Comment protéger votre société de production cinématographique et télévisuelle. Conseils de sécurité.

Ce n'est un secret pour personne que les cyberattaques ont augmenté en fréquence et en gravité dans un large éventail de secteurs. L'étude très référencée d'IBM Coût d'une violation de données pour 2022 indique que plus de 80 % des entreprises souffriront à un moment ou à un autre d'un problème de sécurité. violation des données.

Le coût moyen d'une violation de données pour une entreprise américaine, selon ce même rapport ? $9.44 millions.

Et l'industrie des médias ne fait pas exception. Tout d'abord, il y a eu le piratage de Sony Pictures en 2014. Puis Netflix et HBO ont été touchés en 2017. Cox Media Group, qui travaille avec les principaux diffuseurs américains tels que NBC et CBS, et le développeur de jeux vidéo CD Projekt Red ont subi des attaques de ransomware l'année dernière.

Toute organisation hébergeant des préversions et d'autres contenus de valeur est une cible potentielle de violations de données, d'exfiltration de données, de ransomware et d'autres cyberattaques. Et le coût pour la réputation d'une société de production en cas de violation peut être dévastateur.

Sur ce, voici quelques conseils et directives de sécurité pour les productions cinématographiques et télévisuelles à considérer pour votre prochaine production.

Sécurité physique de la production

La sécurité des productions cinématographiques doit inclure des éléments de sécurité physique communs dans d'autres installations abritant une propriété intellectuelle (PI) de valeur. Il s'agit généralement d'une installation sécurisée nécessitant des porte-clés ou des badges pour l'accès, des caméras de vidéosurveillance et des règles strictes concernant l'introduction de matériel externe ou d'appareils mobiles à l'intérieur.

Selon le CDSALes éléments spécifiques de la sécurité physique de la production comprennent

1. Sécuriser les périmètres

Votre périmètre de sécurité doit comporter plusieurs niveaux de protection, notamment des caméras de télévision en circuit fermé (CCTV), un contrôle d'accès automatisé et des porte-clés/badges, ainsi que des procédures bien définies pour les visiteurs.

Les agents de sécurité peuvent être utiles en fonction du niveau de risque, mais ils doivent répondre aux exigences de sécurité des tiers. Un système de détection des intrusions dans le périmètre (PIDS) peut détecter les violations du périmètre.

2. Des rôles et des responsabilités bien définis

Si tous les employés doivent comprendre les procédures de sécurité applicables à leur poste grâce à une formation de sensibilisation à la sécurité, les installations de production doivent désigner une équipe de confiance possédant les compétences et les connaissances nécessaires à la sécurité globale du contenu.

Chaque service devrait également avoir une personne responsable de la politique et des procédures de sécurité. Documentez leurs rôles et responsabilités (et ceux des autres).

3. Faites confiance, mais vérifiez (vos employés et contractants)

Effectuez des vérifications des antécédents de tous les employés et des contractants tiers, y compris la preuve d'identité, les références professionnelles et personnelles, et les vérifications des qualifications professionnelles.

Les entreprises tierces doivent fournir des garanties contractuelles concernant leur niveau de formation et leurs politiques de sécurité. Veillez à mettre en évidence les exigences de sécurité dans les contrats des employés et des tiers.

4. Sécuriser les zones internes

Toutes les zones internes ayant accès à l'environnement de production et au stockage IP doivent être protégées physiquement en surveillant et en limitant l'accès. Tous les actifs du bureau de production, tels que les scripts, les lecteurs et les cartes de caméra, doivent être stockés en toute sécurité et, idéalement, surveillés par vidéosurveillance.

Conservez des journaux d'accès détaillés indiquant qui a accédé à quel média et à quel moment.

5. Dispositifs sécurisés

Tous les appareils personnels et mobiles (des téléphones mobiles aux ordinateurs portables) doivent être protégés par des mots de passe forts et un logiciel de suivi à distance, et verrouillés dans une chambre forte, un coffre-fort ou un classeur.

