Déjà piraté en février, Sony Pictures s'est encore fait prendre
Tout ce qu'il ne faut pas faire en matière de cyber-sécurité, Sony l'a fait et a même récidivé. Les consé-quences sont incalculables, en termes d'images, pour les dirigeants, et pour leurs projets.
Piraté au mois de février dernier, Sony a gardé le silence et n'a pas pris, en interne, les mesures suffi-santes pour faire face à une possible récidive. Celle-ci date de fin octobre. Les pirates font chanter l'entreprise. Ils ont eu accès à des projets secrets (comme le prochain James Bond) mais aussi aux courriels internes entre dirigeants. Il les divulgue et ce qui était une conversation privée devient un objet de risée à l'encontre de l'entreprise et de ses dirigeants. Avant même d'obtenir une rançon, leur objectif affiché, ces derniers ont ridiculisé les dirigeants de Sony.
Le patron de Sony Pictures Entertainment Pascal Amy et le producteur Scott Rudin ont échangé des emails moquant le président Obama, non pas d'une manière simple, mais sur le plan racial. Rendus publics, ces e-mails les ont obligés à présenter des excuses. D'autres courriels échangés entre les deux mêmes ont révélé ce qu'ils pensent vraiment de quelques célébrités. Angelina Jolie, est décrit comme un «enfant gâté de peu de talent.» D'autres ont évoqué les salaires, les situations médicales et même des noms que les célébrités utilisent comme alias pour protéger leur vie privée lors de la vérification dans les hôtels. Une source, citée par le New York Times explique que Pascal Amy est désormais « gril-lé ».
Failles humaines autant que techniques
Sony Pictures a également stocké des milliers de mots de passe dans un fichier nommé « Mot de passe », il y avait aussi des feuilles de calcul Excel, des documents Word, des PDF et des fichiers ZIP énumérant les noms d'utilisateur et les mots de passe sur des centaines de médias sociaux et divers comptes de services Web ainsi que les mots de passe pour les ordinateurs internes de l'entreprise. Un tiers non autorisé a donc pu télécharger des informations sensibes. Sony a pourtant décidé de garder le silence et de ne pas avertir les 759 personnes qui avaient de telles informations comme le nom, l'adresse et l'adresse e-mail pourtant compromises.
Sony Pictures a procédé a une évaluation informatique avec un rapport daté du 25 septembre dernier, qui a détaillé le protocole de sécurité passé pour faire face aux «incidents de sécurité», mais n'a pas dit, si la situation avait été améliorée.
En 2013, Sony avait chargé son équipe Global Security Incident Response (GSIRT) de superviser les responsabilités de base et la surveillance générale pour diverses filiales de la société, y compris Sony Pictures. Mais une autre équipe était chargée de suivre les serveurs de mots de passe. Cette mise en silo l'absence de résolution en temps opportun ont aggravé la situation au lieu de résoudre quoi que ce soit. Même s'il s'agit d'une filiale hollywoodienne de Sony, donc détentrice de secrets très people et très médiatisables, le cas Sony fera réfléchir les RSSI du monde entier.
