu. Ainsi, Ocean's Eleven, oui, bien qu'absolument sauvage et farfelu, comporte des éléments transférables. Ensuite, si je pense à prison break, c'est la même chose.
0:12:56.5 Ben Morris : Quand il s'agit de la frette d'initié, connaissez-vous vraiment toutes vos portées ? Combien de vérifications faites-vous des antécédents et des personnes, pouvez-vous leur faire confiance ? Sont-ils fiables ? Et c'est la même chose dans une grande salle de spectacle. Si vous devez faire appel à tous les délégués syndicaux et à la sécurité physique, pouvez-vous vérifier l'identité de chacun ? Quelqu'un a-t-il cloné le passé de quelqu'un d'autre et réussi à y entrer ? Donc oui, encore une fois, prison break est très dramatisé et naturellement pour le rendre divertissant. Mais il y a des éléments à cela, car vous avez mentionné qui rend vraiment justice à la cybersécurité. En matière de divertissement, il n'y a pas d'exception. Je pense que j'utilise Mr. Rover, c'est probablement le principal que je consulte parce qu'il montre un mélange de sophistication dans l'accès initial, de reconnaissance, d'ingénierie sociale, de ce que vous pouvez récupérer sur Facebook ou LinkedIn, de ce que vous pouvez attraper sur l'identité de quelqu'un et de ce que vous pouvez en tirer.
0:13:52.1 Ben Morris : Et puis il y a la capacité technique de transférer toute cette reconnaissance, ces renseignements et cette connaissance d'un environnement et de les intégrer dans la technique. Alors oui, tout est très dramatisé et je peux dire avec un haut degré de certitude que Prison Break, Ocean's Eleven et autres, il y a probablement 95 % de tout cela qui est tiré par les cheveux, mais il y a ces 5 % qui sont tout à fait exacts. Et c'est un domaine qui, pour les professionnels de la cybersécurité, nous empêche de dormir parce qu'il s'agit d'hypothèses et de choses de ce genre.
0:14:23.3 Emily Wearmouth : Merci de m'avoir permis de poser cette question. Je vais passer à une question plus sérieuse, ma prochaine question, qui est que, lorsque vous pensez à des choses comme la Coupe du monde de rugby, la Coupe du monde de football, les Jeux olympiques, ces cycles de quatre ans semblent être fréquents. Je ne sais pas pourquoi quatre ans. Mais je me demandais si, lorsque vous travaillez sur ces cycles de quatre ans, vous décampiez en quelque sorte pour tout reprendre à zéro pour la prochaine édition, ou si vous deviez élaborer une toute nouvelle approche en matière de sécurité pour chaque Coupe du monde ? Ou bien assurez-vous la continuité des équipes et des processus ? Comment construire une approche à long terme ?
0:14:56.3 Ben Morris : Si vous me posez la question il y a quatre ans, je pense que c'était une approche qui consistait à construire, démolir et recommencer. Et ce n'est pas une particularité de World Rugby. Tout le monde l'a fait. Vous avez probablement tous entendu parler des Jeux olympiques, qui se déroulent dans un pays hôte, où l'on construit toutes les infrastructures, où l'on organise l'événement, et où l'on repart pour le prochain. Aujourd'hui, ce modèle n'est tout simplement pas viable. Pour l'ensemble de la fédération, la durabilité et la réutilisation constituent l'un des principaux objectifs. Et ce que nous reconnaissons, c'est qu'au cours de ce cycle de quatre ans, nous consacrons notre temps à d'autres domaines, en affinant ce cadre. Affiner ce plan. Par exemple, World Rugby travaille probablement sur des cycles de deux ans. Tous les quatre ans, nous avons donc une Coupe du monde masculine, puis une Coupe du monde féminine deux ans plus tard.
0:15:42.3 Ben Morris : Il s'agit donc plutôt de cycles de deux ans. Mais aujourd'hui, avec les instances dirigeantes, nous organisons des événements pendant ces années, je dirais, tranquilles. Cela permet d'affiner le projet. Aujourd'hui, lorsque nous nous rendons dans un pays d'accueil, nous disposons d'une liste de cadres. À World Rugby, nous avons donc 45 cadres, et je pense que ce sont des cadres que nous avons développés au cours de cette période. Je pense que World Rugby existe depuis 137 ans, et nous sommes donc assez compétents lorsqu'il s'agit d'accueillir un événement majeur et de faire ce qu'il faut. La raison pour laquelle il y a des cycles de quatre ans, c'est qu'il y a beaucoup de préparation et de planification pour les événements majeurs. Et c'est là l'élément de durabilité, car vous ne pouvez pas faire cela avec du personnel temporaire qui entre et qui sort. World Rugby recrute donc des équipes spécialisées.
