Sony, l’exemple malheureux d’une impréparation ordinaire
Après avoir avoué l’un des piratages les plus étendus à ce jour, Sony commence à rouvrir ses services en ligne. Une opération qui intervient après que le groupe ait non seulement enquêté sur l’intrusion dont ses systèmes ont été victimes, mais aussi mis en place des dispositifs de sécurité qui, manifestement lui faisaient défaut précédemment. Un signe positif qui devrait inciter les utilisateurs à revenir. Voire, si le marché était juste, devenir un avantage concurrentiel pour le japonais. Car il est probable qu’il accorde désormais à la sécurité de ses SI toute l’attention qu’elle mérite. Et l’on peine à croire que ce soit le cas de tout le monde.
Victime d’au moins deux attaques ayant conduit à la compromission des données personnelles de plus d’une centaine de millions de ses clients, Sony a souffert. Et la souffrance n’est probablement pas terminée : après l’enquête et les efforts de sécurisation viendront le temps des répercutions judiciaires et financières. Alors, certes, certains ne manqueront pas de considérer que le groupe japonais a pêché par manque de prudence. L’annonce de la nomination d’un responsable de la sécurité informatique abonde d’ailleurs dans ce sens : elle laisse à penser que la fonction sécurité du SI n’était pas clairement identifiée dans l’entreprise, jusqu’ici. La proximité temporelle des deux intrusions dont Sony a été victime, et la manière dont elles ont été découvertes - avec deux jours de délai pour l’une, l’autre étant antérieure mais découverte à l’occasion des enquêtes conduite pour la première... - ne plaide pas non plus en la faveur du groupe. Mais une chose peut sembler à peu près sûre : Sony n’est pas resté les bras croisés et a probablement appris d’une leçon qui peut encore lui coûter très cher. Appris beaucoup avec un cours accéléré. Ce sont des choses qui marquent. Exemple d’un échec majeur de sécurité informatique, Sony pourrait bien devenir l’exemple d’une entreprise où la culture de la sécurité du SI est une réalité quotidienne. Il y a fort à parier que le groupe doive encore faire du chemin pour cela, mais au moins est-il sur la bonne voie.
Et il serait totalement illusoire de considérer que Sony arrive là bon dernier et que la culture de la sécurité IT est largement diffusée dans les entreprises du monde entier. Le cas de Stuxnet, l’an passé, l’a montré : le monde des infrastructures industrielles informatisées souffrait au moins jusque là d’une absence considérable de culture de la sécurité informatique. Plus généralement, dans le développement logiciel, la situation n’est pas meilleure. Plusieurs RSSI de grands groupes français le soulignaient d’ailleurs aux Assises de la Sécurité, à Monaco, à l’automne dernier. Le fait est que sécuriser un SI n’est pas une chose simple. Certains se demandent si Sony était certifié PCI DSS, à savoir s’il respectait les normes de sécurité de l’industrie des cartes bancaires. Est-ce vraiment cela qui compte ? Est-ce qu’un tampon validant l’application de normes qui n’évoluent que lentement aurait protégé Sony ? L’exemple récent de l’intrusion dans les systèmes d’information de RSA laisse à penser que non : cette filiale d’EMC, parmi les plus renommés spécialistes de la sécurité, s’est faite avoir. Ce n’est pas rien.
Cela rappelle surtout une chose : sécuriser un système d’information n’a rien de simple. Cela ne se fait pas d’un coup de baguette magique ou en empilant des boîtes technologiques, que ce soit en entrée de son réseau ou autour de chacun de ses serveurs. Cela se fait en surveillant des flux et des activités dans son SI. Mais la clé d’une relative sécurité, c’est clairement de la vigilance en continu, une remise en cause régulière des pratiques internes, des processus, des éléments surveillés, pour s’adapter à l’évolution de la menace. Mais ce n’est pas tout et les APT (Advanced Persistant Threat) le rappellent (trop) régulièrement : la sécurité, c’est d’abord une culture interne de la menace, propagée à tous les échelons de la hiérarchie. Patrick Langrand, responsable groupe de la sécurité des systèmes d’information de La Poste, et Philippe Steuer, responsable de l’observatoire de la sécurité interne, l’exposaient d’ailleurs très bien en décrivant leurs initiatives en avril 2010, à l’occasion de feu le Forum International de la Cybercriminalité.
Bref, au final, Sony apparaît clairement comme un exemple malheureux. Un exemple qui pourrait toutefois réussir à transformer cette expérience en atout, y compris concurrentiel, pour peu que le groupe réussisse à faire naître en interne la culture de la menace informatique et à communiquer dessus, à la valoriser à l’extérieur. Mais subsiste une question : combien y’a-t-il de Sony en puissance ? combien parmi eux sauront apprendre de l’exemple ?