Analyses Out-Law 11 min. de lecture
17 Jan 2024, 4:22 pm
Le secteur des jeux vidéo n’est pas épargné par la cybercriminalité, bien au contraire. De juillet 2022 à juillet 2023, l’entreprise de cybersécurité Kaspersky a recensé une nette augmentation des attaques informatiques dans le secteur. Rançongiciel et vol du code source à l’encontre de Riot Games, attaque par déni de service distribué à l’encontre de Blizzard ciblant Diablo IV, exfiltration et remise en vente sur le darknet des données de Sony, campagnes d’hameçonnage à l’encontre de jeux tels que Minecraft, Roblox, Fortnite et Apex Legends, les exemples de cyberattaques visant le secteur du jeu vidéo ne manquent pas en 2023.
Joueurs, studios de création et de développement, éditeurs, distributeurs, tous les acteurs du secteur des jeux vidéo sont, sans exception, des cibles potentielles de cyberattaques.
La menace cyber et plus spécifiquement celle liée aux rançongiciels ne vise pas que les grandes entreprises. En 2022, 40% des rançongiciels traitées ou rapportées à l’Agence nationale de la sécurité des systèmes d'information (ANSSI) concernent les petites et moyennes entreprises.
L’essor économique du secteur ne fait qu’accroître la vulnérabilité de ce secteur au risque cyber.
La prévention des cyberattaques s’avère ainsi essentielle. La prévention concerne aussi bien les actions destinées à éviter autant que possible l’apparition d’une cyberattaque que les mesures destinées à savoir comment réagir lorsque les entreprises se trouvent confrontées à une cyberattaque.
Les attaques à but lucratif, et notamment les demandes de rançons, représentent aujourd’hui la principale cybermenace pour le secteur des jeux vidéo. Les principales techniques utilisées par les pirates lors de cyber attaques reposent sur l’hameçonnage (phishing), les attaques en déni de service distribué (distributed denial-of-service ou DDoS), le minage frauduleux de crypto-monnaie (crypto jacking), et sur les logiciels malveillants (malwares) incluant les rançongiciels (ransomwares).
La technicité et la professionnalisation de la cybercriminalité a conduit à la création de plusieurs services d’enquête spécialisés dont certains existent depuis longtemps déjà, par exemple :
D’un point de vue juridique, ces cyberattaques peuvent généralement recevoir une qualification pénale telle que, selon le cas d’espèce, l’atteinte aux systèmes de traitement automatisé de données, la collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite, l’extorsion, le chantage, l’escroquerie, l’atteinte au secret des correspondances, et/ou l’usurpation d’identité par voie de télécommunication.
Mais les recherches conduites par la victime de la cyberattaque ne lui permettent généralement pas d’identifier l’auteur des faits délictueux, ni le lieu depuis lequel sont commises ces infractions pénales. Sauf situation exceptionnelle, la réparation du préjudice par l’auteur de la cyberattaque à la victime n’est de fait pas possible, alors que les préjudices subis par la victime sont tout à fait considérables.
Pour les joueurs, ces cyberattaques peuvent engendrer la perte de leur argent, de leurs données personnelles, et de leur progression dans le jeu.
Pour les studios, éditeurs et distributeurs, ces cyberattaques sont susceptibles de compromettre voire de paralyser leur activité, de porter atteinte à leur image et de susciter une perte de confiance de la part de leurs partenaires commerciaux ou de leurs joueurs. Les coûts économiques d’une cyberattaque sont particulièrement élevés. Il convient de mentionner parmi ces coûts :
Une cyberattaque peut avoir des conséquences préjudiciables sur l’ensemble de la chaîne de production (diminution de commandes, action en représailles entre studios et éditeurs, etc.). Tous les acteurs de la chaîne ont ainsi leur rôle à jouer dans la prévention des cyberattaques.
Le premier rempart contre les cyberattaques et leurs conséquences est bien sûr les mesures techniques adaptées au niveau du risque (par exemple pare-feu, logiciels dédiés, sauvegarde régulière, redondance, gestion des authentifications, pseudonymisation, chiffrement, cloisonnement, etc.). Le RGPD impose aux responsables de traitement et sous-traitants de mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. L’analyse de risque peut être effectuée par référence à la méthodologie « Ebios Risk Manager » publiée par l’ANSSI en collaboration avec le Club EBIOS.
Comme pour toute bataille, avoir les bonnes armes est nécessaire, mais celles-ci ne servent à rien si les personnes ne sont pas préparées et formées pour les utiliser. Chaque organisation doit donc mettre en place une gouvernance cyber adaptée à sa taille, à son activité et à son exposition au risque ou ses vulnérabilités spécifiques.