0:16:33.5 Ben Morris : Je faisais partie de l'équipe de spécialistes lorsque World Rugby a décidé que nous voulions organiser nous-mêmes les grands événements. Au lieu de confier cette responsabilité au pays hôte, World Rugby s'en chargera lui-même. La FIFA et les Jeux olympiques ont adopté ce modèle : nous aurons des membres permanents du personnel responsables de ces cadres, ce qui permettra de les normaliser et d'en assurer la reproductibilité. C'est la raison pour laquelle nous voulons utiliser les salles existantes et Stadias, car il est très difficile de reproduire ce modèle lorsque l'on construit constamment. Aujourd'hui, nous nous rendons dans des pays d'accueil où l'infrastructure est déjà en place et où l'on a déjà fait ce genre de choses. Il ne s'agit donc plus que de l'organisation de l'événement majeur, sans penser à l'infrastructure, au transport, etc. C'est donc l'ensemble du sport qui est concerné. Il est devenu beaucoup plus durable et réutilisable pour cette raison, ce qui est une bonne chose pour moi car nous pouvons itérer sur ce modèle au fil du temps.
0:17:26.8 Ben Morris : Nous allons donc apprendre beaucoup de choses de 2025, et pour la Coupe du monde masculine de 2027 en Australie, nous avons tiré quelques leçons. Nous disons que ceci a très bien fonctionné, que ceci n'a pas fonctionné, et nous pouvons ensuite l'affiner au fil du temps. D'ici à ce que la Coupe du monde ait lieu en 2031 aux États-Unis, ce modèle aura été affiné pendant dix ans et il nous permet de rester à la pointe de la technologie et des menaces émergentes. C'est donc dans cette optique que tous les organes directeurs et les organisateurs d'événements majeurs s'investissent aujourd'hui : raffinement, modèle de référence, normalisation et reproductibilité.
0:18:03.1 Emily Wearmouth : Si vous comparez la récente Coupe du monde de football, qui s'est déroulée sur un marché où de nombreux stades ont été construits spécialement, et c'est la raison pour laquelle ils voulaient la Coupe du monde, c'est pour construire leur infrastructure, avec quelque chose comme les derniers Jeux olympiques où il s'agissait de réutiliser les sites, lequel des deux préféreriez-vous être en charge de la sécurité pour une construction entièrement nouvelle ou avoir à faire face à certains défis liés à l'héritage, mais avec une infrastructure qui est déjà là ?
0:18:29.0 Ben Morris : D'un point de vue purement cybernétique, j'adorerais construire de nouveaux bâtiments parce que vous pouvez y apporter les dernières technologies, vous pouvez vous assurer qu'ils sont conçus de manière efficace sur le plan de la sécurité. C'est ce que je préférerais personnellement. Toutefois, lorsqu'il s'agit d'événements majeurs, la cybersécurité ne représente qu'une petite partie de l'ensemble. En tant que passionné de sport et fan, et vous avez mentionné la F1, je suis un grand fan. Football, rugby, etc. En tant que fan, je pense que ce n'est pas extensible et que ce n'est pas sain pour les régions de construire tous ces sites, de les utiliser une fois, puis de les laisser vieillir. Vous avez vu ceux des Jeux olympiques, et je pense que c'est une situation horrible. En fait, en tant que fan, je préfère le modèle de réutilisation. En tant que cyberprofessionnel, la tâche est plus ardue, car vous devez moderniser une infrastructure déjà ancienne.
0:19:16.8 Ben Morris : Mais cela fait partie du rôle que vous assumez. Alors oui, c'est du 50/50. Je suis partagé entre, oh, j'adorerais. Comme une nouvelle reconstruction. Je construis tout à partir de zéro. Par exemple, je vais utiliser White Heart Lane, le nouveau stade de Tottenham. Ils ont tout construit à partir de zéro. Tout est modernisé. La technologie la plus avancée serait géniale pour construire des choses basées sur des normes appropriées, mais elle n'est pas réutilisable, en particulier pour un événement majeur qui change d'emplacement géographique tous les quatre ans. Ce n'est pas ainsi que le monde fonctionne. En tant que fan, je préfère donc le modèle qui consiste à se rendre dans un pays, à utiliser l'infrastructure physique qui s'y trouve, à la moderniser dans une certaine mesure afin qu'elle puisse être réutilisée. Nous pourrions revenir en arrière dans huit ans, dix ans, douze ans, etc. Ce que les gens ne comprennent peut-être pas dans le domaine du sport, c'est que toutes les fédérations travaillent en étroite collaboration les unes avec les autres pour cette raison.
