L’accident industriel dont vient d’être victime Sony et les 100 millions d’utilisateurs de ses services en ligne est d’une ampleur rare. Il fait peser un risque sans précédent sur le groupe.
L’impressionnant double piratage dont viennent d’être victimes les services en ligne de Sony n’est pas une histoire de cybercriminalité comme les autres. Celle-là rassemble de nombreux ingrédients pour faire date. Pour Yann Piederrier, responsable de l’offre conformité de Provadis, cela ne fait pas de doute : « c’est un cas très intéressant; il réunit beaucoup d’éléments susceptibles d’en faire un cas d’école. » De fait, il y a d’abord l’ampleur : près de 100 millions de comptes utilisateurs de services en ligne compromis. Avec, à la clé, un risque pour plusieurs milliers de cartes bancaires. Et tout cela aura un coût : « il va d’abord y avoir les coûts liés aux investigations. Celui des enquêteurs internes, qui se chiffrera probablement en plusieurs centaines de milliers de dollars. » A cela, il devrait falloir ajouter celui des investigations que ne manqueront pas conduire, de leur côté, les Visa, MasterCard ou encore American Express : « ils les feront payer à Sony », estime Yann Piederrier. Mais la cascade ne s’arrêtera pas là : «les conditions contractuelles définissent les modalités de résolution pour les frais d’opposition, les frais de réémission des cartes. Mais une bonne partie de ces frais risque d’être imputée à Sony.» Et ce pourrait être pareil pour le coût de la fraude éventuelle : « là, le risque est celui d’une fraude exceptionnelle; la part que Sony pourrait devoir supporter risque d’attendre 60 voire 80 %. »
Les banques elles-mêmes, celles des utilisateurs finaux, pourraient-elles en plus se retourner contre le groupe japonais ? «Pour les banques françaises, je ne sais pas. Mais pour les banques américaines, c’est probable; on a des précédents. Elles sont susceptibles d’attaquer en responsabilité civile pour recouvrir au-delà de ce qui est prévu contractuellement », estime Yann Piederrier. Un scénario catastrophe ? Cela n’en est que le début. «Il faut aussi compter avec les procès que peuvent engager les consommateurs. Une première action groupée vient d’être lancée aux Etats-Unis.» Quoi d’autre ? «La mise en oeuvre dans l’urgence de nouvelles mesures de sécurité. Ce qui sera forcément plus cher que dans le cadre d’un projet normal.» Et si Sony survit à tout cela ? «Il sera particulièrement surveillé et devra subir un nombre accru d’audits dans le cadre de la réglementation PCI/DSS [relative au traitement des cartes de paiement électroniques, NDLR]. » Surtout, et c’est « impossible à quantifier », il y aura le déficit d’image.
Un monde de l’assurance peu préparé
Face aux multiples coûts auxquels il devra faire face, et dont certains, pour l’heure, impossibles à estimer, le groupe japonais pourra-t-il compter sur l’aide des assurances ? Pour Patrick Pouillot, responsable de la couverture du risque informatique en Europe pour ACE, «il est probable que les assureurs ne puissent pas totalement assumer ». Se pose d’ailleurs la simple question de savoir jusqu’où Sony est couvert pour un risque pareil : «on s’assure pour quelque chose que l’on redoute, pour des scénarios de risque bien cartographiés.» Bref, des risques que l’on considère comme plausibles à un instant T et parfois en décalage complet avec «la réalité de l’occurrence ». Et ce n’est pas juste le problème d’un client, c’est aussi celui du marché : «imaginez un assureur qui aurait demandé que l’on créé une offre pour assurer quelque chose comme le 11 septembre 2001 six mois avant qu’il ne se produise. Personne ne l’aurait pris au sérieux.» Et là, dans le cas de Sony… «je ne pense pas que la raison ait permis d’imaginer que 77 millions de clients soient concernés par une intrusion et un vol d’informations personnelles. »
Et s’il peut faire école, le cas de Sony risque aussi d’être révélateur de lacunes du marché : « je ne crois pas que le marché de l’assurance ait encore pris conscience de la portée du risque avec les effets multiplicateurs d’Internet […] l’intensité du risque croît beaucoup plus vite que notre capacité à gérer le risque. » Et pourtant, il y a eu un précédent, le cas TGX en Amérique du Nord : «le retour d’expérience, pour les assurances, a été très relatif.» Mais il y a tout simplement un frein psychologique fort : «le risque immatériel, c’est un risque l’on ne peut pas voir, pas toucher. »
Alors pour Patrick Pouillot, oui, il y a bien déséquilibre sur le plan capitaliste entre exposition des entreprises à la corruption de leurs données et assurance contre le risque. Dans le cas de Sony, les chiffres ont de quoi affoler : une simple multiplication du nombre de comptes affectés par 10 ou 100 conduit déjà à des milliards de dollars de préjudice. «On est dans un scénario complètement atypique et totalement exorbitant de ce qu’un assureur peut supporter. On ne peut pas se contenter d’un calcul simpliste. Quantifier est très compliqué. L’assurance jouera son rôle mais seulement à hauteur des risques préalablement identifiés par l’assuré.» Le secret dort donc dans les contrats d’assurance conclus par Sony. Mais il faudra aussi compter avec le déficit d’image : « le coût induit par l’atteinte à l’image est probablement déjà énorme. »
Un cas qui éveillera les consciences ?
Pour Patrick Pouillot, toutefois, il est difficile d’imaginer que Sony «soit une porte ouverte dans un environnement dangereux ». Et encore plus qu’il n’ait pas « déployé des mesures de sécurité tout à fait respectable ». Une analyse qui entre en résonance avec celle de Yann Piederrier de Provadis qui relève que la compromission « du Sony Online Entertainment est survenue avant celle du PlayStation Network : cela montre que chercher les failles a une utilité, qu’on ne peut pas se contenter d’essayer de les prévenir. » Plus loin, si les intermédiaires comme Paypal ou les banques «ont une démarche de sécurité très en avance», ce n’est pas forcément le cas des commerçants en ligne. Et, pour eux, l’accident Sony pourrait avoir valeur d’exemple pédagogique : «cela va contribuer à aller dans le sens d’un renforcement de la sécurité autour des données personnelles et particulièrement des données cartes », estime le responsable de l’offre conformité de Provadis.
Mais peut-être pas uniquement là. Alors qu’un projet de loi vise, en France, à transposer une directive européenne imposant la transparence sur les fuites de données personnelles ainsi qu’une obligation de résultat pour les entreprises les gérants – au lieu d’une simple obligation de moyens -, le cas Sony pourrait avoir un impact : «les consommateurs européens se sentiront lésés s’ils ne bénéficient pas du même niveau de transparence, de sécurité et de responsabilité des acteurs que les consommateurs américains.»
Egalement sur LeMagIT :
Paul Maritz, VMware, aux DSI français : « faites votre Cloud »
Sécurité : le Cloud prêt à décrocher son contrat de confiance