Pourquoi la sécurité de l'informatique dématérialisée est un impératif pour les médias en 2024

par | 29 novembre 2023

Les entreprises du secteur des médias et du divertissement (M&E) et autres sont confrontées à une constellation de menaces de sécurité croissantes en 2024, allant des ransomwares et autres codes malveillants aux menaces persistantes avancées et aux stratagèmes d'ingénierie sociale ultra-avancés.

Mais cela ne signifie pas qu'il faille renoncer à l'informatique dématérialisée et à tous les avantages qu'elle offre en matière de sécurité. En effet, le rapatriement de votre patrimoine de données vers des systèmes sur site peut constituer une régression considérable en matière de sécurité des données.

Poursuivez votre lecture pour découvrir pourquoi et en savoir plus sur les meilleurs moyens de protéger vos données, quel que soit l'endroit où elles se trouvent.

Table des matières

Transfert sécurisé dans le nuage pour les médias

Protégez votre contenu grâce à des transferts de fichiers entièrement cryptés et vérifiés par TPN (MASV a reçu le statut Gold Shield).

Principales failles de sécurité en 2023

Les plus médiatisés vols de données cette année - quel que soit le secteur d'activité - peuvent être attribuées à des vulnérabilités de type "zero-day" dans les systèmes d'information de l'entreprise. transfert de fichiers auto-hébergé GoAnywhere, MOVEit et Aspera.

Dans les trois cas, des acteurs malveillants ont utilisé ces vulnérabilités pour obtenir un accès et exécuter à distance un code malveillant (généralement un ransomware) sur les serveurs des clients qui utilisent ces services. Ils ont menacé de rendre publiques des quantités d'informations volées si les rançons n'étaient pas payées.

Ces attaques ont touché de nombreux clients de transfert de fichiers et leurs clients ;

Le site Piratage de MOVEit a touché à elle seule plus de 2 600 organisations et 77 millions de personnes à ce jour. Et bien qu'elle ait eu lieu en mai, nous entendons encore des organisations découvrir qu'elles ont été touchées.

Et si certaines organisations se sont remises assez rapidement de ces incidents, d'autres ont mis plusieurs semaines à revenir à la normale.

Autre incidents de sécurité notables cette année :

  • Une violation de $100 millions de ransomware chez MGM Resorts qui a crypté plus de 100 hyperviseurs ESXi, un type d'hôte de machine virtuelle.
  • Une rançon de $15M payée par Caesars Entertainment suite au vol de la base de données de son programme de fidélité.
  • Une attaque par ransomware qui prétendait violer "tous les systèmes de Sony". Sony a été touché séparément par l'attaque MOVEit, en plus d'avoir été victime d'une autre violation majeure en 2011.
  • Vol de près de 100 Go de données d'employés de T-Mobile qui ont été publiées sur des forums de pirates informatiques (apparemment à la suite d'une violation de l'un des détaillants de l'entreprise). Il s'agit de la deuxième violation de données liée à T-Mobile en 2023.
  • Près de 40 To de données privées divulguées accidentellement par la division de recherche en IA de Microsoft.
  • Des pirates informatiques chinois parrainés par l'État écoutent les agences gouvernementales américaines grâce à une faille dans les services en nuage de Microsoft.
  • La violation d'un fournisseur tiers a compromis les données d'environ 9 millions de clients d'AT&T.
  • Une brèche dans le système de phishing par SMS chez Activision, qui s'est produite en décembre 2022 mais n'a été révélée qu'en février.

La liste ci-dessus n'est pas définitive ; plusieurs autres violations de données ont eu lieu en 2023.

Quelqu'un a divulgué la nouvelle de la existence de Shrek 5 au début de l'année, par exemple, bien qu'il semble que cette fois-ci, il s'agisse probablement d'un accident.

Les personnes sont souvent le maillon faible de tout dispositif de cybersécuritéaprès tout.