Gestion des actifs Sécurité de la production (qui a accès à quoi et quand)

L'association Content Delivery & Security Association (CDSA) énumère des lignes directrices relatives à la sécurité des productions cinématographiques et télévisuelles qui s'appuient sur les lignes directrices susmentionnées relatives à la sécurité des productions cinématographiques. Il s'agit notamment de

1. Systèmes de gestion des actifs

Les installations de production doivent mettre en œuvre un processus transparent de gestion des actifs qui comprend une chaîne de conservation du contenu vérifiable, ainsi qu'un registre pour documenter la création/l'enregistrement, la localisation, les mouvements et la destruction des médias.

Toute destruction de contenu et tout recyclage d'actifs doivent être documentés, y compris un certificat de destruction s'ils sont effectués par un tiers, et doivent suivre les meilleures pratiques des normes d'assainissement des médias du National Institute of Standards and Technology (NIST) (SP 800-88).

2. Les accords de non-divulgation (NDA)

Tout le personnel de production et les contractants doivent signer des accords de non-divulgation et des accords supplémentaires (si nécessaire) pour ne pas partager des informations internes et confidentielles avec d'autres. Les accords de confidentialité doivent préciser les conséquences du partage non autorisé d'informations confidentielles.

Les accords de confidentialité peuvent être présentés au personnel et aux contractants potentiels lors de la vérification de leurs antécédents et peuvent être intégrés directement dans les contrats de travail.

3. Accès aux médias

Tout accès à des coffres-forts, des chambres fortes, des armoires et d'autres zones de stockage contenant des informations sensibles (notamment serveurs sur site ou le stockage en nuage) ou les équipements doivent être limités au personnel autorisé uniquement. Le personnel autorisé doit disposer de codes d'accès individuels.

Les codes doivent être modifiés au fur et à mesure que les personnes évoluent dans le projet ou l'organisation.

4. Supports d'expédition

L'envoi de médias sur un disque dur peut être risqué ; il est conseillé aux propriétaires de contenu envoyer des fichiers volumineux en utilisant des solutions de transfert de fichiers volumineux sécurisées et basées sur le cloud. Mais si les médias sont physiquement expédiéDans le cadre de l'application de la loi sur la protection de la vie privée, tous les contenus des quotidiens sont stockés sur des disques cryptés et protégés par un mot de passe, dans des coffrets verrouillés et des emballages inviolables.

N'indiquez pas les informations ou les titres du projet sur l'étiquette, et les coursiers ne doivent pas pouvoir accéder aux supports.

Les coursiers doivent disposer d'une assurance appropriée et de lieux de prise en charge et de dépose bien définis et surveillés.

Sécurité de la production de données virtuelles (transfert de fichiers, cryptage, stockage dans les nuages, etc.)

Bien que ces mesures de sécurité physique soient essentielles, la réalité des flux de travail multimédia basés sur le cloud signifie que La sécurité à distance est désormais aussi importante que la sécurité physique. de votre installation.

Mais il peut s'avérer difficile de maintenir la même étanchéité que celle obtenue par les installations sécurisées, en particulier lorsque l'on travaille avec des employés, des partenaires ou des clients distants répartis dans le monde entier et utilisant diverses applications et réseaux Wi-Fi.

De nouvelles approches, dont beaucoup étaient déjà en cours d'élaboration avant la révolution du travail à distance dans l'industrie cinématographique, sont désormais nécessaires pour sécuriser les flux de production.

MovieLabsDans le cadre de son initiative "Vision 2030", l'association à but non lucratif fondée par de grands studios tels que Disney, Paramount et Warner Bros. a défini six principes de sécurité fondamentaux pour la production vidéo moderne, dont le concept de sécurité dès la conception.

Les organisations peuvent prendre des mesures concrètes pour se conformer à ces bonnes pratiques de sécurité et à d'autres :

1. Sécuriser les points d'extrémité et de connexion distants

Il est important de verrouiller tous les points d'accès à distance à votre système, même ceux dont vous n'êtes pas (encore) conscient. En tant que monteur de films Jonny Elwyn dit,

"Il est inutile de verrouiller trois fois toutes vos portes si vous laissez la fenêtre ouverte."

Cela signifie qu'il faut s'assurer de la sécurité du réseau Wi-Fi de chaque partenaire ou collaborateur et utiliser des applications sécurisées avec cryptage, comme la technologie PC over IP (PCoIP) de Teradici pour la sécurité postes de travail virtuels. Les organisations peuvent également utiliser des réseaux privés virtuels (VPN) pour établir une connexion sécurisée, même s'il convient de noter que les VPN présentent plusieurs inconvénients bien documentés. failles de sécurité.

