L’affaire Sony (2)

No Comments

Dans le précédent billet, nous avons vu quelques éléments d’ensemble sur ce qui restera comme « l’affaire Sony ». Rétrécissons la focale pour nous concentrer maintenant sur l’entreprise elle-même, quelque peu oubliée.

Sony-Pictures-DVD-Center-sony-pictures-17954807-600-430

Dans une grande partie des déclarations relatives à cette affaire, Sony est citée non comme protagoniste principal de l’affaire mais comme alibi à des postures plus ou moins martiales. Ce qui nous amène à poser la question de la place de l’entreprise dans le cyberespace et, plus précisément, celle que les acteurs étatiques lui accordent dans le cyber jeu international.

Quelle place pour l’entreprise ?

il est étonnant de constater l’inflation du langage guerrier alors que la cible est une entreprise qui, sauf preuve du contraire, n’est pas d’une importance vitale pour la nation américaine. Cependant, John McCain aurait déclaré que cette attaque était un acte de guerre. De plus, le porte-parole de l’exécutif Josh Earnest a souligné que le gouvernement américain examinait « un ensemble d’options » qui devraient être « appropriées » et « proportionnelles ». Enfin, voici les paroles de Barack Obama cité par Le Figaro : «Nous ne pouvons pas avoir une société dans laquelle un dictateur quelque part peut commencer à imposer une censure ici aux États-Unis», a martelé le président. Il (Obama) a dit regretter que les dirigeants de Sony Pictures Entertainment n’aient pas discuté avec lui avant de céder aux pirates informatiques en annulant l’exploitation du film. «Oui, je pense qu’ils ont fait une erreur», a répondu Barack Obama.
La première victime de l’attaque passe donc au second rang, comme si son sort n’était pas vraiment important, ou qu’elle n’avait pas d’autre choix que de laisser l’État s’occuper de ses affaires. C’est un bien drôle de message passé dans le pays de la liberté d’entreprendre…

Les erreurs internes de l’entreprise sont cependant nombreuses :

  1. Des mots de passe étaient par exemple stockés dans un dossier « mot de passe » non chiffré, au mépris des règles de base de l’hygiène informatique lit-on sur le site du Point. Effarant ? Hélas courant, je le crains…
  2. Pour Sony, c’est le cauchemar. Tous ses plans stratégiques ont été volés, ainsi que les scénarios des films à venir (dont le prochain James Bond, par exemple), ou encore les fichiers en haute définition des films tournés mais pas encore sortis. Sony a-t-il entendu parler de la protection de l’information ? Sûrement pas, ou alors dans un moment de moindre concentration. Au fait, si un employé de Sony lit ce billet, il peut télécharger sur se même site, gratuitement, une aide à la classification de l’information.
  3. Parmi les pistes évoquées, figure celle de l’ancien employé. A-t-on supprimé ses droits et modifié les mots de passe qu’il connaissait dès son départ ?

Répercussions sur les clients

Les répercussions de cette attaque sur les clients de Sony sont passées sous silence, preuve s’il en fallait, que l’importance qui lui est accordée est faible. Plaçons-nous quelques instants dans le cas d’un artiste souhaitant travailler avec SPE, que devrait-il exiger ?

  1. la protection effective de ses données personnelles récoltées par Sony, puisque maintenant, cela devient un droit fondamental, du moins en Europe ;
  2. un usage modéré des courriels puisque ceux-ci sont publiés ou menacés de l’être ;
  3. des compensations dignes du préjudice estimé en cas de divulgation impromptue.

En fait, un artiste cherchant un contrat a-t-il intérêt à démarcher Sony s’il n’a pas encore contracté avec eux ? C’est loin d’être sûr…

Le général Alexander, ancien patron de la NSA et du US CyberCommand, a déclaré que l’attaque de l’entreprise pétrolière (15/08/2012) Saudi Aramco devait sonner le réveil des entreprises. Il semblerait qu’elles souffrent d’un déficit d’audition. Le billet de Daniel Ventre sur son site econflicts reste d’actualité.

Categories: Sécurité Étiquettes : , , ,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

forty nine − forty two =