Leçons de gestion de crise et le rôle des avocats à partir de la fuite d'informations de Capcom
La fuite d’informations de Capcom survenue en novembre 2020 (année 2 de l’ère Reiwa) était due à un ransomware sur mesure, avec la possibilité d’une fuite de jusqu’à 390 000 informations personnelles.
Il est bien sûr préférable qu’un incident ne se produise pas, et il est d’abord important de mettre en place un système pour l’éviter. Cependant, quel que soit le système mis en place, il est impossible de réduire complètement la probabilité d’occurrence à zéro.
Si un tel incident se produit, quelles mesures et enquêtes devraient être menées immédiatement après, et à quel moment et comment devraient-elles être annoncées ?
Dans cet article, nous examinerons la fuite d’informations de Capcom du point de vue de la gestion de crise face à un “incident de fuite d’informations personnelles causé par un malware”, afin d’apprendre le système de gestion de crise approprié à partir de la réponse de l’entreprise, en expliquant chronologiquement.
※Un avocat a une obligation de confidentialité stricte en vertu de la loi japonaise sur les avocats pour les affaires dans lesquelles il est personnellement impliqué en tant qu’avocat. Cet article exprime l’opinion de l’avocat sur la base d’informations publiquement disponibles sur des incidents passés auxquels notre cabinet n’a pas été impliqué.
Découverte de l’incident et premières réponses
L’incident a été confirmé le 2 novembre 2020.
À ce stade, une panne de connexion au système interne a été confirmée, et des mesures ont été prises pour isoler le système et comprendre l’étendue des dommages.
Le même jour, il a été découvert que la cause de la panne était le chiffrement des fichiers sur les appareils du réseau dû à une attaque de ransomware.
Un message de menace d’un groupe se faisant appeler “Ragnar Locker” a été découvert sur les terminaux affectés.
À ce stade, Capcom a signalé l’incident à la police de la préfecture d’Osaka et a demandé l’aide d’entreprises externes pour la récupération.
Lorsqu’un incident se produit, il est évidemment nécessaire pour la continuité des activités de l’entreprise de se précipiter pour rétablir le système. Cependant, si une attaque de ransomware est confirmée, il est très probable qu’il s’agisse d’un accès non autorisé, une action interdite par la loi japonaise sur l’interdiction de l’accès non autorisé.
Avant que la fuite d’informations confidentielles, y compris les informations personnelles, ne soit confirmée, et avant que la voie d’intrusion ne soit identifiée, il est important de signaler rapidement l’incident à la police.
Gestion de crise avant la révélation d’une fuite d’informations
Et le lendemain de l’incident, le 4 novembre, Capcom a publié son premier communiqué de presse intitulé “Annonce concernant l’incident du système dû à un accès non autorisé”.
Nous avons confirmé que cet incident est dû à un accès non autorisé par un tiers, et nous avons partiellement suspendu le fonctionnement de notre réseau interne à partir de ce jour. Nous nous excusons profondément pour les grands désagréments que cela cause à toutes les parties concernées. De plus, à ce stade, aucune fuite d’informations client n’a été confirmée.
Annonce concernant l’incident du système dû à un accès non autorisé [ja]
À ce stade, il s’agit simplement d’un “incident du système” dû à un “accès non autorisé”, et aucune fuite d’informations n’a encore été révélée.
Communiqué de presse suite à la découverte d’une fuite d’informations
Nombre de données personnelles potentiellement divulguées, etc.
La fuite d’informations a été découverte le 12 novembre.
Il a été confirmé que des informations personnelles de 9 individus et certaines informations d’entreprise ont été divulguées.
Le lendemain, Capcom a demandé à une grande entreprise spécialisée en sécurité de mener une enquête pour déterminer la cause, et le 16 novembre, ils ont publié un communiqué de presse confirmant la fuite d’informations.
À ce stade, ils ont distingué :
- Les informations dont la fuite a été confirmée
- Les informations qui pourraient avoir été divulguées
Et pour chacune d’elles, ils ont distingué :
- Les informations personnelles (clients, partenaires commerciaux, etc.)
- Les informations personnelles (employés et parties concernées)
- Les informations d’entreprise (informations sur les ventes, informations sur les partenaires commerciaux, documents commerciaux, documents de développement, etc.)
Et ils ont publié le nombre approximatif de chaque catégorie.
À ce stade, ils ont annoncé qu’il y avait une possibilité que “jusqu’à environ 350 000 informations personnelles de clients aient été divulguées”.
Existence et mesures prises concernant la fuite d’informations de cartes de crédit
En même temps, ils ont déclaré :
Cependant, notre entreprise sous-traite tous les paiements pour les ventes en ligne, etc., donc nous ne détenons pas d’informations de carte de crédit, et aucune information de carte de crédit n’a été divulguée.
Annonce et excuses concernant la fuite d’informations due à un accès non autorisé[ja]
Et ils ont également mentionné l’existence ou non de la fuite d’informations de carte de crédit, et en outre, ils ont publié des informations sur :
- Les mesures prises à l’égard des personnes dont les informations personnelles ont été confirmées comme ayant été divulguées et celles qui pourraient l’avoir été
- Le déroulement de la découverte et des mesures prises
- Les mesures à prendre à l’avenir
Et ils ont publié ces informations.
Conseils et recommandations d’avocats externes, etc.
Dans le communiqué de presse, ils ont également déclaré :
Nous avons signalé la situation à une grande entreprise de logiciels, à un grand fournisseur spécialisé en sécurité et à un avocat externe expert en cybersécurité, et nous avons obtenu des conseils et des recommandations. Nous avons commencé à contacter les personnes dont les informations ont été confirmées comme ayant été divulguées et les parties concernées, et nous continuerons à enquêter sur les informations qui pourraient avoir été volées.
