Les médias, cibles d’attaques en vogue

Les entreprises du secteur des médias et du divertissement peuvent constituer elles-mêmes des cibles privilégiées d’attaques, et les revendeurs à valeur ajoutée, ainsi que les fournisseurs de services infogérés,  devraient avoir ces secteurs à l’esprit lorsqu’ils définissent leurs clients potentiels.

Prenons l’exemple de la récente attaque, très médiatisée, à l’encontre de Sony Pictures Entertainment. La société a été, fin 2014, touchée par une cyber-attaque ayant fortement perturbé ses activités, qu’elle a qualifiée d’ « audacieuse ». Les services de renseignements américains ont attribué l’attaque à la Corée du Nord, qui a démenti toute responsabilité.

Mi-décembre, l’entreprise publiait sur son site Web un message à l’intention de ses employés, anciens employés et les personnes qu’ils ont à charge, indiquant que suite à l’identification du problème, elle avait rapidement pris des mesures pour contenir l’attaque, fait appel à des consultants en sécurité reconnus et contacté la police.

Des personnes non autorisées pourraient avoir accédé à des noms, adresses, numéros de sécurité sociale, numéros de passeport, informations sur des cartes bancaires pour les dépenses et les déplacements professionnels, des noms d’utilisateur et des mots de passe, des données au sujet des rémunérations et d’autres informations d’ordre professionnel.

De plus, la société a affirmé que des individus non autorisés pourraient avoir accédé à des données médicales protégées par le Health Insurance Portability and Accountability Act (HIPAA) que des employés lui avaient communiquées.

En d’autres termes, une grande quantité de données se trouve peut-être précisément là où personne ne le souhaite, entre les mains de personnes malintentionnées.

La société a également informé ses employés qu’elle leur offrirait, ainsi qu’aux personnes qu’elles ont à leur charge, des services de protection contre l’usurpation d’identité.

Quelle que soit l’origine de l’attaque contre Sony, celle-ci montre que les sociétés du secteur des médias et du divertissement peuvent constituer des cibles de choix pour une attaque, en raison de leur très grande visibilité. Les attaques à l’encontre de ce type de sociétés peuvent avoir un  impact important et susciter beaucoup d’attention  en fonction de leur médiatisation.

L’attaque ayant ciblé Sony est la plus importante mais n’est assurément pas la seule attaque de sécurité connue de ce secteur d’activité. Le New York Times a signalé en janvier 2013 que son réseau interne avait été attaqué par des hackers chinois pendant quatre mois. À peu près au même moment, Dow Jones & Co., l’entreprise qui publie le quotidien The Wall Street Journal, a déclaré que les systèmes informatiques du journal avaient été infiltrés par des pirates chinois. Le compte Twitter du New York Post a été piraté quant à lui au mois de janvier 2015.

Les médias peuvent être les cibles de choix des « hacktivistes »,qui s’introduisent dans des systèmes ou réseaux à des fins politiques. Cela concerne à la fois les médias traditionnels tels que les médias audiovisuels et les maisons d’édition, et les médias sociaux comme Twitter et Facebook. L’étude, The Global State of Information Security Survey 2015,  réalisée par le cabinet de conseil PwC et les magazines CIO et CSO, a constaté qu’un peu moins d’un quart (23%) des sociétés du secteur des médias et du divertissement interrogées avaient détecté 50 incidents de sécurité ou davantage au cours des 12 derniers mois.

Dans le cadre de cette étude, 9 700 cadres commerciaux et techniques du monde entier ont été interrogés entre mars et mai 2014. Lorsqu’on leur a demandé d’identifier l’origine probable de ces incidents de sécurité, la cause la plus souvent citée a été les employés et les anciens employés, suivie des concurrents et des pirates informatiques.

L’impact des incidents le plus souvent cité par les médias et les sociétés de divertissement a été le piratage de dossiers d’employés, suivi du vol desoft intellectual property, du piratage de dossiers de clients  et d’informations nominatives relatives à des clients ou des partenaires commerciaux.

Les sociétés de ce secteur d’activité doivent donc se demander si elles disposent de la technologie leur permettant de détecter les attaques, les malwares, les APT (advanced persistent threats, menaces persistantes avancées) et d’autres incidents de sécurité suffisamment vite pour éviter d’importants dommages. Et si ce n’est pas le cas, se demander pourquoi.

Cet article a été écrit par Robert Krauss.