Sécurité de contenu et rôle d’un fournisseur de services médias

Par Renaud Presty, Directeur de la sécurité, Globecast

La cybersécurité doit être une priorité absolue pour tous les acteurs du secteur des médias. Les cyberattaques qui se sont multipliées ces derniers temps ont affecté de nombreux domaines, notamment les données professionnelles et personnelles, la politique et la vie privée des individus. Ce constat a poussé nombre de gouvernements et de grands acteurs du secteur à mettre en place de solides organisations de cyber-défense pour gérer les menaces potentielles.

Ces enjeux sont également critiques pour les contenus en général et le secteur des services aux médias, compte tenu de la valeur commerciale des contenus et des risques encourus en cas d’indisponibilité ou de modification. Nombreux sont les propriétaires de contenus qui se regroupent par région ou activité afin de coordonner leurs actions de lutte contre la piraterie. Ils fixent des exigences de sécurité applicables à toute forme de gestion de contenus et des normes strictes traitant tous les aspects de la sécurité physique et numérique, de son organisation et de sa gestion, en s’appuyant toujours plus sur la certification.

Alors que par le passé, les plateformes des têtes de réseau étaient isolées, le modèle de menace a évolué avec l’arrivée des services basés sur Internet, la multiplicité des interconnexions entre plateformes et l’utilisation généralisée de logiciels et d’outils réseau. Des programmes de protection des contenus en ligne et de nouvelles formes de services de sécurité sont mis en place pour lutter contre l’essor des menaces de redistribution des contenus et de piratage vidéo.

Globecast, acteur majeur du secteur des médias, a placé la sécurité au cœur de sa stratégie mondiale. Nous avons décomposé cette stratégie en sept domaines clés.

Le premier consiste à comprendre le contexte client, ses cas d’utilisation et ses principaux besoins en matière de sécurité. La compréhension des exigences de sécurité et des niveaux d’attente de nos clients en termes de dispositifs de sécurité ou de robustesse de la solution est le socle de toutes les étapes qui suivent. Ce volet est généralement géré par le biais d’ateliers/réunions dédiés d’experts en sécurité qui abordent tous les aspects de la sécurité. Il est également primordial de traiter à ce niveau les actifs clés et leurs exigences de sécurité intrinsèques.

Vient ensuite une approche systématique suivant une démarche d’amélioration continue. La sécurité étant un domaine en constante évolution, aucune entreprise n’est en mesure de fournir des garanties absolues. Une analyse des risques s’appuyant sur des méthodologies approuvées (NIST, EBIOS-RM) est menée pour tout nouveau produit ou service de la phase de conception à la livraison de la solution. L’objectif est d’identifier tous les risques pertinents et de mettre en place les mesures et procédures de sécurité techniques qui s’imposent dans le cadre d’un plan de sécurité.

La détection de toute faille ou vulnérabilité et la mise en œuvre de plans de remédiation fiables et réalistes, incluant des examens et audits de sécurité réguliers, des analyses de vulnérabilité et des tests d’intrusion, sont autant de mesures qui revêtent une importance capitale.

À quoi s’ajoutent les compétences et la responsabilisation du personnel. La sécurité va de pair avec des formations et sessions de sensibilisation pour notre personnel, qui doivent être répétées pour assurer leur efficacité. Il faut diffuser des communications ciblées et organiser des séances pratiques autour de problèmes spécifiques. La sécurité est toujours étroitement liée à l’excellence opérationnelle.

En termes de responsabilité, les obligations redditionnelles doivent être clairement définies pour les différentes actions à entreprendre. Tous les accès aux ressources informatiques et au réseau de l’entreprise s’appuient sur un processus unique d’identification et d’authentification afin d’assurer la traçabilité des opérations. L’utilisation de comptes génériques est donc proscrite et les équipements sensibles sont protégés par des techniques de gestion des accès à privilèges, grâce à quoi seules les personnes habilitées peuvent accéder aux ressources informatiques sensibles en fonction de leurs profils.

Nous établissons très clairement des zones de sécurité. Il s’agit de zones sécurisées définies au sein du réseau pour assurer une séparation claire entre les différents périmètres de confiance dans les systèmes d’information, grâce à des zones contrôlées par un mécanisme DMZ (protégeant les échanges de données entre réseaux internes et externes), à des techniques VLAN ou à l’utilisation d’appareils dédiés.

La robustesse, la redondance des composants critiques et les plans de continuité d’activités (PCA)/plans de reprise après sinistre sont également cruciaux. Travailler sur la robustesse de la solution est essentiel pour sécuriser un système et ses éléments matériels, OS et applications logicielles. Une séparation claire des environnements techniques (test/pré-prod/prod) et une suppression des logiciels inutilisés ou des paramètres par défaut permettent également de réduire la « surface d’attaque ». Les plans de continuité d’activités et de reprise après sinistre sont établis sur la base d’une analyse des risques qui identifie les processus critiques des différentes activités du point de vue de la sécurité et définit les priorités opérationnelles. La crise de la COVID-19 a clairement fait des PCA un sujet d’actualité. Dès le début, Globecast a adapté ses plans de continuité et de reprise pour garantir une continuité de service à tous les clients, sans interruption ni impact sur leurs opérations. Plusieurs sites peuvent prendre en charge à distance et immédiatement les services d’un client, via des équipes opérant avec différents niveaux d’autonomie. La gouvernance de la sécurité permet de faire en sorte que ces plans soient régulièrement testés.

Enfin, il est essentiel d’examiner d’un œil critique et de tester périodiquement les plans de sécurité. Des contrôles internes et externes, le traitement de toutes les vulnérabilités potentielles et la vérification des protocoles de sécurité comptent parmi les mesures qui permettent de renforcer les compétences du personnel. Des analyses de vulnérabilité sont régulièrement exécutées. Outre les tests d’intrusion et les analyses de vulnérabilité, une veille de sécurité assurée par les différents centres opérationnels de cybersécurité permet d’analyser les potentiels points faibles, puis de mettre en œuvre les mesures de sécurité préventives ou correctives opportunes avec les équipes informatiques et opérationnelles concernées. Les différents plans de mesures correctives sont clairement définis et suivis.