Attaques de sécurité les plus courantes et menaces croissantes

Les entreprises de médias sont confrontées à un paysage en constante évolution et à de multiples menaces. Voici quelques-unes des plus courantes.

Ransomware et autres logiciels malveillants

La plupart des experts en sécurité considèrent les rançongiciels comme la menace la plus sérieuse au cours des prochaines années.

Dans le cas de M&E, cela est dû au fait que de nombreuses organisations n'ont pas suffisamment investi dans la sécurité à distance depuis la mise en place du système de sécurité à distance. Migration de la FMH pendant la pandémie.

Par exemple, si le personnel utilise son appareil personnel pour accéder à distance à des machines situé dans un studio, et que cet appareil personnel est infecté par un ransomware, le code malveillant peut facilement se retrouver sur les serveurs du studio. Avant que le studio ne se rende compte de ce qui s'est passé, il peut se retrouver avec d'énormes sections de données infectées sur ces serveurs.

Une partie du risque provient de la manière dont les réseaux privés virtuels (VPN) sont utilisés par les studios pour le travail à distance et les transferts de fichiers, notamment en permettant un accès ouvert au réseau de destination. Si de nombreux studios utilisent des protocoles tels que PC over IP (PCoIP) avec les VPN, ils ne mettent pas toujours en œuvre une sécurité appropriée, comme la restriction des ports ou des sous-réseaux accessibles, ou l'utilisation d'un gestionnaire de connexion PCoIP approprié pour acheminer les sessions de bureau à distance.

Un VPN à tunnel complet sans précautions de sécurité adéquates peut entraîner l'acheminement d'un trafic malveillant via le réseau de destination et causer une mise sur liste noire et des dommages à l'IP publique ou au DNS d'une entreprise.

Menaces persistantes avancées (APT)

Les APT sont des attaques sophistiquées et durables au cours desquelles des intrus accèdent à un réseau et y restent, sans être détectés, pendant une longue période. Pendant cette période, les attaquants exfiltrent des données de manière soutenue tout en infectant les systèmes avec des codes malveillants.

Les attaquants peuvent également mettre en place des portes dérobées qui leur permettent d'accéder à nouveau au réseau si l'attaque initiale est détectée.

Les APT sont l'une des raisons pour lesquelles environnements de confiance zéro ont gagné en popularité. Les architectures à confiance zéro entravent les mouvements latéraux d'un attaquant au sein d'un réseau en demandant constamment aux utilisateurs de s'authentifier à chaque étape.

Alors que la GoAnywhereBien que les attaques de type APT, Aspera et MOVEit n'aient pas été officiellement classées comme telles, la durée de leur persistance - et le fait que les organisations découvrent encore qu'elles ont été touchées plusieurs mois plus tard - sont autant d'éléments qui caractérisent cette technique d'attaque.

Dans un communiqué, la société mère MOVEit Logiciel Progress a identifié l'auteur comme un "acteur de menace avancée et persistante" qui a "utilisé une attaque sophistiquée en plusieurs étapes".

Ingénierie sociale/hameçonnage

Pour qu'un ransomware ou un APT infecte un système, il doit d'abord y accéder - et c'est là que les techniques d'ingénierie sociale et d'hameçonnage entrent souvent en jeu.

Malheureusement, ces derniers sont devenus beaucoup plus sophistiquée avec l'avènement des grands modèles linguistiques et de l'IA générative.

Certains observateurs du secteur ont noté une Augmentation du nombre de tentatives d'hameçonnage contre les principales plateformes de diffusion en continu lors des récentes grèves des acteurs et scénaristes hollywoodiens. Aujourd'hui, les cybercriminels utilisent souvent des annuaires publics, tels que les pages d'entreprise de LinkedIn, pour identifier les employés et leurs supérieurs, puis tentent d'usurper l'identité de ces derniers pour obtenir des informations ou un accès.

Les mauvais acteurs testent également leurs victimes potentielles en leur demandant de répondre d'abord avant de faire quoi que ce soit d'autre. Cela les aide à trouver la cible la plus facile.

