Fin 2023, Insomniac Games, une filiale de Sony, a été victime d’un piratage massif. Face au refus de payer la rançon, les hackers ont divulgué des informations sensibles sur l’entreprise, ses partenariats et ses projets futurs, tels que les jeux « Wolverine » et « Spider-Man 3 ». L’adage « le contenu est roi » s’avère particulièrement vrai pour l’industrie du divertissement, où les films, vidéos en streaming et contenus musicaux sont très prisés par les cybercriminels. Une faille de cybersécurité peut entraîner des fuites importantes, avec des pertes considérables à la clé. Des vulnérabilités spécifiques facilitent les attaques contre ces organisations. Néanmoins, des pratiques adaptées peuvent renforcer la cyber-résilience, offrant ainsi des leçons de sécurité pour d’autres secteurs.
Divertissement sous haute surveillance : le grand écran des cybermenaces
Moins de régulations, plus de vulnérabilités
Les cybercriminels sont attirés par les données précieuses qu'ils peuvent exploiter à des fins lucratives. Si les secteurs de la santé et de la finance sont souvent pris pour cible en raison de la sensibilité de leurs données, ces organisations sont très réglementées. Des règles de conformité strictes telles que le RGPD, l’article L1111-8 du Code de la santé publique et la réglementation de l’Autorité des marchés financiers (AMF) les obligent à mettre en œuvre des contrôles de sécurité rigoureux sous peine de sanctions sévères.
Cependant, malgré la volonté de réguler le secteur du divertissement en France et l'existence de réglementations telles que le RGPD et la Loi Informatique et Libertés, il n'existe à ce jour aucune loi couvrant toutes les subtilités spécifiques à la cybersécurité dans ce domaine. En effet, celle-ci est souvent considérée comme un centre de coûts et par conséquent, les mesures de protection peuvent être plus faibles. Les données précieuses combinées à une sécurité souvent insuffisante rendent le secteur du divertissement très attractif pour les cybercriminels.
Jeu des tiers
Un autre facteur clé de la vulnérabilité du secteur du divertissement aux cyberattaques est l'échelle massive et la complexité de ses opérations. En particulier, les organismes de divertissement dépendent souvent de vastes supply chains impliquant des sociétés de production tierces, des agences de recrutement ou des sociétés de relations publiques. Un tel écosystème interconnecté élargit la surface d'attaque d'une entreprise, ce qui signifie que les sociétés de divertissement sont sensibles non seulement à leurs propres faiblesses, mais aussi à celles de leurs partenaires et fournisseurs. Une faille de sécurité dans n'importe quelle partie de ce réseau étendu peut potentiellement compromettre l'ensemble du système.
Il est quasiment impossible de fournir une formation cohérente en cybersécurité dans un environnement aussi dispersé. L'absence de formation et les contrôles d'accès insuffisants peuvent entraîner des fuites accidentelles, comme en 2017 avec HBO. Un épisode de « Game of Thrones » a été publié par erreur avant sa date de diffusion, et bien que la société ait pu retirer le contenu, de nombreux fans l'avaient déjà vu et partagé.
La nécessité de classer les données
Bien que l’industrie du divertissement puisse être perçue comme plus prestigieuse que d'autres, elle partage un point commun avec d'autres secteurs couramment ciblés par les attaquants : de vastes quantités de données sensibles. Il s'agit notamment d'informations personnelles sur un large éventail de personnes, des célébrités aux collaborateurs, en passant par des millions d'abonnés à des services de diffusion en continu et des communautés de fans.
La première étape pour améliorer la cybersécurité et la cyberrésilience consiste à classer et à étiqueter les données. En classant les informations en fonction de leur sensibilité et de leur importance, les organisations peuvent hiérarchiser leurs efforts en matière de sécurité et allouer les ressources de manière plus efficace. Ce processus permet de mettre en place des contrôles d'accès appropriés pour garantir que les données sensibles ne soient accessibles qu'au personnel autorisé.
Toutefois, l'étiquetage manuel des données est fortement sujet à l'erreur humaine et n'est pas extensible aux vastes volumes de données conservés par les entités de l'industrie du divertissement. Pour garantir un étiquetage cohérent, précis et opportun, les organisations ont besoin d'une exploration et d'une classification automatisées des données.
Stratégies de contrôle d'accès
Toute organisation numérique a aujourd'hui besoin d'une stratégie de gestion des identités et des accès. Cette stratégie doit être axée sur l'application du principe du moindre privilège afin de garantir que chaque utilisateur ne puisse accéder qu'aux ressources essentielles à ses fonctions. Le processus commence par un audit approfondi afin d'identifier et de classer les données existantes. Une initiative de gouvernance de l'accès aux données (DAG) garantit ensuite la protection des informations sensibles en contrôlant et en surveillant l'accès. Un système de prévention des pertes de données (DLP) doit également être mis en place pour s'assurer que les informations personnelles identifiables ne soient pas partagées en dehors du réseau de l'entreprise.
L'un des défis les plus importants est la gestion et la surveillance des comptes à privilèges avec des autorisations élevées. Pour y remédier, de nombreuses organisations mettent en œuvre un système moderne de gestion des accès à privilèges (PAM) qui fournit un accès juste-à-temps et juste-assez pour les tâches privilégiées. Les comptes temporaires sont automatiquement supprimés à la fin de la mission, ce qui réduit considérablement la fenêtre de risque associée à des informations d'identification puissantes.
D'autres organisations peuvent être concernées
Quel que ce soit le secteur de prédilection d’une entreprise, les équipes informatiques et de sécurité sont confrontées au même défi fondamental : sécuriser et protéger des données précieuses. Que ce soit sur le tapis rouge ou derrière un bureau, la sensibilisation à la cybersécurité est essentielle.
Dès lors, toutes les organisations doivent prioriser l'éducation de leurs utilisateurs et parties prenantes à cet enjeu crucial. De même, la classification des données, le DAG, le DLP et le PAM peuvent aider n'importe quel secteur à améliorer sa posture de sécurité et à éviter ainsi des pertes financières coûteuses et une atteinte durable à la réputation, tout comme ces meilleures pratiques fondamentales aident l'industrie du divertissement.