Jusqu'à présent, la sécurité était considérée comme un coût souvent inutile... tant qu'aucun incident ne venait rappeler que la menace et ses conséquences sont réelles ! Avec les différentes ramifications de l'affaire Sony Pictures - hacking, vol, exploitation et destruction de données, chantage, cyber-guerre - l'appréhension de la sécurité ne sera plus la même dans les organisations.
Faut-il remercier Sony Pictures d'avoir été la victime de puissants hackers, d'un monstrueux vol de données, d'un chantage réussi ? Grâce à cette affaire, et malgré la pression de Sony sur les médias américains pour en atténuer la portée, en l'espace de quelques semaines, la prise de conscience des problématiques de sécurité a été massive.
Si les conséquences de ce hacking n'étaient désastreuses pour Sony Pictures Entertainment, ses employés, son écosystème, ses clients, et le monde politique, nous, les DSI, les décideurs IT, les RSSI et les acteurs de la sécurité serions tentés de l'en remercier… Mais revenons tout d'abord sur cette histoire.
24 novembre 2014
Ce 24 novembre, il y a à peine un mois, Sony Pictures Entertainment est hacké. Les pirates informatiques qui pénètrent le système d'information de la division cinéma de Sony se font appeler Guardians of Peace (GOP). Ils dérobent des informations. Combien ? Le chiffre n'a pas filtré, mais il porterait sur plusieurs dizaines de téra octets (To) ! En quittant le SI, les hackers - politiques ou mafieux ? - ne laissent rien derrière eux, ils ont effacé les serveurs et les PC, rendant une partie de la récupération des données quasi impossible.
Qu'a-t-on appris depuis ?
Le vol porterait sur des emails, des informations personnelles de clients, des secrets professionnels. Le plus visible de l'affaire porte sur cinq films (dont The Interview, Fury, le remake du musical Annie) et des scénarios (dont le dernier James Bond) qui ont été rendus publics en téléchargement illégal. Plusieurs centaines de millions de dollars d'investissements dont les retours sont rendus aléatoires.
Le plus grave n'est cependant pas là ! Parmi les données dérobées figureraient des informations confidentielles, embarrassantes, voire compromettantes portant sur les équipes de Sony Pictures, les partenaires, des stars d'Hollywood, et même le président américain Obama… Une partie de ces informations aurait déjà été divulguée sur la toile.
The Interview, l'affaire - politique - dans l'affaire
Parallèlement, un chantage a été exercé sur Sony pour empêcher la diffusion du film The Interview. Cette comédie, très américaine dans son humour, évoque la mission de deux journalistes qui se rendent en Corée du Nord pour assassiner le leader du pays. Un fait qui met en cause les autorités de Corée du Nord...
Le plus inattendu est que la direction de Sony Pictures a cédé aux menaces, et retiré le film qui devait sortir quelques jours plus tard. Depuis il est sorti aux Etats-unis dans un circuit réduit de salles, que l'on imagine protégées… Les effets de la menace sont allés plus loin que Sony, la Paramount a également retiré la diffusion d'un film aancien mais mettant en cause la Corée du Nord !
Du hacking à la cyber-guerre
Pour les services de sécurité américains, qui ont très rapidement enquêté, les hackers seraient nord-coréens ! Voilà que, entre le vol de certaines données, les menaces, et l'origine des hackers, l'affaire Sony prend une nouvelle tournure. Celle de la cyber-guerre que mène la Corée du Nord – et son allié chinois ? - contre la Corée du Sud et son allié américain (lire « Quelle est cette cyber-armée de la Corée du Nord qui menace le monde ? ».
Depuis, le Président Obama est monté au créneau, les dirigeants nord-coréens ont juré que ce n'était pas eux, et l'Internet nord-coréen est tombé plusieurs fois. Pour ceux qui en doutaient, la cyber-guerre est devenue une réalité.
Les hackers donnés gagnants
Pour certains observateurs, le hacking de Sony Pictures est le pire qu'ait connu une entreprise ! Nous serons moins dithyrambiques : c'est certes un vol de données de très grande envergure, dont les conséquences pourront être dramatiques, et qui surtout fait l'objet d'une très forte médiatisation autour de son volet politique. Mais pendant ce temps, combien d'entreprises ont été victimes d'attaques, de vols et pertes de données, de destructions de SI ? Certaines d'entre elles ne se remettront pas ! Les conséquences pour l'entreprise, son écosystème et ses hommes sont du même niveau que pour Sony, et économiquement certainement plus graves, mais peu en parleront.
En revanche, l'affaire Sony révèle au monde que, dans un bras de fer qui se livre entre une entreprise et un hacker, c'est désormais le hacker qui prend le dessus. Et cela quelques soient les sommes investies dans la sécurité des systèmes d'information. Ce fait aurait été impossible il y a ne serait-ce quelques années.
Quel avenir pour les victimes de hacking ?
Reste une problématique de fonds : l'affaire a révélé que les hackers, quelque soit leur origine, ont profité des faiblesses dans la sécurité du SI de Sony Pictures, sans lesquelles ils n'auraient pu pénétrer aussi profondément le système. Rappelons que Jason Spaltro, le (ex !) RSSI de Sony Pictures, affirmait dans une interview en 2007 qu'il n'était pas prêt à investir 10 millions de dollars pour se protéger d'un vol de 1 million de dollars. Et pour 100 millions de dollars, première estimation de Reuters sur les pertes attendues suite au hacking de Sony, aurait-il investi ?
Interrogés sur le coût de ce hacking, les dirigeants de Sony ont affirmé qu'il serait équivalent à celui du flop d'un film, ce qui est courant dans l'industrie du cinéma où tous les films ne sont pas des succès. Cette vision est limitée, elle ne prend pas en compte le coût humain, certainement plus psychologique que financier, ni la perte d'image de la marque et de l'entreprise. Et encore moins le coût politique, car la cyber-guerre risque fortement de prendre de l'ampleur, avec ses débats collatéraux.
Et si cela arrivait à votre entreprise ? Là où peu d'observateurs se risquent à évoquer un avenir funeste pour Sony Pictures Entertainment, le hacking d'une PME ou d'une entreprise de taille intermédiaire risque fort de se traduire par une fin prématurée. C'est une éventualité qu'il faut prendre en compte. Au fait, où en sont vos sauvegardes ?
Une chance pour la DSI...
Pour conclure, revenons à notre question initiale : « Faut-il remercier Sony Pictures d'avoir été la victime de hackers ? ». La réponse est certainement 'oui'. La médiatisation de l'affaire Sony Pictures et la gravité des faits devraient inciter les directions générales et directions métiers à revoir leur vision de la sécurité dans l'entreprise. Et à accorder un peu plus d'attention aux projets de la DSI. Tous les métiers qui ne voient dans la sécurité qu'un poste de coût devraient réviser leur jugement s'ils prennent en compte les arguments issus du dramatique retour d'expérience de Sony.
Pour intégrer cette expérience, DSI et RSSI vont certainement devoir revoir leurs hypothèses et reconsidérer les compromis sur lesquels ils se sont engagés. Ils vont devoir également faire le tri dans les affirmations et les propositions des acteurs de la sécurité qui ne manqueront pas d'exploiter l'affaire et d'affirmer qu'avec leurs solutions, cela ne serait pas arrivé ! C'est donc probablement une nouvelle époque qui débute pour la sécurité des systèmes d'information, celle du post Sony.