Protéger ses médias face aux risques. © Adobe Stock / pict rider
Avec la hausse du télétravail, de l’apprentissage à distance et la transformation numérique de nombreux secteurs, les échanges de tous ordres et la communication par l’image sont plus importants que jamais. Si la notion de sécurité a longtemps été une question de protection personnelle, notre usage plus collectif des médias (au sens large) en fait un défi majeur pour les institutions chargées de protéger leur patrimoine dans un monde toujours plus ouvert.
L’industrie audiovisuelle : mutation et nouveaux enjeux
Le contenu est partout et les offres se multiplient : VoD, SVoD, TVoD, AVoD. Le streaming est devenu la norme. Instantané, à la demande ou en direct mais surtout multi-écrans, ce mode de diffusion avait, dès le départ, tout pour plaire. Le numérique combiné aux progrès des réseaux ont marqué un réel bouleversement dans la manière de distribuer les programmes TV, cinéma et séries mais pas seulement. L’organisation de l’industrie tout entière s’est également vue métamorphosée. Moins de frontières, plus de partage, d’efficacité, de collaboration et des opportunités de diffusion inédites. Assurer la sécurité de ses contenus dans un tel contexte devient un réel challenge avec toujours plus de contributeurs et de partie-prenantes tout au long du cycle de vie du média.
Dans sa définition la plus simple, la sécurité désigne un état dans lequel une personne, physique ou morale, tangible ou non, est exposée à un minimum de danger. La sécurité concerne tout le monde, chaque partie prenante, chaque collaborateur, à tout niveau. Dans notre contexte, cela va de la société de production dans le cadre de l’élaboration de son programme, aux prestataires de postproduction, aux ayants droits et aux plates-formes de distribution qui hébergent ces contenus. En cas de faille, volontaire ou non, les conséquences peuvent être lourdes aussi bien en termes d’image, que financières ou juridiques.
La gestion de plusieurs plates-formes, catalogues, droits d’exploitation et cycles de promotion par pays et par langue sont autant de sources d’exposition à prendre en compte en matière de sécurisation. Des réseaux poreux, des équipements non adaptés et des pratiques non responsables sont autant de nuisibles pour le développement des activités désormais globales.
Risques : de quoi parle-t-on ?
L’industrie audiovisuelle n’est pas exempte de menaces. De la même manière le risque zéro n’existe pas, mais il est néanmoins possible de le minimiser. C’est d’ailleurs tout le principe. Les risques observés les plus récurrents par fréquence sont humains, cybercriminels, techniques ou naturels.
Parmi ces risques, la négligence humaine demeure en pole position. Elle provient de l’intérieur de l’organisation. On peut l’expliquer par les raisons suivantes : le manque de compétences, d’acculturation, la négligence ou le déficit de formation des collaborateurs aux processus de sécurité de l’entreprise. Ces erreurs, pour la plupart non volontaires, peuvent s’atténuer simplement par la sensibilisation des effectifs aux enjeux de sécurité (exemple : « Ne pas utiliser une clé USB trouvée dans le parking » ; « Ne pas ouvrir un mail personnel ou professionnel dont on ne connaît pas l’expéditeur »… ). La plupart de ces recommandations semblent faire bon sens mais leur formalisation peut permettre à un salarié d’avoir les bons gestes face à une menace parfois invisible.
Vient ensuite la cybercriminalité qui regroupe quant à elle des attaques provenant de l’extérieur dont l’objectif est de vous priver de l’accès à vos données, d’espionner vos innovations, de rendre inaccessibles vos services… Face à cela, il est essentiel de s’équiper des bons outils pour rendre difficile une attaque ou pour la détecter le plus tôt possible afin d’agir vite et limiter les dégâts le cas échéant.
L’infrastructure de l’entreprise en matière d’architecture de stockage et d’accès aux données joue également un rôle essentiel et particulièrement structurant. Il faut l’entretenir, la protéger. Les accidents auront plus de chance de survenir si les systèmes sont défaillants. Par exemple si les équipements installés sont non adaptés, obsolètes, de mauvaise qualité ou que le support associé est mal organisé.
