Le secteur des jeux vidéo face au risque grandissant de cyberattaques

Joueurs, studios de création et de développement, éditeurs, distributeurs, tous les acteurs du secteur des jeux vidéo sont, sans exception, des cibles potentielles de cyberattaques.

La menace cyber et plus spécifiquement celle liée aux rançongiciels ne vise pas que les grandes entreprises. En 2022, 40% des rançongiciels traitées ou rapportées à l’Agence nationale de la sécurité des systèmes d'information (ANSSI) concernent les petites et moyennes entreprises.

L’essor économique du secteur ne fait qu’accroître la vulnérabilité de ce secteur au risque cyber.

La prévention des cyberattaques s’avère ainsi essentielle. La prévention concerne aussi bien les actions destinées à éviter autant que possible l’apparition d’une cyberattaque que les mesures destinées à savoir comment réagir lorsque les entreprises se trouvent confrontées à une cyberattaque.

Prendre conscience de l’exposition au risque cyber et de ses conséquences

Les attaques à but lucratif, et notamment les demandes de rançons, représentent aujourd’hui la principale cybermenace pour le secteur des jeux vidéo. Les principales techniques utilisées par les pirates lors de cyber attaques reposent sur l’hameçonnage (phishing), les attaques en déni de service distribué (distributed denial-of-service ou DDoS), le minage frauduleux de crypto-monnaie (crypto jacking), et sur les logiciels malveillants (malwares) incluant les rançongiciels (ransomwares).

La technicité et la professionnalisation de la cybercriminalité a conduit à la création de plusieurs services d’enquête spécialisés dont certains existent depuis longtemps déjà, par exemple :

• la direction centrale de la police judiciaire (DCPJ) du ministère de l'intérieur comprend une sous-direction en charge de la lutte contre la cybercriminalité (SDLC) ;
• la préfecture de Police de Paris s’est également dotée d’une unité de police judiciaire spécialisée dans la lutte contre la cybercriminalité, dénommée « la brigade d'enquête sur les fraudes aux technologies de l'information » (BEFTI) ;
• la gendarmerie dispose des services du centre de lutte contre les criminalités numériques (C3N) ;
• une section spécialisée a été créé au Parquet de Paris (la « section J3 », anciennement dénommée section F1, ou section cybercriminalité).

D’un point de vue juridique, ces cyberattaques peuvent généralement recevoir une qualification pénale telle que, selon le cas d’espèce, l’atteinte aux systèmes de traitement automatisé de données, la collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite, l’extorsion, le chantage, l’escroquerie, l’atteinte au secret des correspondances, et/ou l’usurpation d’identité par voie de télécommunication.

Mais les recherches conduites par la victime de la cyberattaque ne lui permettent généralement pas d’identifier l’auteur des faits délictueux, ni le lieu depuis lequel sont commises ces infractions pénales. Sauf situation exceptionnelle, la réparation du préjudice par l’auteur de la cyberattaque à la victime n’est de fait pas possible, alors que les préjudices subis par la victime sont tout à fait considérables.

Pour les joueurs, ces cyberattaques peuvent engendrer la perte de leur argent, de leurs données personnelles, et de leur progression dans le jeu.

Pour les studios, éditeurs et distributeurs, ces cyberattaques sont susceptibles de compromettre voire de paralyser leur activité, de porter atteinte à leur image et de susciter une perte de confiance de la part de leurs partenaires commerciaux ou de leurs joueurs. Les coûts économiques d’une cyberattaque sont particulièrement élevés. Il convient de mentionner parmi ces coûts :

• les coûts directs liés au traitement de l’attaque : mobilisation des équipes et de prestataires, conseil ;
• les coûts indirects liés à la perte d’activité opérationnelle ;
• les coûts liés aux indemnisations et aux amendes associées à l’attaque prévues par le règlement européen n°2016/679 du 27 avril 2016 (dit règlement général sur la protection des données, (RGPD).

Une cyberattaque peut avoir des conséquences préjudiciables sur l’ensemble de la chaîne de production (diminution de commandes, action en représailles entre studios et éditeurs, etc.). Tous les acteurs de la chaîne ont ainsi leur rôle à jouer dans la prévention des cyberattaques.

Définir une gouvernance cyber

Les moyens techniques

Le premier rempart contre les cyberattaques et leurs conséquences est bien sûr les mesures techniques adaptées au niveau du risque (par exemple pare-feu, logiciels dédiés, sauvegarde régulière, redondance, gestion des authentifications, pseudonymisation, chiffrement, cloisonnement, etc.). Le RGPD impose aux responsables de traitement et sous-traitants de mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. L’analyse de risque peut être effectuée par référence à la méthodologie « Ebios Risk Manager » publiée par l’ANSSI en collaboration avec le Club EBIOS.

