Le mastodonte français des services numériques, en grande difficulté, est l’un des acteurs majeurs du système de cybersécurité des Jeux de Paris et un partenaire de longue date du CIO. Inquiétant ?

C’est le dossier radioactif du moment, à Bercy. Celui d’un fleuron français des services informatiques, omniprésent dans le secteur du nucléaire et de la défense, en passe d’être vendu à la découpe. La faute à un mur de dettes, devenu insurmontable. Symbole de sa dégringolade, son cours de Bourse se morfond à 2,35 euros aujourd’hui, malgré ses 11 milliards d’euros de chiffre d’affaires. L’action s’échangeait encore à plus de 30 euros deux ans plus tôt, et même à 80, en février 2020. Entre la valse des dirigeants et les âpres négociations en coulisses avec les potentiels acheteurs, les déboires d’Atos rempliraient facilement trois saisons d’une série Netflix. L’imminence des Jeux olympiques et paralympiques de Paris ouvre un nouvel épisode à suspense pour l’entreprise : pourra-t-elle assurer sereinement sa mission l’été prochain ?

Atos, il faut le rappeler, est l’un des principaux piliers de l’imposante forteresse numérique bâtie pour protéger l’évènement. Les JO s’apparentent à un Noël avant l’heure pour les hackeurs. Une foule de touristes, d’athlètes et de personnalités vont débarquer en France, avec en toile de fond des épreuves sportives diffusées sur la moitié de la planète… Le Comité d’organisation (Cojop) s’attend ainsi à plusieurs milliards de cyberattaques sur le territoire cet été, divisées en deux catégories. Celles provenant de pirates en quête de fortune, "rançonnant" le quidam à la recherche désespérée de billets ou les services d’urgences d’un hôpital. Et celles directement liées aux Jeux, pour diffuser des messages politiques lors de cette fenêtre unique d’audimat, ou pourquoi pas saborder les épreuves. Russes, Chinois, Iraniens, Nord-Coréens, ou hackeurs du Moyen-Orient : les usual suspects sont déjà bien connus.

"Aucun sujet d’inquiétude", répond laconiquement l’exécutif d’Atos à L’Express. Au Cojop, aussi, on se veut rassurant sur les capacités de l’entreprise à tenir son rang. Par "chance", les départements impliqués - hébergement et cybersécurité - sont parmi "les plus rentables du groupe". Il leur a été martelé qu’il n’y aurait pas de problème de trésorerie. Du moins, pas avant 2025. En séance au Sénat, le 14 février, la nouvelle secrétaire d’Etat au Numérique, Marina Ferrari, a également présenté les premières conclusions de l’audit récemment mené par l’ANSSI sur le géant français. Le gendarme de la cybersécurité estime "qu’aucune dégradation des relations avec Atos n’est identifiée à ce jour". La chambre haute du Parlement a tout de même ouvert un "dossier de contrôle" sur le sort de l’entreprise, et devrait interpeller plus précisément Atos sur sa gestion des Jeux au cours des prochaines semaines. Quoi qu’il advienne, il est trop tard pour faire marche arrière. "Atos a des engagements en béton avec le Comité international olympique, signés avec son sang", sourit un fin connaisseur. "On nous l’a répété, lors d’un comité d’entreprise fin janvier : "Les JO, on ne peut pas se louper"", rapporte Didier Moulin, responsable CGT. Parce que Paris, la France, la patrie… Et qu’après tout, ce seront peut-être les derniers.

Fin de partie avec le CIO ?

Interrogé sur la suite du partenariat qui les lie depuis 2001, le CIO botte en touche : "Nous avons un accord avec Atos, qui reste en vigueur jusqu’à la fin de 2024, et nous sommes actuellement engagés dans les préparatifs des Jeux de Paris 2024." Une autre source, interne, est plus définitive : "La direction a prévenu que c’était terminé." Ce contrat clef jouait encore récemment le rôle "d’accélérateur de négociations commerciales avec les autres clients", aux dires de Patrick Adiba, le responsable du pôle grands évènements ("Major Events"), cité dans un article du Monde à l’automne. "En termes de business, ce n’est pas d’une grande rentabilité : on parle d’une cinquantaine de personnes à temps plein et deux à trois fois plus lors des compétitions, sur un total d’une centaine de milliers de collaborateurs. Mais en termes d’image, c’est une activité intéressante, car elle met en valeur les compétences d’Atos", complète Hervé Lecesne, qui préside l’Udaac, un syndicat de petits actionnaires du groupe.

