Piratage de Sony Pictures : quelles leçons tirer de tout ce remue-ménage ?

Blog par Andy | Publié le Jeudi Décembre 18 2014

Une nouvelle histoire de piratage a fait son apparition dans les médias internationaux, alors que le cauchemar de sécurité de Sony en novembre fait à nouveau les gros titres. Au cas où vous ne le sauriez pas, Sony Pictures a été victime en novembre d'une faille de sécurité de la part d'une bande de pirates informatiques se désignant eux-mêmes sous le nom de ‘GOP’ ou ‘Guardians of Peace’ (gardiens de la paix), et des rumeurs ont fait état d'une implication de la Corée du Nord, en colère contre la sortie prévue de The Interview, une comédie qui tourne en dérision le régime du pays et dépendant du fromage chef de file. Ils ont démenti cette spéculation, mais ont déclaré qu'ils admiraient ce sentiment.

Pourquoi s'agit-il d'un sujet d'actualité internationale ? En dehors de la politique, il s'agit de l'événement le plus important de l'histoire de l'Europe. taille:

La taille de Sony
Sony Pictures est un géant mondial du divertissement. $8bn revenue (Mar 2014) et des milliers d'employés (le nombre total d'employés de Sony Corporation dans le monde s'élève à plus de 140 000).

L'ampleur de la perte de données
Environ 100 To de données sensibles sur ces employés, y compris des informations financières, des données sur les ressources humaines et des mots de passe d'utilisateurs. Toutes ces données étaient stockées de manière non sécurisée dans divers formats (feuilles de calcul et documents Word, par exemple) que les utilisateurs d'ordinateurs les moins avertis pouvaient consulter.

L'importance du sujet sur les médias sociaux
Les tendances sur Twitter, Le site de partage de l'ensemble de l'Union européenne Reddit (en effet, Reddit a commencé à interdire aux utilisateurs de partager des documents sur le piratage de Sony) et le sujet de nombreux article de presse.

Outre l'aspect de la taille, c'est la pertinence du piratage pour tous ceux qui l'apprennent qui est en jeu. Certes, la ‘raison’ présumée du piratage (les tentatives de Sony de distribuer un film critiquant le régime nord-coréen) leur est propre, mais la nature et l'ampleur du piratage nous concernent tous.

Il existe aujourd'hui des lois sur la protection des données et la conformité dans la plupart des pays, mais peu d'entre eux les appliquent réellement jusqu'à ce qu'une perte de données se produise. Dans certains secteurs, des organismes de réglementation ont été mis en place pour contrôler la conformité (nous vous regardons, les banquiers), mais le reste d'entre nous doit s'autoréguler.

Mais nous autorégulons-nous ?
Si vous travaillez dans une entreprise, examinez votre culture d'entreprise et les pratiques que vous utilisez pour partager des informations. Pourraient-elles être compromises ? Mieux encore, réfléchissez à la manière dont vous gérez les informations que vous stockez sur votre ordinateur ou que vous envoyez à quiconque, que ce soit au travail ou à la maison. Dans quelle mesure ces informations sont-elles sécurisées ? Même les entreprises qui utilisent un intranet comme moyen de diffusion de l'information devraient prendre des mesures pour sécuriser les données qu'elles détiennent, mais elles comptent trop souvent sur l'isolement par rapport à l'internet au sens large comme substitut à la sécurité.

Ok, alors comment s'autoréguler ?
Commencez par les fichiers eux-mêmes. Si vous les protégez dès leur création en les cryptant et en en limitant l'accès, même s'ils tombent entre de mauvaises mains, ils seront inutiles. Si les documents de Sony avaient fait l'objet d'un contrôle d'accès, les fichiers n'auraient eu aucune valeur pour les pirates qui les auraient découverts. Des logiciels tels que Watchful RightsWatch est idéal pour cela. WatchDox, un logiciel destiné à protéger le partage de documents entre utilisateurs est également un bon moyen de protéger vos documents pendant que vous les distribuez (et d'en céder l'accès par la suite).

Vous pouvez renforcer la protection de vos documents en sécurisant le matériel sur lequel ils sont stockés. L'authentification multifactorielle, y compris les méthodes biométriques, est de plus en plus abordable et répandue, et constitue désormais une solution réaliste dans le cadre d'une stratégie de protection des données. Utilisez l'authentification par empreinte digitale dans le cadre de votre contrôle d'accès (en plus des mots de passe - nous y reviendrons dans un instant) lorsque vous vous connectez à votre ordinateur. Si vous emportez vos données sur une clé USB ou un disque dur externe, cryptez-les et limitez-en l'accès. Les brillantes solutions de stockage portables Ironkey d'Imation sont livrés avec le cryptage déjà activé, et la clé USB Ironkey F200 et le disque dur externe H200 sont livrés avec l'authentification par empreinte digitale intégrée.

Et puis il y a les bonnes pratiques et le bon sens. Si une entreprise adopte et applique une stratégie de bonne sécurité et des attentes auprès de ses employés, elle peut limiter le risque d'exposition des données à des menaces potentielles :

• Ne stockez pas vos mots de passe en texte clair. Si les mots de passe doivent être stockés, cryptez-les et limitez-en l'accès.
• Changez régulièrement de mot de passe et veillez à ce qu'il soit solide. Ils n'ont pas besoin d'être un charabia pour être difficiles à déchiffrer - deux mots aléatoires d'au moins 5 caractères, en majuscules et séparés par au moins deux chiffres et deux signes de ponctuation, constituent un bon modèle, par exemple ‘Toasted46$!Mantra’ - assurez-vous simplement qu'ils sont tous aléatoires. En théorie, il faudrait à un PC standard 931 billions d'années pour résoudre cet exemple. Et si vous l'utilisez tous les jours, vous vous en souviendrez facilement.
• Suivre règlements et lignes directrices sur le stockage des informations personnelles et financières des individus, et ne jamais les stocker dans un fichier non crypté.

Parce que tu en vaux la peine
Je pense que ce que je veux dire, c'est que Sony Pictures n'était pas vulnérable aux attaques simplement parce que les pirates informatiques avaient des intentions. La société était vulnérable parce que son personnel s'est montré complaisant à l'égard de sa sécurité et n'a pas pris les mesures nécessaires pour atténuer les menaces. Et vous êtes tout aussi vulnérable si vous ne faites pas de même.

La triste vérité est que nous devons tous assumer le fait que tous nos appareils, en particulier ceux qui se connectent à l'internet, sont des cibles potentielles pour les utilisateurs peu scrupuleux du web. Mais si nous adhérons tous à ce changement de culture, alors - tout comme nous avons l'habitude de sécuriser nos maisons et nos voitures ou de protéger nos numéros PIN pour les cartes de crédit - nous rendrons la vie un peu plus difficile à ceux qui cherchent à détruire notre travail ou simplement à gâcher notre plaisir.