Remplissage de diplômes

Le bourrage d'identifiants ou de mots de passe est une autre technique d'attaque populaire dans l'industrie des médias. Les cybercriminels récupèrent des noms d'utilisateur et des mots de passe compromis dans des bases de données sur le dark web ou ailleurs, puis utilisent ces mots de passe pour accéder à d'autres sites ou services.

La puissance du "credential stuffing" est telle que votre équipe informatique peut verrouiller parfaitement votre site web ou votre service, sans vulnérabilité ni défaut, et les attaquants peuvent quand même entrer en employant des robots pour réutiliser des milliers de mots de passe récoltés.

  • Selon la société de cybersécurité Security Intelligence, les attaques de type "credential stuffing" ont augmenté de 45% d'une année sur l'autre entre 2021 et 2022.
  • Cela s'explique en partie par le fait que près de 70% des personnes réutilisent leurs mots de passe sur plusieurs sites web.

Un conseil de pro : Ne faites pas cela.

Parmi les autres types d'attaques courantes, citons les injections SQL, les chevaux de Troie d'accès à distance, les dénis de service distribués (DDoS), la force brute et l'enregistrement des frappes au clavier.

Faut-il dire non à la sécurité de l'informatique dématérialisée ?

La gravité des attaques de cette année est aggravée par la fréquence croissante des violations de données aux États-Unis en général, qui a fait un bond de 330% entre 2011 et 2022. Le rapport 2023 Cost of a Data Breach d'IBM indique que le coût moyen d'une violation en 2023 était de $4,45M (soit une augmentation de 15% par rapport à il y a trois ans).

De nombreuses entreprises se posent donc des questions : Quel est le degré de sécurité de l'informatique dématérialisée ? Cela a également contribué à stimuler la tendance des rapatriement des nuagesIl s'agit d'extraire des données du nuage pour les ramener dans l'infrastructure sur site.

Mais si le rapatriement de l'informatique dématérialisée est principalement motivé par des considérations de coût, de sécurité et de conformité, de nombreux experts considèrent que ce rapatriement constitue un énorme pas en arrière en ce qui concerne la cybersécurité.

Cela s'explique en grande partie par le fait que maintenir le même niveau de sécurité dans une installation sur site "peut représenter un défi considérable", affirme Marcin Zgola, fondateur de la société Nexthop, spécialisée dans l'informatique dématérialisée, dans le cadre de l'étude de faisabilité de la société. ForbesLes entreprises qui ne disposent pas de ressources suffisantes sont particulièrement concernées".

Voici quelques raisons pour lesquelles l'abandon de l'informatique dématérialisée représente un risque énorme pour la sécurité :

Les systèmes sur site donnent une illusion de sécurité

Comme l'ont montré les attaques GoAnywhere / Aspera / MOVEit, les systèmes sur site n'offrent souvent qu'une illusion de sécurité.

Il peut être réconfortant de savoir que votre infrastructure est stockée dans une salle de serveurs verrouillée au bout du couloir. Vous pouvez même vous y rendre et l'entourer de vos bras, si le cœur vous en dit. Mais cela ne signifie pas qu'elle est sécurisée.

En effet, l'installation d'applications logicielles externes dans un système sur site signifie que vous ajoutez automatiquement le code d'autres personnes - ainsi que leurs dépendances et leurs vulnérabilités - à votre infrastructure.

Non seulement cela réduit à néant les avantages potentiels d'un système auto-hébergé en termes de sécurité, mais cela signifie également que vous ne vous rendrez compte de la présence d'une vulnérabilité que bien trop tard :

  • À moins que vous ne construisiez vous-même tous les logiciels que vous utilisez, vous n'avez pas d'autre choix que de croire que les fournisseurs tiers et leurs dépendances ne vont pas ouvrir une porte dérobée sur vos locaux physiques.
  • Il n'y a pas grand-chose que vous puissiez faire pour vérifier les détails de la politique de sécurité d'un fournisseur tiers ; certains de vos logiciels peuvent utiliser des services compromis (comme GoAnywhere ou MOVE it) sans que vous le sachiez.
  • Les éditeurs de logiciels ne sont pas incités à dépenser des milliards de dollars pour protéger votre système sur site contre leurs vulnérabilités.
  • Cela signifie que lorsque vous achetez un logiciel, vous invitez automatiquement des vulnérabilités potentielles et des risques de tiers dans votre infrastructure physique.