L’organisation

Comme pour toute bataille, avoir les bonnes armes est nécessaire, mais celles-ci ne servent à rien si les personnes ne sont pas préparées et formées pour les utiliser. Chaque organisation doit donc mettre en place une gouvernance cyber adaptée à sa taille, à son activité et à son exposition au risque ou ses vulnérabilités spécifiques.

Cela passe d’abord par une sensibilisation de l’ensemble du personnel au risque cyber, en fonction de leur position dans l’organisation, de leur niveau de responsabilité, des données auxquelles chacun a accès, des droits dont ils disposent dans le système d’information, etc.

Il convient ensuite de choisir vos généraux, ceux qui décideront de votre stratégie, de l’entrainement de votre armée et le jour venu dirigeront la bataille. Toutes les configurations d’équipe sont envisageables, et dépendent évidemment de la taille de votre organisation, mais vous pouvez par exemple inclure un membre de l’équipe RSSI, un juriste et/ou un spécialiste des données personnelles, un membre de l’équipe RH, un membre de la direction, etc. Son efficacité sera renforcée par sa pluridisciplinarité et sa capacité à interagir avec tous les responsables de l’organisation. Cette équipe de gestion des incidents devra, bien sûr, elle aussi, être formée et entrainée. Elle pourra ainsi concevoir les procédures et règles internes de prévention des incidents mais aussi de réponse à incidents.

De plus, il ne faudra pas oublier de répéter et de mettre à jour les sessions de sensibilisation et de formation. La typologie des attaques évolue constamment de même que votre organisation et les risques auxquels vous êtes exposés.

Les contrats

Par ailleurs, il est important d’inclure dans les contrats avec les partenaires commerciaux les clauses adéquates en termes de sécurité, d’audit, de responsabilité et d’assurance.

Une clause de notification des incidents de sécurité devrait notamment être présente dans tous les contrats entre professionnels, ce qui nécessite de disposer d’un système d’alerte des événements de sécurité performant et d’une gestion rigoureuse de ces derniers. A ce titre, les engagements contractuels en termes de notification des failles de sécurité doivent être réalistes et adaptés au risque de chaque entreprise.

Vis-à-vis des prestataires, il est recommandé d’inclure une clause d’audit de sécurité pour pouvoir faire le diagnostic de l’état de sécurité des systèmes d’information de son prestataire, non seulement à intervalles réguliers mais également à la suite d’un incident. Il ne faut pas hésiter à actionner cette clause d’audit de façon occasionnelle, et à déclencher des vérifications de façon préventive, ce qui peut commencer par une simple demande d’information à son prestataire ou un questionnaire à remplir en matière de sécurité informatique. Selon les réponses du prestataire, un audit plus approfondi peut alors être envisagé en se rendant directement sur place chez le prestataire.

Une attention particulière devra également être portée à la clause de responsabilité. Il est important que la clause de responsabilité soit claire et non ambigüe sur la typologie de dommages qui sera prise en charge par la partie défaillante. D’autre part, les plafonds de responsabilité peuvent nécessiter une adaptation, et notamment un rehaussement spécifique en cas d’incident de sécurité, afin de tenir compte des éventuels dommages pouvant résulter d’un incident de sécurité chez un partenaire commercial.

Enfin, une bonne pratique contractuelle consiste à indiquer dans le contrat que les deux parties ont l’obligation de disposer d’une assurance cyber.

L’assurance

Les compagnies d’assurance ont depuis quelques années pris pleinement la mesure du phénomène des cyberattaques en proposant des produits d’assurance couvrant les risques  cyber.

Toutefois, la souscription d’une couverture du risque cyber par une assurance reste marginale et très disparate selon la taille de l’entreprise. L’étude d’impact du projet de loi LOPMI de 2022 a constaté que si « 87 % des grandes entreprises sont couvertes par un contrat, moins de 8 % des entreprises de taille intermédiaire ont souscrit une assurance cyber. Au total, près de 95% des entreprises ne sont pas couvertes par de telles garanties ».

Si ce n’est pas déjà le cas, il est vivement recommandé d’envisager de souscrire à une telle assurance.

Pour ceux qui bénéficient d’une telle couverture, depuis le 24 avril 2023, il est obligatoire de porter plainte dans un délai de 72 heures pour être indemnisé des dommages liés à une cyberattaque par son assureur.

Le court délai de 72 heures peut s’expliquer par la volonté de permettre aux autorités compétentes de disposer rapidement de toutes les informations nécessaires afin de pouvoir poursuivre les auteurs de façon la plus efficace possible.

La systématisation du dépôt de plainte dans les 72 heures vise bien la poursuite d'une politique pénale ambitieuse. Au-delà de cet objectif de répression des auteurs de cyberattaques, on peut espérer qu’une meilleure connaissance des cyberattaques grâce aux données collectées par les pouvoirs publics lors des dépôts de plainte pourrait in fine aboutir à éviter la réitération de certaines typologies d’attaques. Ainsi, la systématisation du dépôt de plainte dans les 72 heures vise également, à plus moyen terme, un objectif de protection.

