Sony Pictures : premières poursuites pour défaut de protection
Victime d’une importante attaque, le studio semble avoir commencé à jouer les équilibristes pour limiter la mise en cause de sa responsabilité.
Sony Pictures ne parvient apparemment pas à entretenir une image de victime idéale. En tout cas, le studio semble parti pour devoir défendre ses efforts – déjà contestés – de sécurisation de son système d’information. De fait, il fait désormais l’objet d’une plainte collective, déposée par d’anciens salariés, qui l’accusent de ne pas avoir « réussi à sécuriser ni à protéger ses systèmes informatiques, ses serveurs et ses bases de données, ce qui a conduit à la publication des noms des plaignants » et autres données personnelles.
Une mauvaise nouvelle qui s’ajoute à une autre : le coût de l’incident. Selon certains documents révélés par les pirates, et examinés par nos confrères de CSO Online, Sony Pictures disposerait d’une couverture, partagée avec Sony Corporation of America, limitée à 60 M$, pour un coût annuel de l’ordre de 360 000 $. Las, selon certains experts interrogés par Reuters, l’incident pourrait coûter jusqu’à 100 M$. Et encore, Sony Pictures devra prouver qu’il a réglé les failles de sécurité qui ont été exploitées avant de pouvoir prétendre à la moindre indemnisation. Ce qui pourrait en fait n’être pas si compliqué…
De fait, selon Christopher Marczewski, ingénieur en sécurité chez Cisco, et ancien de Sourcefire, souligne, dans un billet de blog, que « les données sont la nouvelle cible, cela ne devrait surprendre personne ». Plus explicite, son collègue Craig Williams, a résumé à nos confrères d’Ars Technica : « c’est le jour et la nuit en termes de qualité », entre le logiciel malveillant dont a été victime Sony Pictures, et d’autres attribués à des états ; « le code est simpliste, pas vraiment complexe, et pas vraiment maquillé ».
Bref, il pourrait bien être facile au studio de montrer des progrès dans la sécurité de son information, mais il lui sera alors d’autant plus difficile de dégager sa responsabilité pour la fuite de données personnelles. Un jeu d’équilibriste délicat, en somme.