Il est également pratiquement impossible de mettre en place une infrastructure de sécurité dont l'efficacité se rapproche de celle des grands nuages publics tels qu'AWS, qui sont régulièrement chargés de protéger des données ultrasensibles pour les gouvernements et les armées.

La plupart des organisations n'ont tout simplement pas les ressources ou le temps nécessaires pour cela. Mais c'est le pain et le beurre des plateformes de cloud public.

Et lorsqu'une attaque se produit dans une configuration sur site, vous et votre équipe informatique êtes seuls pour y remédier - et administrer un correctif (qui doit ensuite être mis en œuvre).

La sécurité de l'informatique dématérialisée est plus robuste et plus souple

Il y a des dizaines de raisons pour lesquelles la sécurité dans les nuages est plus solide que tout ce que vous pourriez construire vous-même.

Les fournisseurs d'informatique en nuage sont les leaders du secteur en matière de contrôles de sécurité. Compte tenu des risques d'une violation pour leur modèle commercial et leur réputation, ce sont les organisations les plus incitées à assurer la sécurité des données.

Les principaux services en nuage présentent plusieurs avantages en matière de sécurité par rapport aux installations sur site, notamment

  • Outils intégrés de gestion des identités et des accès (IAM), tels que l'authentification multifactorielle (MFA).
  • Des outils qui offrent une visibilité approfondie des menaces potentielles, tels que la surveillance, l'audit, les tests et l'enregistrement.
  • Outils automatisés de réponse aux incidents.
  • Automatisation des correctifs, des mises à jour du système et de la redondance pour assurer une haute disponibilité.
  • Plus de ressources et de temps pour assurer la sécurité physique des centres de données. La sécurité physique d'AWS, par exemple, comprend une sélection approfondie des sites, une équipe de sécurité professionnelle dotée d'outils de surveillance et de détection, et un accès des employés basé sur le principe du moindre privilège.
  • Automatisation pilotée par les événements pour la reprise après sinistre en cas de problème, et bande passante pour gérer les activités de reprise après sinistre (afin que votre équipe n'ait pas à le faire).
  • L'infrastructure en tant que code (IaC) est un avantage considérable pour la gestion de la sécurité et des coûts de l'informatique dématérialisée, car elle réduit l'erreur humaine et permet aux ingénieurs d'analyser et d'évaluer plus facilement le code pour détecter les erreurs de configuration dès le début du processus de développement.

Les fournisseurs de services en nuage disposent de plusieurs couches de récupération robustes. Version S3 permet aux entreprises de préserver, d'extraire et de restaurer toutes les versions de tous les objets stockés dans tous les répertoires de l'entreprise, ce qui facilite la récupération.

La plupart des nuages publics permettent également aux utilisateurs de stocker des données dans plusieurs régions, de sorte que vous êtes sûr d'avoir des copies des données dans plusieurs emplacements physiques en cas d'événement catastrophique.

7 façons pour les entreprises de protéger leurs données

Bien que les services en nuage ne soient pas parfaits, il est clair qu'ils disposent de plus de ressources pour la protection et la récupération des données. Toutefois, les entreprises peuvent mettre en place des pratiques exemplaires pour garantir la sécurité de leurs données dans toutes les situations.

1. Examens réguliers des comptes

L'examen systématique et régulier des comptes d'utilisateurs à la recherche d'activités suspectes est une nécessité pour toutes les organisations - en particulier si vous êtes client d'une organisation victime d'une violation, ou si vous pensez l'être.