Sécuriser vos connexions à distance signifie également veiller à ce que les employés et les collaborateurs soient toujours sensibles à ce qu'ils partagent sur les applications de collaboration à distance telles que Slack ou Google Meet.

Tout fichier transféré par des méthodes basées sur l'IP doit utiliser une solution de partage de fichiers sécurisée.

Le matériel à distance doit lui aussi être sécurisé, surtout à l'ère du BYOD (bring-your-own-device) et de la prolifération des appareils personnels utilisés pour le travail à distance. Vous pouvez atténuer ce risque par une formation à la sécurité et en veillant à ce que vos collaborateurs disposent d'un logiciel de protection des points d'extrémité à jour, ou en utilisant une infrastructure de bureau virtuel sécurisée.

2. Mettre en œuvre un cadre de sécurité "zéro confiance

Les cadres de sécurité à confiance zéro évitent les modèles de sécurité informatique traditionnels basés sur le périmètre, qui accordent par défaut leur confiance à chaque utilisateur une fois qu'il a pénétré dans le périmètre. Cette approche permet aux utilisateurs d'accéder uniquement aux ressources, applications ou données dont ils ont besoin, et rien de plus.

Cela signifie que même s'ils pénètrent la première ligne de défense d'un système, les attaquants n'ont pas la liberté de se déplacer et sont constamment mis au défi - même lorsqu'ils sont à l'intérieur de votre système - s'ils tentent d'accéder à des ressources supplémentaires.

Les architectures de confiance zéro comprennent généralement une surveillance automatisée du réseau pour des alertes de sécurité en temps réel. Elles comportent également une authentification multifactorielle (MFA) et d'autres contrôles d'identification et de gestion des accès, tels que l'authentification des appareils et la vérification constante de tous les sujets d'accès (qu'il s'agisse d'une personne, d'un appareil ou d'une application).

3. Filigrane, cryptage et suivi de vos médias

Le filigrane visible et invisible de chaque support n'est pas un concept de sécurité nouveau, loin s'en faut, mais il reste précieux.

Filigrane ou l'empreinte digitale des fichiers peut s'avérer inestimable si quelqu'un vole ou divulgue vos médias ou si vous devez effectuer une analyse médico-légale.

Vous devez également suivre le déplacement de chaque support dans vos systèmes et ceux des autres, grâce à un logiciel de chaîne de possession, qui permet de suivre l'emplacement d'un élément, tous les autres endroits où il a résidé depuis sa création/collecte, et toutes les modifications qui lui ont été apportées en cours de route.

Sans une solide chaîne de contrôle, il est beaucoup plus difficile de comprendre ce qui s'est passé si vos biens sont égarés ou si des personnes non autorisées y ont accès.

Enfin, assurez-vous que vous cryptez vos médias en vol et au reposde préférence avec un cryptage fort tel que la norme de cryptage avancée (AES) 256 ou la sécurité de la couche de transport (TLS).

4. Organiser une formation régulière et continue à la sensibilisation à la sécurité

Tous les experts en sécurité informatique vous diront que les personnes sont généralement le maillon le plus faible de la chaîne de sécurité informatique. Même si nous aimons tous penser que ce n'est pas le cas, les gens sont généralement sensibles aux attaques de type ingénierie sociale telles que le phishing, le spear phishing, l'appât et le scareware.

C'est pourquoi une formation régulière de sensibilisation à la sécurité visant à garder à l'esprit les meilleures pratiques et à informer les utilisateurs des menaces émergentes est indispensable pour toute organisation. Mais il ne suffit souvent pas d'organiser une session d'une heure chaque année. Essayez de choisir une solution de sensibilisation à la sécurité qui inclut des formations et des tests réguliers pour les collaborateurs tout au long de l'année.

5. Effectuer des évaluations régulières et continues des menaces

Les évaluations des menaces (EM) sont une pratique séculaire de la sécurité informatique qui n'est jamais passée de mode. En effet, l'évaluation des menaces permet d'identifier les lacunes de votre dispositif de sécurité actuel avant que les mauvais acteurs ne le fassent.