On constatera enfin que ce délai de 72 heures est identique à celui de l’obligation de notifier les violations de données personnelles à l’autorité compétente.

Notifier les éventuelles violations de données personnelles

Un des éléments à prendre en considération dans le cadre de la gestion des incidents cyber est la question des données personnelles. En cas d’incident, il faudra déterminer si des données personnelles ont été impliquées. Et dans l’affirmative, la règlementation impose de notifier les violations de données personnelles à l’autorité compétente.

Le RGPD définit une violation de données personnelles comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. » Il s’agit un incident de sécurité, d’origine malveillante ou non, et se produisant de manière intentionnelle ou non.

Les cyberattaques constituent plus de la moitié des violations de données personnelles notifiées à la Commission nationale informatique et liberté (CNIL), et 43% des notifications reçues par la CNIL en 2021 concernaient une attaque par rançongiciel.

Le RGPD impose au responsable du traitement :

• de documenter toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier ;
• de notifier la violation de données à caractère personnel à l’autorité de contrôle dans les 72 heures, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ; et
• de communiquer la violation de données à caractère personnel à la personne concernée lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.

La notification à la CNIL doit être effectuée de manière dématérialisée via le téléservice de la CNIL. Conformément au RGPD, elle doit :

• décrire la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
• communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• décrire les conséquences probables de la violation de données à caractère personnel ; et
• décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

En ce qui concerne le sous-traitant, le RGPD lui impose :

• de notifier au responsable de traitement toute violation de données à caractère personnel.

Le fait de ne pas notifier la violation de données personnelles, alors que l’entreprise en avait l’obligation règlementaire, est passible de lourdes sanctions administrative et pénale.

A titre d’illustration, la société Groupe CANAL + a reçu une amende de 600.000 euros par la CNIL le 12 octobre 2023 pour différents manquements au RGPD, et notamment mais pas seulement, pour ne pas avoir procéder à la notification de violation de données à caractère personnel à la CNIL et pour ne pas avoir documenté la violation. Cette sanction n’est toutefois pas intervenue dans le cadre d’une cyberattaque.

Une procédure de sanction simplifiée a été créée avec la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure. La CNIL peut décider d’engager cette procédure simplifiée si l'affaire ne présente pas de difficulté particulière. La taille de l’entreprise est un critère prépondérant pour déterminer d’engager cette procédure qui est principalement destinée aux petites et moyennes entreprises. Le risque est alors significativement réduit car, en application de cette procédure, la CNIL ne peut prononcer des amendes que jusqu’à 20.000 euros et une injonction avec astreinte de 100 euros maximum par jour de retard.

En tout état de cause, il est vivement recommandé de mettre en place en amont des processus robustes en termes de conformité et de notification pour savoir comment réagir. Un processus technique et organisationnel relatif aux éventuelles violations de données doit être clairement établi.

Anticiper l’impact de la directive NIS 2

La directive NIS 2 ambitionne une nette amélioration du niveau global de protection des entreprises. Les entreprises visées devront mettre en œuvre les mesures humaines, techniques, juridiques et organisationnelles pour renforcer la résilience de leur système d’information face aux cyberattaques.

La directive NIS 2 devra être transposée au plus tard le 17 octobre 2024. Les mesures de cybersécurité doivent encore être déclinées au niveau national, et elles seront accompagnées de guides et d’une assistance à la mise en œuvre qui dépendra du niveau des exigences de sécurité qui reste encore à définir.

La directive NIS 2 s’appliquera, par principe, aux entreprises de certains secteurs d’activité ayant 50 employés ou plus, ou dont le chiffre d'affaires annuel ou le total du bilan annuel excède 10 millions d'euros. Les fournisseurs de services cloud sont notamment visés par la directive, ce qui comprend les infrastructures services (IaaS), les plateformes services (PaaS), les logiciels services (SaaS) et les réseaux services (NaaS). Sont également visés par cette directive, et à titre d’exemple, les fournisseurs de services gérés, fournisseurs de services de sécurité gérés, fournisseurs de places de marché en ligne, fournisseurs de moteurs de recherche en ligne et les fournisseurs de services de réseaux sociaux .

Il est recommandé que chaque entreprise s’interroge pour savoir si la directive NIS 2 s’appliquera ou non à elle. Même si une entreprise n’est pas directement visée par la directive, il est possible que ses fournisseurs le soient, ce qui pourrait se traduire par un certain niveau de sécurité et d’obligations en matière de cybersécurité à respecter dans les contrats. Dès lors que l’un des maillons du secteur du jeu vidéo est visée par la directive NIS 2, tous les acteurs de la chaîne contractuelle risquent d’être indirectement impactés, et dans une certaine mesure, par la hausse des exigences de cybersécurité dictée par la directive NIS 2.

Il n’y a pas de temps à perdre pour maîtriser les risques engendrés par les cyberattaques. Alors, préparez-vous !

Co-écrit par Benjamin Greze de Pinsent Masons