Analyser tous les comptes d'utilisateurs pour y trouver des noms d'utilisateurs non reconnus, par qui ils ont été créés et quand ils l'ont été. Il est également prudent de vérifier régulièrement les journaux d'audit des administrateurs pour s'assurer que les acteurs de la menace ne se sont pas attribué de super identifiants, ce qui peut accroître la persistance et la gravité de l'attaque.

2. Compétence en matière d'informatique dématérialisée

Les fournisseurs de services en nuage peuvent aider à guider leurs utilisateurs, mais ils ne peuvent pas les empêcher de prendre de mauvaises décisions : Il suffit qu'un utilisateur négligent configure mal un espace de stockage dans le nuage pour que les risques de violation augmentent de façon exponentielle.

Un certain niveau de compétence en matière d'informatique dématérialisée est nécessaire pour fonctionner correctement et en toute sécurité sur l'informatique dématérialisée. Un manque de compétence en la matière peut exposer votre organisation à des dépassements de coûts massifs et à des problèmes de sécurité majeurs, mais de nombreuses organisations de M&E et autres ne disposent pas encore d'une masse critique de compétences en la matière.

De nombreux studios de M&E - qui sont à bien des égards de petites entreprises technologiques - sont dirigés par des créatifs non techniques. C'est une très bonne chose lorsqu'il s'agit de produire des produits de qualité, mais cela peut créer des risques en matière de cybersécurité technique.

3. Gestion des mots de passe et de l'accès à l'identité

Nous ne le répéterons jamais assez : N'incluez pas de mots de passe dans les plateformes de collaboration comme Slack. Si des cybercriminels infectent votre appareil personnel avec un logiciel malveillant, ils rechercheront très certainement dans vos messages des mentions de mots de passe ou d'autres informations sensibles.

Et si cet appareil est connecté à des systèmes internes ou en nuage... vous voyez le tableau.

Autres bonnes pratiques en matière de gestion des mots de passe :

  • Ne répétez pas les mots de passe d'une application à l'autre.
  • N'utilisez pas de mots de passe faciles à deviner.
  • Utilisez un outil de gestion des mots de passe afin que vous puissiez vous souvenir de tous ces mots de passe complexes.

Vous devez également mettre en œuvre les meilleures pratiques en matière de gestion des identités et des accès (IAM), notamment l'authentification multifactorielle (MFA) et les autorisations de moindre privilège.

L'AMF protège contre la prise de contrôle des comptes en vérifiant l'identité de l'utilisateur par diverses méthodes telles que les questions de sécurité, les jetons de SMS ou de courrier électronique, les jetons matériels ou la biométrie. Le principe du moindre privilège (PoLP) garantit que les utilisateurs n'ont accès qu'aux systèmes dont ils ont besoin pour faire leur travail, et rien de plus.

4. Gestion des appareils mobiles (MDM)

En ce qui concerne les appareils personnels, l'un des principaux facteurs d'attaque des ransomwares et autres logiciels malveillants est le laxisme des politiques relatives à l'utilisation d'appareils personnels (BYOD).

La mise en place d'un régime de gestion des appareils mobiles (MDM) est un bon moyen de se prémunir contre ce risque en verrouillant tous les appareils mobiles qui se connectent à des systèmes internes ou en nuage, en les tenant à jour et en veillant à ce que les appareils plus anciens (et moins sûrs) n'accèdent pas au réseau.

5. Instantanés de données

Il est impératif de prendre régulièrement des instantanés de vos données, ce qui revient plus ou moins à prendre une photo de votre système de fichiers (ce qui vous permet de revenir à ce moment précis si les données sont corrompues).

Certaines entreprises prennent des clichés de leurs données toutes les heures (ou même plus fréquemment), chacun de ces clichés horaires étant supprimé au bout de 24 heures pour libérer de l'espace. Cette méthode est combinée à un instantané nocturne qui est conservé pendant quelques semaines, voire quelques mois, à des fins de sauvegarde.

