Avec l’évolution des systèmes de réseaux et d’information, il est nécessaire de renforcer la sécurité numérique et de pouvoir répondre aux besoins croissants en matière de protection des données. Des stratégies se mettent en place afin de protéger les œuvres audiovisuelles et cinématographiques.
Le NIS2, une directive européenne en faveur de la cybersécurité
Face à l’augmentation de la menace sur la sécurité numérique, des solutions sont proposées afin de protéger les professionnels. Un premier texte législatif européen, le NIS (Network and Information Security) a été adopté le 6 juillet 2016. Cette directive avait pour objectif de renforcer les capacités nationales de cybersécurité, d’établir un cadre de coopération entre les États membres de l’Union européenne et d’instaurer des règles communes en matière de cybersécurité. Ces missions sont assurées par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France.
Dans un premier temps, elle s’appliquait pour les opérateurs de services essentiels (eau, énergie, santé, transport, etc.) et aux fournisseurs de service numérique (moteurs de recherche, cloud, marchés en ligne). Depuis 2016, le secteur du numérique a évolué, le nombre de cyberattaques ne cesse de croître et cela s’est renforcé avec la crise du Covid qui a accéléré la transition numérique. Dans ce contexte, la Commission de l’industrie, de la recherche et de l’énergie du Parlement européen a révisé son premier texte et en a présenté un nouveau, la NIS2, qui a été approuvé et est sur le point d’être voté.
Cette nouvelle directive élargit le champ d’action à pratiquement toutes les entreprises de service numérique de moins de cinquante salariés et devrait s’appliquer pour les réseaux sociaux et les services de communication électronique. Toutes ces entreprises devront se plier à des normes et seront obligées de transmettre les informations en cas d’incident de sécurité. Des sanctions s’appliqueront pour les entreprises qui ne respectent pas les directives du NIS2.
Si ce nouveau texte a été dévoilé, il faudra attendre encore quelques mois avant que chaque pays se l’approprie et le mette en pratique. Bien que le secteur de l’audiovisuel ne soit pas directement visé, le champ d’application touche des secteurs liés à la diffusion de contenus et le travail collectif à l’échelle européenne devrait aboutir à un renforcement global de la cybersécurité sur tout le territoire.
Concernant les acteurs du cinéma et de l’audiovisuel, des certifications existent, garantissant une sécurité maximale. Le TPN (Trusted Partner Network) est une certification qui porte sur différents de niveaux de sécurité (physique, ressources humaines, cybersécurité, etc.), ce qui permet d’atteindre un niveau de sécurité global satisfaisant.
Pour obtenir cette certification, il faut répondre aux nombreuses exigences du TPN présentées sous forme de grille à vérifier point par point. Celle-ci est indispensable pour une grande partie de l’industrie notamment car cette certification est exigée par les majors américaines. La télévision diffusée via Internet et le live IP renforcent les besoins en sécurité digitale.
Le besoin en formation et les bonnes pratiques à appliquer
La nécessité de former des professionnels compétents s’accroît tant du côté des techniciens audiovisuel qui doivent engendrer des connaissances en informatique, que du côté des informaticiens qui se spécialisent de plus en plus. Peu de formations sont proposées en cybersécurité spécialisée dans l’audiovisuel et le cinéma en France. La filière est en pleine croissance et les besoins en formation vont s’intensifier. Le label SecNumedu mis en place par l’ANSSI garantit aux étudiants et employeurs que la formation réponde à une charte et à des critères définis par l’ANSSI et des professionnels du domaine. Il assure un bon niveau de formation et rassure les employeurs.
À l’occasion du salon VivaTech 2022, le président Emmanuel Macron avait annoncé sa volonté de multiplier les formations au numérique, annonçant l’objectif de développer dix géants de la « tech » de taille européenne et cent licornes d’ici 2030. De l’apprentissage du code au collège jusqu’à la multiplication des formations post-bac, l’objectif est de mieux et de plus former les nouvelles générations au numérique.
Un des projets, initié par le président de la République, est le Campus Cyber à La Défense qui a ouvert ses portes en 2022. Il est défini comme un lieu totem de la cybersécurité dans lequel se regroupent des institutions, des services de l’État, des organismes de formation, des acteurs de la recherche et des associations.