A Paris, Atos est en charge des systèmes OMS et ODS. Le premier permet notamment "de gérer les 500 000 accréditations, le calendrier des compétitions, les applications de vote des athlètes qui participent aux processus décisionnels du CIO au sein de la commission des athlètes, le portail des volontaires et la gestion des équipes opérationnelles", renseigne la firme sur son site Internet. L’ODS, lui, délivre "en temps réel, les résultats des 878 épreuves sportives à l’ensemble des médias et à la famille olympique et paralympique. Il intègre le 'Commentator Information System' (CIS) qui fournit aux diffuseurs les résultats et les statistiques en provenance du terrain, ainsi que des informations sur le profil et le parcours des athlètes", poursuit la documentation. La transmission du temps du vainqueur du 100 m, c’est Atos. La moindre connexion au village olympique aussi. Les données personnelles des athlètes comme Teddy Riner ou Simone Biles ? Toujours chez Atos. Le planning des 45 000 volontaires, itou. En revanche, la société ne gère pas les équipements sportifs, qui disposent tous ou presque de leurs propres systèmes de sécurité ; le Stade de France, par exemple, roule avec Orange. Dans des labos situés à Madrid, elle peaufine actuellement sa préparation, grâce à des milliers d’heures de tests de ses systèmes qui lui permettent d’évaluer des centaines de scénarios.

"Major Events", un pôle en sursis

On n’est jamais trop prudent. Atos en a fait l’amère expérience : l’entreprise était aux manettes, en 2018, lors des Jeux d’hiver de PyeongChang, en Corée du Sud. Un évènement connu comme la plus grande débâcle cyber de l’histoire olympique. En pleine cérémonie d’ouverture, tous les voyants s’allument : l’appli officielle tombe en rade. Des spectateurs ne peuvent plus imprimer leurs billets, la Wi-Fi vacille, la retransmission dans le stade vire à l’écran noir. A l’époque, le magazine d'investigation Cyberscoop juge probable une infection des serveurs d’Atos trois mois avant les Jeux. Peu d’informations ont depuis filtré, sur le point de départ de l’attaque, particulièrement sophistiquée. En dehors de cet incident, l’histoire entre Atos et les Jeux demeure, il faut le dire, plutôt calme. Il n’y avait, certes, pas de public à Tokyo, il y a trois ans, mais déjà plusieurs centaines de millions de cyberattaques recensées. Sans aucun couac notable, cette fois.

La possible mise à l’écart olympique du fleuron français jetterait un coup de froid dans le pôle "Major Events". Surtout que d’autres contrats seraient en péril. Selon La Lettre, l’UEFA réfléchirait aussi à couper court à son engagement avec la compagnie française, formalisé en décembre 2022. Celui-ci inclut la cybersécurité de l’Euro 2024 et d’autres compétitions, jusqu’en 2030. Contactée par L’Express, l’instance régissant le football européen n’a pas souhaité commenter cette information, pas plus qu’Atos. Il n’est pas étonnant, compte tenu de la descente aux enfers de l’entreprise, que ses clients s’interrogent, ou pire, songent à la quitter. Ce pôle des "évènements majeurs" réunit diverses compétences piochées dans ses entités Eviden et Tech Foundations, cette dernière étant convoitée par l’homme d’affaires tchèque Daniel Kretinsky. Mais les discussions s’enlisent. "Si votre entreprise bat de l’aile, ou se délite, comment faire pour retenir vos talents, dans un secteur aussi concurrentiel et tendu que la cybersécurité ?, interroge un expert du secteur. Surtout qu’Atos n’est pas réputé pour être l’endroit où l’on paye le mieux sur le marché." Ce facteur humain est peut-être, en définitive, le vrai talon d’Achille d’Atos. Les JO requièrent une palette de compétences et de personnels qualifiés pour assurer les rotations, car les attaques peuvent survenir de jour comme de nuit. "Atos est en mesure de sous-traiter, tempère cet autre spécialiste des grands évènements internationaux. Et si les systèmes sont assez robustes et autonomes, la supervision peut être limitée."

Une chose est sûre : la question cyber n’a pas fini de donner des sueurs froides au Cojop. Récemment, c’est Cisco, le responsable des infrastructures réseaux, l’autre acteur majeur aux côtés du français, qui a montré des signes de faiblesse. L’entreprise américaine a vu son chiffre d’affaires chuter de 6 % au dernier trimestre. Elle s’apprête à tailler dans 5 % de ses effectifs, provoquant le départ de plus de 4 000 personnes, a-t-elle annoncé cette semaine. La loi des séries…