6. Outils logiciels

Les studios et autres entreprises peuvent utiliser des outils logiciels tels que RansomWhere ? ou d'autres logiciels anti-malware et anti-virus pour détecter les blobs cryptés qui se développent sur votre système. Des outils comme RansomWhere ? permettent aux utilisateurs de bloquer rapidement l'accès aux fichiers en cas de découverte d'un problème.

7. Disposer d'un plan DR

Si des acteurs de la menace parviennent à s'infiltrer dans votre système, ayez un un solide plan de reprise après sinistre en place pour déterminer l'origine et la gravité de l'attaque. Qui a été infecté en premier ? De quel type d'accès disposaient-ils ? Où travaillaient-ils - chez eux ou dans les locaux de l'entreprise ? Quand l'attaque a-t-elle eu lieu pour la première fois ?

Des réponses rapides à ces questions et à d'autres peuvent vous aider à déterminer rapidement les données auxquelles ils ont pu accéder et à limiter les dégâts.

Conclusion

La leçon à retenir est que les entreprises de M&E devraient toujours être un peu nerveuses, voire paranoïaques, en matière de sécurité. Mais pas à cause de l'informatique dématérialisée.

Comme les clients de GoAnywhere et de MOVEit l'ont découvert cette année, les installations sur site semblent sûres en raison de leur emplacement physique, mais elles sont en réalité extrêmement vulnérables aux ransomwares et autres attaques menées par des portes dérobées tierces à partir d'installations logicielles. Et une fois que votre système sur site est compromis, vous êtes seul pour gérer les correctifs, les mises à jour et la récupération.

La sécurité de l'informatique en nuage est, en moyenne, bien supérieure à celle de l'infrastructure sur site, car les fournisseurs d'informatique en nuage sont publics :

  • sont des leaders dans le domaine de la protection des centres de données et ont pour mission de protéger les données.
  • disposent de beaucoup plus de ressources à consacrer aux outils de sécurité les plus récents et aux meilleures pratiques.
  • sont beaucoup plus incités à assurer la sécurité de vos données que les logiciels tiers que vous utiliserez inévitablement dans le cadre d'un système sur site.

Les plateformes en nuage disposent également de beaucoup plus de ressources pour aider à la reprise après sinistre et à d'autres mesures d'atténuation en cas de problème.

MASV - qui est une entreprise d'informatique dématérialisée - garde les choses bien verrouillées grâce à notre système de gestion de l'information. un dispositif de sécurité à plusieurs niveaux et la suite d'outils et de fonctions de sécurité d'AWS. Parce que toutes les plateformes de transfert de fichiers ne tiennent pas compte des meilleures pratiques en matière de sécurité, nous avons créé une plateforme sécurisée dès la conception, facile à utiliser, conçue pour le travail à distance et offrant une sécurité de niveau professionnel en tant que fonctionnalité standard - et non pas comme un ajout.

Le dispositif de sécurité de niveau entreprise de MASV comprend les éléments suivants TLS 1.2 et cryptage AES-256des certifications (ISO 27001, SOC 2) et des audits de tierces parties réalisés par des organisations de premier plan telles que l'Organisation mondiale de la santé (OMS), l'Organisation mondiale de la santé (OMS) et l'Organisation mondiale de la santé (OMS). Réseau de partenaires de confiance (nous avons récemment obtenu le statut de Bouclier d'or).

MASV prend également en charge l'authentification multifactorielle (MFA) et l'authentification unique (SSO) basée sur SAML pour empêcher tout accès non autorisé à vos comptes et à vos données.

Essayez MASV dès aujourd'hui et bénéficiez de 20 Go gratuits - ou de 70 Go gratuits si vous souscrivez à un plan de paiement à l'utilisation - et découvrez en avant-première le transfert sécurisé de fichiers volumineux.

Sécurité du transfert de fichiers au niveau de l'entreprise

ASV combine la sécurité, la conformité et la haute performance dans un ensemble convivial.