Les actions mises en place visent à créer une synergie entre ces différents acteurs. Le rassemblement d’experts a pour objectif de renforcer les capacités de veille et de mieux gérer les menaces. Une aide à la formation initiale et continue est proposée avec des programmes dispensés par des organismes de formation. Un des enjeux sociétaux est d’œuvrer pour une inclusivité et pour la féminisation du secteur. Des conférences, tables rondes, webinaires, job dating, etc. y sont organisés autour des questions de la cybersécurité.
Au total, le Campus ne compte pas moins de 26 000 m2. Au sein du Campus Cyber, on compte un studio TV, des espaces de réception, une plate-forme IA, un auditorium, un showroom et une plate-forme de formation. Des groupes de travail identifient les priorités cyber des entreprises.
Animé par le Studio des Communs, le projet « Anticipations » a déjà été livré et huit autres sont toujours en cours. Parmi eux, « Intelligence artificielle et cybersécurité », « Cybersécurité ferroviaire » ou encore « Crypto actif et cybersécurité ». Les travaux menés au sein du Campus Cyber devraient permettre de faire progresser le savoir-faire français autour de la cybersécurité et de le faire rayonner à l’international. Le rassemblement de professionnels et de chercheurs a pour objectif d’identifier les priorités et les défis de la cybersécurité à court et moyen terme.
Le cloud et la multiplication des journées de télétravail obligent également les entreprises à organiser leur travail dématérialisé et à offrir un service de protection maximal. De nombreuses entreprises françaises mettent au point des services utilisant le cloud et tentent d’utiliser des serveurs nationaux ou européens qui répondent aux exigences nationales et/ou européennes quant à la sécurité. Les codes d’authentification doivent se multiplier raisonnablement dans le cadre professionnel afin d’ajouter une sécurité supplémentaire et d’appliquer ces bonnes pratiques.
La protection des petites structures
Les attaques cybercriminelles se multiplient. TV5 Monde est victime d’une cyberattaque en 2015 qui se manifeste par l’arrêt de la diffusion de ses programmes et par la publication de messages de soutien à l’État islamique. En décembre 2019, Marie-Christine Saragosse, PDG de France Médias Monde, alerte sur les menaces qui pèsent sur la sécurité des médias. Elle révèle que son groupe est victime de plusieurs centaines de milliers de tentatives d’intrusion par jour. Un an plus tard, c’est France Télévisions qui annonce être touchée par un virus informatique sans que ses services de diffusion ne soient impactés.
Face à ces menaces, les grandes entreprises peuvent compter sur leur service de cybersécurité qui est composé de professionnels qualifiés à haut niveau de salaire. Les grandes entreprises peuvent payer les services d’un pentester dont le rôle est de contrôler la sécurité des applications et des réseaux informatiques. Son objectif est de réaliser des attaques contrôlées afin de repérer les failles de sécurité du système.
Les plus petites entreprises, elles, doivent se protéger de ces attaques avec des moyens financiers limités. Pour Gérôme Bouda, cocréateur de la plate-forme de vidéo à la demande Allindí, il était impossible d’engager un professionnel en cybersécurité. La plate-forme se tourne alors vers un prestataire qui gère les données, Okast. Ce service permet d’obtenir une solution tout-en-un pour lancer une plate-forme de vidéo en ligne (hébergement cloud, encoding et transcoding et chiffrement des données). Ces services clefs en main se multiplient (Kinow, VOD factory, Cinemur, etc.) et permettent aux petites structures de s’affranchir des contraintes de mise en place d’un service de cybersécurité en interne. « Nous avons juste à gérer la mise en ligne des films, et à organiser la plate-forme. Nous n’avons pas accès aux mots de passe, eux [Okast] non plus. Tout est crypté », explique Gérôme Bouda.
Le coût technique et la surveillance technique représentent environ 20 % du budget annuel de la plate-forme. La sécurisation doit également s’appliquer au réseau interne de l’entreprise. Ces deux niveaux de sécurisation sont distincts : l’un est géré par Okast, l’autre par l’entreprise. Certains cas nécessitent un traitement particulier en fonction des demandes des producteurs. Ces derniers sont soucieux du fonctionnement de la plate-forme et peuvent demander à ce qu’une seule personne ait accès au fichier au sein même de l’entreprise. L’objectif est de proposer un service qui s’attache à avoir un circuit précautionneux.