L'exécution régulière et continue d'évaluations techniques et d'analyses de vulnérabilité permet de s'assurer de l'efficacité de vos mesures actuelles tout en vous aidant à faire des choix plus éclairés en matière de sécurité, de dépenses et de performances.

Ceux qui travaillent dans le secteur des médias et du divertissement peuvent obtenir un TA d'une tierce partie par le biais de la Motion Picture Association's Réseau de partenaires de confiance (TPN) - La MASV a effectué cette démarche l'année dernière et a reçu le statut de bouclier d'or, qui évalue votre système pour s'assurer qu'il est à jour en ce qui concerne les meilleures pratiques et les exigences en matière de cybersécurité.

Considérations de sécurité pour les différents stades de la production (pré, principal et post)

Maintenant que vous avez une meilleure idée des différentes formes de sécurité de la production cinématographique, voici un bref aperçu de la manière dont elle s'applique aux différentes étapes de la production :

Pré-production

• Évaluez les risques liés aux lieux de tournage. Par exemple, tournez-vous dans un grand espace public ? Des passants peuvent-ils enregistrer votre production ?
• Vérifier les antécédents du personnel ; trouver des fournisseurs ayant mis en place des mesures de sécurité appropriées et/ou des certifications.
• Utilisez des outils en nuage sécurisés et cryptés pour partager/examiner les ressources (storyboards, séquences de prévisualisation, etc.).
• Gérez les autorisations et le suivi des ressources fréquemment partagées comme les scripts ; intégrez des filigranes pour créer une chaîne de contrôle.

Production

• Engagez des agents de sécurité pour diriger le flux de circulation entre les personnes sur le plateau ; installez des caméras de surveillance et des badges pour contrôler l'activité.
• Définissez des rôles et des responsabilités spécifiques pour chaque membre du personnel ; ne donnez l'accès aux biens/locaux clés qu'à ceux qui en ont besoin.
• Exigez que toutes les personnes présentes sur le plateau de tournage suivent une formation à la sécurité afin de réduire la probabilité de risque.
• Mettez en place un réseau Wi-Fi fermé et créez des espaces verrouillés pour que le personnel puisse sécuriser ses appareils.
• Ne laissez pas le matériel de production sans surveillance, comme le stockage RAID sur site, les cartes de caméra, Installations DITet des moniteurs de lecture.
• Si médias d'expédition à partir du site, assurez-vous qu'il s'agit d'une société de transport réputée, souscrivez une assurance perte/dommages et conservez un registre détaillé des informations relatives à l'expédition (connaissement, lieu de dépôt, date de livraison, etc.).
• Utilisez une solution de transfert de fichiers sécurisée et cryptée lorsque vous partagez des fichiers (avec les équipes de postproduction, pour examen et approbation, etc.)
• Utilisez une solution de transfert de fichiers capable d'envoyer des fichiers volumineux pour éviter le fractionnement des fichiers (réduire le nombre de fichiers qui circulent).

Post-Production

• Assurez-vous que tous les membres du personnel ont suivi une formation à la sécurité.
• Tenez un registre du nombre de personnes faisant partie du personnel et de leurs appareils ; désignez une salle/un appareil spécifique à utiliser pour un projet précis (par exemple, une salle unique pour l'étalonnage, avec un accès limité à la salle).
• Accès sécurisé aux installations de postproduction et aux zones clés (par exemple, la salle des serveurs, etc.).
• Si les employés sont à distance, tenez compte de leur situation en matière de sécurité physique (combien de personnes partagent leur espace, les appareils sont-ils protégés par un mot de passe, etc.)
• Établissez des règles sur ce qui peut et ne peut pas être discuté lors de réunions virtuelles.
• Limitez l'utilisation de logiciels à distance comme un VPN ou des bureaux virtuels.
• Recherchez des outils de cloud computing avec des certifications de sécurité comme ISO 27001.. Recherchez des outils bénéficiant d'accréditations dans des secteurs de niche, comme l'évaluation du Trusted Partner Network pour les médias et le divertissement.
• Utilisez une solution de transfert de fichiers sécurisée - cryptage en vol et au repos - lorsque vous partagez des fichiers.
• Utilisez une solution de transfert de fichiers qui comporte des contrôles de sécurité tels que des autorisations d'utilisateur, des limites de téléchargement de fichiers et des dates d'expiration de fichiers.
• Utilisez une solution de transfert de fichiers capable d'envoyer des fichiers volumineux pour éviter le fractionnement des fichiers (réduire le nombre de fichiers qui circulent).
• Si vous expédiez des médias, assurez-vous qu'il s'agit d'une entreprise réputée, souscrivez une assurance et conservez un registre détaillé des informations relatives à l'expédition (connaissement, lieu de dépôt, date de livraison, etc.).