0:20:07.1 Ben Morris : Nous pourrions donc organiser un événement majeur aux États-Unis en 2031. Nous pourrions utiliser une grande partie des sites utilisés par la FIFA pour 2026. La raison en est que la réutilisation des choses nous donne un certain degré de confiance : "Oh, la Coupe du monde de la FIFA s'est déroulée dans ces stades." Il doit donc être capable de faire fonctionner nos produits et vice-versa. Il en va de même pour les Jeux olympiques. Nous essayons donc d'améliorer le sport dans son ensemble. Donc, oui, c'est un long chemin pour répondre à votre question. Mais oui, je pense que je préfère le modèle de réutilisation pour cette raison. Nous améliorons l'infrastructure existante. Je pense qu'il modernise également la région, les personnes qui y vivent, les citoyens, le public. Il y a donc de nombreuses raisons pour lesquelles je pense que ce modèle est le meilleur.
0:20:47.1 Emily Wearmouth : Je savais que ce serait une question difficile lorsque je l'ai posée. Je pensais que vous seriez grand. [D'accord. Je vais vous interroger sur le paysage des menaces, car il est évident que vous avez affaire à un monde de menaces très importantes lorsque vous organisez un grand tournoi sportif. Je me demandais comment vous suiviez, personnellement et en tant qu'organisation, l'évolution du paysage des menaces et comment, le cas échéant, cela influençait-il vos plans ?
0:21:12.9 Ben Morris : C'est exact. Oui, c'est vrai. Il y a donc plusieurs aspects à prendre en compte. Je vais d'abord parler de l'échelon local, puis je passerai à l'échelon national. Ainsi, au niveau local, la manière dont je recueille des informations sur les menaces passe par la mise en réseau de mes partenaires clés. Nous avons donc beaucoup d'investissements stratégiques avec des partenaires technologiques qui travaillent pour nous dans ce domaine. Parce que nous ne sommes qu'une petite équipe à World Rugby, nous ne pourrons jamais couvrir l'ensemble du paysage du fret d'une manière pratique. Et il sera trop difficile d'assimiler ces informations. Travaillez donc avec des partenaires clés dans différentes spécialisations. Par exemple, nous pourrions travailler avec AWS pour obtenir des informations sur le nuage et ce qu'ils observent. Ils peuvent travailler avec, par exemple, Netskope en ce qui concerne ce que nous voyons sur le front de la mise en réseau du point de vue de la mondialisation. Nous travaillons donc avec des partenaires clés lorsqu'il s'agit de renseignements locaux susceptibles d'affecter notre infrastructure.
0:22:05.5 Ben Morris : Ensuite, il y a les autres pairs du secteur. J'ai parlé il y a quelques instants de notre travail en collaboration avec les fédérations. Nous partageons nos renseignements, car il est fort probable que les menaces qui nous visent ou qui visent les Jeux olympiques soient exactement les mêmes. C'est ainsi que nous partageons nos informations. Nous avons déjà mis en place un groupe de travail entre toutes les fédérations pour partager les informations relatives à la cybersécurité. Et des choses que nous avons mentionnées cette année à propos des Jeux olympiques. Nous avons réutilisé les informations recueillies lors de cet événement et nous avons veillé à ce qu'elles fassent partie de nos plans et des informations dont nous disposons pour les Jeux olympiques et qui seront partagées avec la FIFA. Il y a donc les renseignements sur les menaces au niveau des salaires, puis les renseignements sur les menaces au niveau national ou de la nation. C'est pourquoi notre collaboration avec le NCSC est si importante. Nous n'avons pas de liens avec les États-nations et ce qui se passe dans cet écosystème.
0:22:58.2 Ben Morris : Nous devons donc travailler avec le NCSC pour savoir si nous allons être la cible d'un État-nation. Pouvez-vous nous aider et nous fournir les renseignements dont nous avons besoin pour nous assurer que nous sommes bien préparés ? Ainsi, lorsqu'il s'agit d'un événement majeur dans un pays, vous travaillez souvent avec ce spécialiste de la cybersécurité qu'est le NCSC. Dans cet exemple, vous générerez un rapport FRET pour l'événement, puis vous obtiendrez les conclusions de ce rapport, la source crédible la plus probable sera X et c'est ce qu'elle utilisera. Voici le plan d'intervention et ce que vous devez prendre en compte. C'est ainsi que nous... Dans cette approche à trois volets, il y a le niveau local avec les partenaires clés, le niveau de la fédération avec les pairs, et enfin le niveau de l'État-nation, qui est le gouvernement local à l'époque.