Parallèlement, en tant que SMAD (Service de Média Audiovisuel à la Demande), Allindí est amenée à coproduire des films. La chronologie des médias impose un calendrier de sortie de l’œuvre bien précis que ce soit au cinéma, à la télévision ou sur la plate-forme. « On ne veut surtout pas que le film puisse sortir avant sa première diffusion à la télévision. […] On veille à ce que les créateurs soient sensibilisés. C’est compliqué de refuser au réalisateur de partir avec une copie du film, mais là il s’agit surtout de discussions plus que de cybersécurité », précise Gérôme Bouda.
Pour les petits producteurs, il peut être difficile d’engager des frais importants en cybersécurité. Cet investissement paraît parfois être une hérésie économique si le film est peu visible.
La lutte contre le piratage
Si la protection en cybersécurité n’a pas suffi à protéger l’œuvre d’une diffusion illicite, la lutte contre le piratage se met en place. En France, cela est géré par l’Arcom (fusion d’Hadopi et du CSA) qui assure notamment le rôle de protection des œuvres audiovisuelles. L’Arcom veille à vérifier l’efficacité des systèmes de reconnaissance de contenu des GAFAs. Le producteur doit penser à faire des empreintes de ses œuvres afin qu’elles soient reconnues par les plates-formes comme YouTube et qu’il soit possible d’en bloquer la diffusion une fois le piratage détecté. L’outil Copyright Match Tool permet d’identifier automatiquement les correspondances potentielles avec d’autres vidéos et d’envoyer une demande de suppression pour atteinte aux droits d’auteur.
Une des nouvelles missions de l’Arcom est consacrée au piratage des contenus sportifs. La législation a évolué, ce qui était possible jusqu’à présent quant aux droits d’auteurs ne l’était pas forcément pour des événements sportifs car ils dépendaient du code du sport et pas du code de la propriété intellectuelle. Peu de solutions étaient possibles, mais l’accompagnement de l’Arcom a permis de créer des textes dans le code du sport afin de pouvoir lutter contre la diffusion illicite des contenus sportifs. Un nouveau dispositif de blocage de sites a permis de diminuer de moitié l’audience de cette diffusion illicite. Cela s’inscrit dans la mise en place de la loi anti-piratage effective depuis début 2022.
L’Arcom a la possibilité de demander directement aux fournisseurs Internet de bloquer l’accès aux sites Internet illégaux. Les sites opensource sont similaires aux sites pirates classiques. L’enjeu est cependant différent car dans le domaine du sport en live il est regroupé au moment de la diffusion du match contrairement aux autres œuvres qui doivent faire l’objet d’une attention quotidienne. L’objectif à l’avenir est d’inciter les titulaires de droit et les fournisseurs d’accès à s’entendre pour mettre en place des solutions. L’Arcom joue le rôle d’intermédiaire entre les titulaires et les fournisseurs d’accès. Le projet de loi de finance de 2023 prévoit un budget en augmentation et des recrutements afin de permettre à l’Arcom de poursuivre ses missions.
L’ALPA (Association de Lutte contre la Piraterie Audiovisuelle) travaille également dans la lutte contre la contrefaçon sous toutes ses formes en collaboration avec l’Arcom et les services judiciaires, la gendarmerie et la police. Ensemble, ils réalisent des enquêtes notamment auprès des cinémas pour lutter contre l’enregistrement vidéo du film projeté en salle. Ils interviennent directement avec les producteurs et les ayant droits. À leur initiative, huit services illégaux de télévision par Internet (IPTV) ont été bloqués en 2020.
La sensibilisation des professionnels à la cybersécurité et au piratage permet de partager les bonnes pratiques et de limiter les risques. Les experts ne doivent pas être les seuls conscients des risques, il est essentiel que chacun mette en place les bons gestes afin de développer la sécurité numérique. De nombreuses formations en ligne sont disponibles pour les néophytes, notamment sur le site de l’ANSSI, afin de sensibiliser les utilisateurs aux risques auxquels ils s’exposent. La prise de conscience de ce qu’est la cybersécurité est le premier pas vers la mise en place de systèmes de protection adaptés.
Article paru pour la première fois dans Mediakwest #50, p. 116-119