Enfin, les catastrophes techniques ou naturelles (coupure d’électricité, panne de climatisation dans la salle des serveurs, inondation, incendie…) ne sont pas à négliger. Ici, anticiper ces scénarios vous permettra de réagir rapidement, réduire vos pertes et avoir un plan de continuité de services et de reprise d’activité à déclencher.
Comment anticiper, se prémunir et agir face aux incidents ?
L’étude et la prévoyance des risques sont en général portées par un Responsable de la Sécurité des Systèmes d’Information (RSSI) qui a la charge de la Politique de Sécurité des Systèmes d’Information (PSSI) d’une entreprise. On recommande généralement que ce responsable soit rattaché directement à la direction générale pour éviter tout conflit d’intérêts potentiel avec la direction technique ou informatique. Sa place au comité de direction prend tout son sens car son rôle touche directement à la stratégie de l’entreprise. Il est garant de la sécurisation de l’entreprise et met en œuvre un certain nombre d’actions pour assurer la sécurité des données.
En s’appuyant sur la roue de Deming, célèbre méthode de gestion de qualité, le RSSI organise généralement son travail en suivant quatre étapes afin d’établir une gouvernance numérique responsable : planifier, développer, contrôler et ajuster. Cette méthodologie est reconnue notamment par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), véritable référence en matière de sécurisation des systèmes d’information (SI).
• Planifier
Le RSSI cherchera dans un premier temps à identifier les risques et menaces potentiels sous sept thématiques pour établir une PSSI. Pour ce faire, il réalisera une cartographie, un exercice fastidieux mais réputé efficace et qu’il est recommandé de conduire chaque année.
L’audit vous permettra de passer en revue l’ensemble de vos opérations et de les analyser en profondeur : quels sont les outils utilisés, les supports et les métiers impliqués, comment sont-ils utilisés, comment chaque partie prenante communique-t-elle avec les autres ? Autant de questions simples mais qui mises bout à bout permettront de dresser une liste de risques et de failles qu’il conviendra de traiter.
Il arrive parfois que la PSSI soit imposée par le régulateur à certains secteurs d’activités.
• Développer
Cette deuxième étape consiste à mettre en place des actions concrètes pour répondre aux objectifs fixés par la politique de l’entreprise, exprimée dans l’étape précédente.
• Contrôler
Le RSSI pourra ensuite juger de la criticité de chaque thématique en multipliant trois critères : la détectabilité, la probabilité et la fréquence. Chacun d’eux porte un chiffre de un à quatre ; plus le chiffre est élevé, plus le risque est important.
• Ajuster
Une fois l’évaluation réalisée, le RSSI est en mesure d’identifier les failles les plus sensibles pour lui permettre de soumettre des décisions stratégiques à prendre par la direction générale et ainsi orienter l’entreprise vers une politique de sécurité idoine.
Finalement, cette méthodologie cyclique fera revenir le RSSI à la première étape de la roue de Deming évoquée plus haut. Elle s’adapte parfaitement à l’amélioration continue d’une organisation et tout particulièrement au secteur technologique, en perpétuel évolution.
Vous l’aurez compris, la sécurité dans le secteur des médias n’est pas à négliger si vous souhaitez vous prémunir d’attaques malveillantes et protéger votre patrimoine audiovisuel. Tous les jours, l’industrie des médias fait face à des attaques de toutes sortes car les contenus produits ont beaucoup de valeur. Par des expériences marquantes comme l’ont vécu TV5Monde avec l’arrêt brutal de sa diffusion ou le groupe M6 par une attaque informatique depuis ses boîtes mail qui a paralysé l’entreprise, il est fortement recommandé d’aborder le sujet de la sécurité au niveau stratégique car les conséquences peuvent être particulièrement désastreuses.
À PROPOS D’IVORY
Depuis 2001, Ivory accompagne les entreprises de l’industrie des médias en France et en Europe dans leur performance. Nos experts peuvent vous accompagner dans la définition de votre politique de sécurité des systèmes d’information via des méthodologies adaptées à votre organisation et avec une connaissance fine des métiers créatifs. Pour en savoir plus : www.ivory.fr
Article paru pour la première fois dans Mediakwest #43, p. 134-136. Auteurs : Julien Gachot et Éric Mignot, Ivory