0:23:41.4 Ben Morris : Et ces trois domaines vous donnent une image claire de ce qu'est le paysage des menaces à l'heure actuelle ? Et cela change tout le temps. C'est ce qui rend la cybersécurité intéressante, stimulante et stressante au Royaume-Uni. D'accord, vous allez être une cible, parce que vous êtes l'un des cinq yeux. Vous aurez donc un certain nombre de cibles. Le militantisme est très important en ce moment, et ce sont donc les domaines qui sont les plus susceptibles de vous concerner au Royaume-Uni. Ensuite, nous déplaçons nos principaux événements en Australie. Cela va donc changer à nouveau, puis nous nous déplacerons à nouveau aux États-Unis après cela. La menace évolue donc chaque année. C'est donc un domaine dans lequel il faut investir beaucoup de temps pour mettre en place ces communautés de renseignements sur les menaces. C'est ce que je conseille aux auditeurs. Si vous n'avez pas mis en place cette veille sur les menaces, pensez à ces trois niveaux pour vous aider. C'est ce qui fonctionne pour moi et c'est extrêmement précieux. Expliquer les menaces au conseil d'administration, articuler le risque et la probabilité que ces risques soient importants, puis les investissements que vous devez faire en tant que cyberprofessionnel pour prévenir et réduire l'impact des perturbations lors d'un événement majeur.
0:24:43.0 Emily Wearmouth : Et cela m'amène à penser que lorsque vous mettez en place vos plans pour le cas où quelque chose tournerait mal, vos plans impliquent-ils des choses comme l'armée ? Si vous devez faire face à un événement de grande ampleur, la police et l'armée figureraient-elles dans vos plans d'atténuation ?
0:24:56.8 Ben Morris : La police. Un grand moment.
0:24:58.3 Emily Wearmouth : Wow.
0:24:58.9 Ben Morris : Sur l'ensemble des huit sites, il y a donc une présence policière massive. Leur présence dans notre bloc, qui est le principal centre opérationnel, est omniprésente. La police est un élément essentiel de tout événement majeur dans un pays. Et ce n'est pas seulement le Royaume-Uni qui est concerné au niveau mondial, ils doivent être impliqués très tôt, surtout en ce qui concerne le financement et la préparation. La police ne dispose pas d'une quantité infinie de fonds. Elles ne disposent pas non plus d'une quantité infinie de personnel opérationnel. Ainsi, plus ils comprennent qu'un événement majeur va se produire. En général, cela fait partie de la procédure d'appel d'offres pour un événement majeur. Ils seraient consultés dans le cadre du processus d'appel d'offres pour un événement majeur, en fonction de la disponibilité de la police cette année-là.
0:25:35.9 Ben Morris : Une partie de cette préparation implique également le ministère de l'Intérieur, qui coordonne le tout et affecte généralement un commissaire pour aider à la planification. La police est donc absolument essentielle. Ils sont impliqués tout au long du processus. Le domaine militaire est un peu étrange. Ainsi, en cas d'événement majeur, de grève ou de tout autre événement susceptible d'affecter la stabilité de la police locale en matière de protection de la population, il est très rare que cela se produise. En général, des bénévoles d'autres comtés viennent soutenir cette bande passante. Je n'ai jamais assisté à une intervention militaire, mais j'ai cru comprendre que c'était le cas pour d'autres événements. Je pense que le fait que le gouvernement britannique fasse intervenir l'armée est le pire des scénarios.
0:26:18.4 Ben Morris : Ils n'ont pas le personnel, ils n'ont pas la police disponible, et puis, ou peut-être les stewards dans le terrain. Il n'y a pas de soutien privé de la part des entreprises pour soutenir cela. Il y a donc de multiples points de décision, et cela passe par le bureau à domicile. C'est le ministère de l'intérieur qui a le dernier mot, et il se base sur les risques opérationnels sur le terrain pour le public et les supporters, ainsi que sur l'organisation des grands événements. Alors oui, heureusement, les militaires sont moins nombreux, alors la police absolument. Ils jouent un rôle crucial dans ce processus.
0:26:47.3 Emily Wearmouth : Génial. Ma dernière question est la suivante : vous voyagez dans le monde entier. Voyez-vous des différences significatives dans la manière dont les différents pays abordent des événements comme le vôtre et souhaitent s'associer avec vous pour les événements que vous organisez ?
