La traditionnelle présentation annuelle du panorama de la cybercriminalité, élaboré par le Clusif (Club de la sécurité de l’information français) a été l’occasion, une fois de plus, de revenir sur les menaces qui pèsent sur les systèmes d’information. Le cas le plus emblématique est sans doute celui de Sony, victime d’un chantage.
« Je n’ai jamais vu une attaque qui touche autant de dimensions d’une entreprise et qui l’oblige à s’arrêter de fonctionner », constate Gérôme Billois, senior manager chez Solucom, qui a présenté les tendances en matière de rançon vues par le Clusif. Début février 2014, une intrusion dans le système d’information de Sony a abouti à l’extraction de plus de 110 To de données.
Une demande de rançon a été formulée en novembre, avant le déploiement d’un outil d’attaque particulièrement destructeur : « Les contenus de tous les postes de travail sous Windows et des trois quarts des serveurs ont été effacés », rappelle Gérôme Billois. Une attaque qui a remis au goût du jour les stylos et le papier chez Sony, pendant les huit semaines durant lesquelles le SI du groupe japonais a été indisponible.
Dans cette affaire, l’impact a été général et désastreux : révélations d’informations personnelles sur les 47 000 collaborateurs, trois class actions lancées, divulgation des salaires des dirigeants et polémiques collatérales, pertes financières (mise en ligne de cinq films inédits, coûts de reprise d’activité), divulgation d’informations stratégiques et des contenus de contrats vers les concurrents… S’il y a bien un domaine où les DSI ne doivent pas considérer que cela n’arrive qu’aux autres, c’est bien celui de l’insécurité du système d’information.
Pour se rendre compte du risque, il suffit d’imaginer l’état d’esprit d’un DSI qui doit annoncer à sa direction générale que l’heure est venue de reprendre les crayons et le papier pendant deux mois. Qui prend le risque ?