Cela passe d’abord par une sensibilisation de l’ensemble du personnel au risque cyber, en fonction de leur position dans l’organisation, de leur niveau de responsabilité, des données auxquelles chacun a accès, des droits dont ils disposent dans le système d’information, etc.
Il convient ensuite de choisir vos généraux, ceux qui décideront de votre stratégie, de l’entrainement de votre armée et le jour venu dirigeront la bataille. Toutes les configurations d’équipe sont envisageables, et dépendent évidemment de la taille de votre organisation, mais vous pouvez par exemple inclure un membre de l’équipe RSSI, un juriste et/ou un spécialiste des données personnelles, un membre de l’équipe RH, un membre de la direction, etc. Son efficacité sera renforcée par sa pluridisciplinarité et sa capacité à interagir avec tous les responsables de l’organisation. Cette équipe de gestion des incidents devra, bien sûr, elle aussi, être formée et entrainée. Elle pourra ainsi concevoir les procédures et règles internes de prévention des incidents mais aussi de réponse à incidents.
De plus, il ne faudra pas oublier de répéter et de mettre à jour les sessions de sensibilisation et de formation. La typologie des attaques évolue constamment de même que votre organisation et les risques auxquels vous êtes exposés.
Par ailleurs, il est important d’inclure dans les contrats avec les partenaires commerciaux les clauses adéquates en termes de sécurité, d’audit, de responsabilité et d’assurance.
Une clause de notification des incidents de sécurité devrait notamment être présente dans tous les contrats entre professionnels, ce qui nécessite de disposer d’un système d’alerte des événements de sécurité performant et d’une gestion rigoureuse de ces derniers. A ce titre, les engagements contractuels en termes de notification des failles de sécurité doivent être réalistes et adaptés au risque de chaque entreprise.
Vis-à-vis des prestataires, il est recommandé d’inclure une clause d’audit de sécurité pour pouvoir faire le diagnostic de l’état de sécurité des systèmes d’information de son prestataire, non seulement à intervalles réguliers mais également à la suite d’un incident. Il ne faut pas hésiter à actionner cette clause d’audit de façon occasionnelle, et à déclencher des vérifications de façon préventive, ce qui peut commencer par une simple demande d’information à son prestataire ou un questionnaire à remplir en matière de sécurité informatique. Selon les réponses du prestataire, un audit plus approfondi peut alors être envisagé en se rendant directement sur place chez le prestataire.
Une attention particulière devra également être portée à la clause de responsabilité. Il est important que la clause de responsabilité soit claire et non ambigüe sur la typologie de dommages qui sera prise en charge par la partie défaillante. D’autre part, les plafonds de responsabilité peuvent nécessiter une adaptation, et notamment un rehaussement spécifique en cas d’incident de sécurité, afin de tenir compte des éventuels dommages pouvant résulter d’un incident de sécurité chez un partenaire commercial.
Enfin, une bonne pratique contractuelle consiste à indiquer dans le contrat que les deux parties ont l’obligation de disposer d’une assurance cyber.
Les compagnies d’assurance ont depuis quelques années pris pleinement la mesure du phénomène des cyberattaques en proposant des produits d’assurance couvrant les risques cyber.
Toutefois, la souscription d’une couverture du risque cyber par une assurance reste marginale et très disparate selon la taille de l’entreprise. L’étude d’impact du projet de loi LOPMI de 2022 a constaté que si « 87 % des grandes entreprises sont couvertes par un contrat, moins de 8 % des entreprises de taille intermédiaire ont souscrit une assurance cyber. Au total, près de 95% des entreprises ne sont pas couvertes par de telles garanties ».
Si ce n’est pas déjà le cas, il est vivement recommandé d’envisager de souscrire à une telle assurance.
Pour ceux qui bénéficient d’une telle couverture, depuis le 24 avril 2023, il est obligatoire de porter plainte dans un délai de 72 heures pour être indemnisé des dommages liés à une cyberattaque par son assureur.
Le court délai de 72 heures peut s’expliquer par la volonté de permettre aux autorités compétentes de disposer rapidement de toutes les informations nécessaires afin de pouvoir poursuivre les auteurs de façon la plus efficace possible.
La systématisation du dépôt de plainte dans les 72 heures vise bien la poursuite d'une politique pénale ambitieuse. Au-delà de cet objectif de répression des auteurs de cyberattaques, on peut espérer qu’une meilleure connaissance des cyberattaques grâce aux données collectées par les pouvoirs publics lors des dépôts de plainte pourrait in fine aboutir à éviter la réitération de certaines typologies d’attaques. Ainsi, la systématisation du dépôt de plainte dans les 72 heures vise également, à plus moyen terme, un objectif de protection.