0:27:01.4 Ben Morris : Oui, je pense que lorsqu'il s'agit d'organiser des événements majeurs dans le monde entier, chaque région a son propre degré de maturité. En ce qui concerne la cybersécurité, dans mon monde, certains sont beaucoup plus mûrs et la norme est prise en compte. Je pense que l'Amérique du Nord est le modèle à suivre à l'heure actuelle, et je pense qu'ils ont la chance que beaucoup de leurs salles et de leurs stades aient été construits dès le départ dans cette optique. Je pense que l'Europe est très forte lorsqu'il s'agit de ses normes et de ses aspects pratiques. J'ai mentionné le processus d'audit concernant la sécurité physique, nous sommes donc très, très forts, mais il y a beaucoup plus d'investissements nécessaires en ce qui concerne la cybernétique. J'ai l'impression que l'APAC est en pleine croissance pour le rugby. Par exemple, c'est en Asie que l'on observe la plus forte croissance du rugby en ce moment. C'est-à-dire que lorsque je dis cela aux gens, c'est comme si je leur disais : "Wow, vraiment ? Mais oui, le Japon et ces régions sont en plein essor.
0:27:49.4 Ben Morris : On assiste à des investissements massifs dans les stades, car ces pays n'ont pas vraiment l'infrastructure nécessaire pour organiser un événement majeur, mais ils aimeraient bien le faire à un moment ou à un autre. Il s'agit donc d'abord de l'infrastructure et de la mise en place d'un événement majeur. Elle s'est beaucoup concentrée sur l'Amérique du Nord et l'Europe centrale. C'est la règle de fait depuis très, très longtemps. Je pense qu'il existe des opportunités avec d'autres régions qui n'ont peut-être jamais organisé d'événement majeur auparavant. Ils construisent donc notre propre infrastructure pour la moderniser. Mais la principale différence réside dans la culture et dans le soutien que le pays local est prêt à apporter à un événement majeur. L'enthousiasme pour un grand événement est le même. La difficulté réside dans l'infrastructure et la maturité de ce pays par rapport à un événement majeur. C'est là que mon rôle consiste à élaborer ces plans. C'est pourquoi, en tant qu'instances dirigeantes, nous devons contribuer à la préparation du prochain grand événement. C'est ainsi que les choses ont pu être transférées, mais rien ne change d'un point de vue culturel, je dirais. Il s'agit simplement d'un défi en ce qui concerne la maturité de l'infrastructure.
0:28:50.2 Emily Wearmouth : Le sport est donc une langue internationale universelle, tout comme la cybersécurité ?
0:28:55.0 Ben Morris : Oui, je dirais que oui. Aux différents stades du langage commun, et je pense qu'il faudra surveiller cet espace au cours des deux prochaines années. Je pense que c'est dans le sport que nous nous élèverons le plus. Je pense que la raison en est la transférabilité et la durabilité du jeu. Il est désormais reconnu au niveau mondial, non seulement dans le domaine du sport, mais aussi dans la plupart des secteurs, que la cybersécurité est l'un des plus grands risques auxquels nous serons confrontés. Je pense qu'il est désormais reconnu comme l'un des domaines sur lesquels nous devons nous concentrer. Donc oui, c'est une langue transférable, moins dans certaines régions que dans d'autres, mais je suis sûr que cela changera.
0:29:32.5 Emily Wearmouth : Génial. Ben, c'est absolument fascinant. Honnêtement, je pourrais vous en parler pendant des heures et ma sœur est une grande fan de rugby, donc avec cet épisode, nous avons gagné au moins un auditeur supplémentaire, donc elle va aussi adorer cette conversation. C'est une victoire. [Merci beaucoup de m'avoir accordé votre temps.
0:29:51.3 Ben Morris : Merci beaucoup de m'avoir reçu. J'espère que vos auditeurs en ont appris un peu plus sur le sport, la cybersécurité et l'interchangeabilité. Mais oui, c'est un plaisir de discuter aujourd'hui et j'espère que nous aurons l'occasion de le faire à l'avenir.
0:30:01.0 Emily Wearmouth : Génial. Merci, Ben. Vous avez écouté le podcast Security Visionaries et j'ai été votre hôte, Emily Wearmouth. Si vous avez apprécié cet épisode, n'hésitez pas à le partager. N'oubliez pas de nous suivre sur votre plateforme de podcast préférée et vous serez ainsi sûr de ne jamais manquer un épisode. Nous vous retrouverons la prochaine fois.
){kind=icon}