Que faire si quelque chose ne va pas ?

Même les organisations qui prennent toutes les précautions de sécurité possibles doivent reconnaître que l'impensable - une violation des données - n'est qu'à une erreur près. Les organisations doivent mettre en place des plans de lutte contre les atteintes à la sécurité afin de limiter les dégâts de toute perturbation, y compris les éléments suivants :

• Rapports d'incidents: Examinez tous les incidents pour identifier les faiblesses potentielles du périmètre ou des procédures et mettez à jour les mesures de sécurité et la formation en fonction de ce qui s'est passé. Examinez les spécificités de la violation (y compris les Cinq W) pour déterminer ce qui doit être corrigé.
• Revue de presse: Des examens réguliers des journaux d'accès autour des zones restreintes ou du stockage peuvent aider à identifier un comportement anormal lorsqu'il se produit. Les examens des journaux sont indispensables en cas de violation, mais des examens réguliers et continus peuvent également réduire les dommages en détectant les incidents plus tôt.
• Rapport anonyme: Le personnel et les contractants doivent avoir accès à un véhicule (numéro de téléphone, courriel, etc.) permettant de signaler de manière anonyme d'éventuelles violations de la sécurité.
• Réponse aux incidents: Suivez une procédure bien chorégraphiée si les actifs sont compromis, notamment en alertant les parties prenantes appropriées et les forces de l'ordre (si nécessaire).
• Assurance: Espérer le meilleur et prévoir le pire, comme le dit le dicton. Souscrivez une bonne assurance de production (dont vous aurez peut-être besoin pour obtenir des contrats avec certains studios), au cas où.

Comment le MASV aide à sécuriser la production de films (la partie transfert de fichiers, en tout cas)

Alors que MASV ne peut pas sécuriser l'ensemble de votre flux de production, il est une star absolue pour garder vos transferts de fichiers bien verrouillés.

En effet, MASV est un service de transfert de fichiers volumineux de qualité professionnelle, certifié ISO 27001 et vérifié par le TPN, conçu pour les entreprises suivantes post-production et autres professionnels de la vidéo.

En effet, MASV est un service de transfert de fichiers volumineux de qualité professionnelle, certifié ISO 27001 et vérifié par le TPN, conçu pour les entreprises suivantes post-production et autres professionnels de la vidéo.

La posture de cybersécurité étendue de MASV comprend :

• Cryptage en vol et à l'arrêt de tous les médias par TLS 1.2 et AES-256.
• Recherche automatique de logiciels malveillants et de virus pour chaque téléchargement de média.
• Protection par mot de passe des téléchargements en amont et en aval.
• Authentification multifactorielle (AMF)qui offre une meilleure protection en demandant des informations d'identification supplémentaires (pas seulement un nom d'utilisateur et un mot de passe). Pour une sécurité et une commodité encore plus grandes, vous pouvez combiner l'AMF avec l'authentification unique (SSO) basée sur SAML.
• Team alerte chaque fois qu'un administrateur interne tente de se connecter au système MASV. Toutes les tentatives de connexion d'un administrateur nécessitent une MFA, des clés cryptographiques ou une authentification basée sur des jetons afin de maintenir un contrôle d'accès adéquat.
• Analyse régulière et continue de la vulnérabilité et évaluation des menaces.
• Suivi précis de la livraison des fichiers pour les exigences de la chaîne de possession.
• Des contrôles d'accès stricts comme la fixation de limites de téléchargement et de dates d'expiration des fichiers.

Étant donné que MASV est basé sur la plateforme de nuage AWS, il s'appuie également sur les éléments suivants Les protocoles de sécurité d'AWS basés sur le cloud et sur site..

Prêt à commencer ? Inscrivez-vous dès aujourd'hui et transférer en utilisant MASV. Nous vous offrons gratuitement 20 Go pour vous permettre de démarrer.