On constatera enfin que ce délai de 72 heures est identique à celui de l’obligation de notifier les violations de données personnelles à l’autorité compétente.
Un des éléments à prendre en considération dans le cadre de la gestion des incidents cyber est la question des données personnelles. En cas d’incident, il faudra déterminer si des données personnelles ont été impliquées. Et dans l’affirmative, la règlementation impose de notifier les violations de données personnelles à l’autorité compétente.
Le RGPD définit une violation de données personnelles comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. » Il s’agit un incident de sécurité, d’origine malveillante ou non, et se produisant de manière intentionnelle ou non.
Les cyberattaques constituent plus de la moitié des violations de données personnelles notifiées à la Commission nationale informatique et liberté (CNIL), et 43% des notifications reçues par la CNIL en 2021 concernaient une attaque par rançongiciel.
Le RGPD impose au responsable du traitement :
La notification à la CNIL doit être effectuée de manière dématérialisée via le téléservice de la CNIL. Conformément au RGPD, elle doit :
En ce qui concerne le sous-traitant, le RGPD lui impose :
Le fait de ne pas notifier la violation de données personnelles, alors que l’entreprise en avait l’obligation règlementaire, est passible de lourdes sanctions administrative et pénale.
A titre d’illustration, la société Groupe CANAL + a reçu une amende de 600.000 euros par la CNIL le 12 octobre 2023 pour différents manquements au RGPD, et notamment mais pas seulement, pour ne pas avoir procéder à la notification de violation de données à caractère personnel à la CNIL et pour ne pas avoir documenté la violation. Cette sanction n’est toutefois pas intervenue dans le cadre d’une cyberattaque.
Une procédure de sanction simplifiée a été créée avec la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure. La CNIL peut décider d’engager cette procédure simplifiée si l'affaire ne présente pas de difficulté particulière. La taille de l’entreprise est un critère prépondérant pour déterminer d’engager cette procédure qui est principalement destinée aux petites et moyennes entreprises. Le risque est alors significativement réduit car, en application de cette procédure, la CNIL ne peut prononcer des amendes que jusqu’à 20.000 euros et une injonction avec astreinte de 100 euros maximum par jour de retard.
En tout état de cause, il est vivement recommandé de mettre en place en amont des processus robustes en termes de conformité et de notification pour savoir comment réagir. Un processus technique et organisationnel relatif aux éventuelles violations de données doit être clairement établi.
La directive NIS 2 ambitionne une nette amélioration du niveau global de protection des entreprises. Les entreprises visées devront mettre en œuvre les mesures humaines, techniques, juridiques et organisationnelles pour renforcer la résilience de leur système d’information face aux cyberattaques.
La directive NIS 2 devra être transposée au plus tard le 17 octobre 2024. Les mesures de cybersécurité doivent encore être déclinées au niveau national, et elles seront accompagnées de guides et d’une assistance à la mise en œuvre qui dépendra du niveau des exigences de sécurité qui reste encore à définir.
La directive NIS 2 s’appliquera, par principe, aux entreprises de certains secteurs d’activité ayant 50 employés ou plus, ou dont le chiffre d'affaires annuel ou le total du bilan annuel excède 10 millions d'euros. Les fournisseurs de services cloud sont notamment visés par la directive, ce qui comprend les infrastructures services (IaaS), les plateformes services (PaaS), les logiciels services (SaaS) et les réseaux services (NaaS). Sont également visés par cette directive, et à titre d’exemple, les fournisseurs de services gérés, fournisseurs de services de sécurité gérés, fournisseurs de places de marché en ligne, fournisseurs de moteurs de recherche en ligne et les fournisseurs de services de réseaux sociaux .
Il est recommandé que chaque entreprise s’interroge pour savoir si la directive NIS 2 s’appliquera ou non à elle. Même si une entreprise n’est pas directement visée par la directive, il est possible que ses fournisseurs le soient, ce qui pourrait se traduire par un certain niveau de sécurité et d’obligations en matière de cybersécurité à respecter dans les contrats. Dès lors que l’un des maillons du secteur du jeu vidéo est visée par la directive NIS 2, tous les acteurs de la chaîne contractuelle risquent d’être indirectement impactés, et dans une certaine mesure, par la hausse des exigences de cybersécurité dictée par la directive NIS 2.
Il n’y a pas de temps à perdre pour maîtriser les risques engendrés par les cyberattaques. Alors, préparez-vous !
Co-écrit par Benjamin Greze de Pinsent Masons