Cerseï Lannister, Aerys Targaryen, Joffrey Baratheon, Walder Frey… Nombreux sont les rois et reines de la série à succès Game of Thrones qui ne font pas montre des meilleures règles de gouvernance. Preuve en est, le Royaume des Sept Couronnes est à feu et à sang ! Mais en la matière, le producteur de la série HBO devrait peut-être commencer par balayer devant sa porte. Depuis quelques semaines, à l’occasion de la diffusion de la septième saison de la saga, la chaîne du groupe Time Warner s’est fait cyber attaquer, avec succès, à au moins deux reprises. Une vraie menace alors que la cybersécurité devient plus en plus un critère ESG (Environnement, Social, Gouvernance) pris en compte par les investisseurs.

Concrètement, un groupe de hackers, baptisé Mister Jones, est parvenu à récupérer 1,5 To de données dans les serveurs de la chaîne. Il menace de diffuser l’épisode final de la saison 7 du show avant la date officielle, ce dimanche 27 août. La chaîne doit verser 6 millions de dollars pour l’éviter. La direction assure qu’elle ne paiera pas cette rançon. Dans le même temps, l’entreprise s’est fait pirater le compte officiel de Game of Thrones sur Twitter. "Salut, c'est OurMine, nous testons juste votre sécurité, l'équipe HBO contactez-nous pour mettre à niveau votre sécurité ", ont publié les pirates.

Il fut un temps ou le PDG de Time Warner, Jeff Bewkes, prenait presque cela à la légère. En 2013, à l’occasion d’une conférence sur les résultats, il déclarait que le piratage est encore mieux qu’un "Emmy" (récompense de la télévision américaine) pour créer le buzz. Ce qui n’est pas faux : la fuite, par accident, de l’épisode 6 de la saison 7, n’a pas affecté les audiences de la chaîne qui a réuni plus de 10 millions de téléspectateurs le soir de la sortie officielle. Au contraire, cela a servi de publicité pour l’un des épisodes les plus spectaculaires de la série.

Une société vulnérable

Dégâts financiers limités ? Pas sûr. Pour plusieurs experts, il est trop tôt pour dire combien va réellement coûter à HBO ce piratage. "Une fois que vos systèmes ont été compromis, vous êtes vu comme quelqu'un qui est attaqué et qui est vulnérable", explique à Reuters Dimitri Sirota, PDG de BigID, un éditeur de logiciel de sécurité. Un calcul d'autant plus difficile que la chaîne HBO elle-même ne sait pas exactement ce que contiennent les 1,5 To de données qui ont été volées, explique Tim Crosby, consultant en cybersécurité.

Selon le spécialiste des réseaux Juniper, les cyberattaques contre les entreprises devraient coûter 2100 milliards d’euros par an aux entreprises à partir de 2019. Et outre HBO, de nombreux cas ont déjà défrayé la chronique, affectant profondément l’image de société et poussant à la démission de dirigeants. En 2014, Orange se faisait voler les données de plus d’un million de clients. La même année, c’est Sony qui se faisait pirater des films non encore sortis et voyait des milliers d’emails privés de salariés de l’entreprise rendus publics. En 2016, c’est 1,5 milliard de comptes Yahoo qui avait été volés par des hackers.

Un groupe de travail des PRI

À long terme, le risque financier pourrait venir du côté des investisseurs. Une étude de Novethic met en avant que seuls trois des dix plus grandes capitalisations européennes et seules cinq des dix plus grandes entreprises américaines font du reporting sur la cybersécurité. Or, cela devient pourtant une exigence pour plusieurs grandes sociétés de gestion à travers le monde. Le suisse RobecoSAM a lancé un programme d’engagement visant à obtenir des informations sur la manière dont les entreprises évaluent et répondent aux risques de piratages. Au Royaume-Uni, Legal & General Investment Management a pris position pour la mise en place de "cyberaudits" obligatoires. Aux États-Unis, des actionnaires d’eBay et American Express ont soutenu des résolutions (qui n’ont pas été adoptées) pour forcer les directions à plus de transparence sur ces sujets.

Les Principes pour l’investissement responsable (PRI), lancés par les Nations Unies en 2006, sont également montés au créneau en lançant un engagement de tous les signataires sur la cybersécurité. Huit membres font partie du groupe de travail sur ce thème, au rang desquels on retrouve le français BNP Paribas, le britannique Hermes Fund Managers, ou encore le canadien NEI Investments.

Ludovic Dupin, @ludovicDupin