Annonce et excuses concernant la fuite d’informations due à un accès non autorisé[ja]
Et ils ont fait cette déclaration.
De plus, un “centre de contact pour les informations personnelles” et un “centre de contact dédié à la fuite d’informations de Capcom” ont été mis en place, avec un numéro de téléphone gratuit pour les “demandes de renseignements des utilisateurs de jeux” et le “centre de contact général”.
Et il a fallu 4 jours depuis la découverte de la fuite d’au moins certaines informations jusqu’à la publication du communiqué de presse annonçant la fuite d’informations.
On peut supposer que cette période était nécessaire pour vérifier les informations détaillées mentionnées ci-dessus et prendre des décisions concernant les mesures à prendre à l’avenir.
Fuite d’informations personnelles et gestion de crise
Contrairement au premier rapport sur la “panne du système”, le deuxième rapport indiquant qu'”un maximum de 350 000 informations personnelles de clients pourraient avoir été divulguées” est repris par plusieurs médias.
Capcom a subi une attaque d’accès non autorisé par un ransomware sur mesure provenant d’un tiers, ce qui a entraîné une fuite d’informations personnelles détenues par le groupe de l’entreprise. Au 16 novembre, les informations susceptibles d’avoir été divulguées comprennent jusqu’à environ 350 000 éléments, y compris les clients et les fournisseurs. Il est également possible que des documents commerciaux et de développement aient été divulgués.
Capcom, fuite d’informations personnelles de 350 000 personnes suite à un accès non autorisé “Pas de problème pour jouer au jeu” – BCN+R[ja]
Cependant, comme des informations telles que “les circonstances de la découverte et de la réponse” et “la réponse future” ont également été publiées lors du communiqué de presse, l’article ci-dessus conclut avec des phrases telles que “À l’avenir, nous prévoyons de collaborer avec les autorités policières et de créer une nouvelle organisation consultative sur la sécurité des systèmes par des experts externes pour prévenir la récidive. Il n’y a pas de risque que les dommages s’étendent aux utilisateurs ou à l’extérieur de l’entreprise par l’accès à Internet pour jouer à nos jeux ou à notre site Web. De plus, pour les utilisateurs qui pourraient avoir divulgué des informations personnelles, nous les appelons à faire attention car ils pourraient recevoir du courrier inattendu ou des contacts suspects.”
Dans un communiqué de presse après la découverte d’une fuite d’informations personnelles, il est important de divulguer des informations assez complètes, y compris “les circonstances de la découverte et de la réponse” et “la réponse future”, comme mentionné ci-dessus.
Et, au moment de la découverte de la fuite d’informations personnelles,
- Grande entreprise de logiciels
- Grand fournisseur spécialisé en sécurité
- Avocat externe expert en cybersécurité
Il est important de former une équipe d’experts externes comme ceux mentionnés ci-dessus et de procéder parallèlement à des mesures purement informatiques telles que l’identification des causes, la communication avec les clients dont la fuite d’informations a été confirmée, et la gestion des relations publiques en cas de crise.
De plus, dans le cas d’une entreprise cotée en bourse, il est nécessaire d’expliquer la situation aux actionnaires dans le cadre de cette gestion des relations publiques en cas de crise.
Possibilité de fuite d’informations sur les candidats à l’embauche
De plus, dans le communiqué de presse publié, parmi les informations susceptibles d’avoir été divulguées et les données personnelles (clients, partenaires commerciaux, etc.) jusqu’à environ 350 000 cas, il y avait une rubrique “Informations sur les candidats à l’embauche (environ 125 000 cas)”. En relation avec cela, Capcom avait indiqué sur son site de recrutement qu’il procéderait à la destruction, ce qui a soulevé des questions sur les réseaux sociaux.
Concernant les informations sur les candidats, Capcom avait indiqué sur son site de recrutement que “les documents de candidature des personnes qui n’ont pas été retenues à l’issue de la sélection, ou qui ont refusé l’offre d’emploi, seront détruits en toute responsabilité par notre société après la sélection”. Le fait que les informations personnelles qui auraient dû être détruites ne l’ont pas été a suscité des interrogations sur la réponse de l’entreprise sur Twitter. Capcom a expliqué qu’il “avait numérisé les CV des candidats et les avait conservés pendant une certaine période”. “Il n’y avait pas de mention de la numérisation, et l’expression était insuffisante, ce qui a conduit à des malentendus. Nous nous excusons”, a déclaré l’entreprise. Concernant la raison de la conservation, il a expliqué que “certains candidats postulent plusieurs fois. C’était pour vérifier facilement l’historique des candidatures précédentes”. Quant à savoir si toutes les données des candidats étaient conservées, il a déclaré que “c’est inconnu à ce stade”.
Capcom, ne détruit pas les documents de candidature des candidats non retenus. Bien qu’il soit indiqué sur la page de recrutement que “nous détruisons avec responsabilité”, il y a une possibilité de fuite d’informations en raison d’une cyberattaque – ITmedia NEWS[ja]
Il n’est pas clair si Capcom avait prévu que de telles questions seraient soulevées, mais si des informations qui ne devraient pas exister (et dont on peut penser qu’il est inévitable qu’elles soient considérées comme telles) existent au sein de l’entreprise et qu’il y a une possibilité qu’elles aient été divulguées, il aurait été préférable de publier un communiqué de presse après avoir examiné ce problème à l’avance.
Lancement du Comité de Surveillance de la Sécurité, y compris des avocats
Publication du troisième communiqué de presse
De plus, Capcom a organisé une réunion préparatoire le 21 décembre pour la création d’un “Comité de Surveillance de la Sécurité” en tant qu’organisation consultative sur la sécurité des systèmes par des experts externes.
Le 12 janvier de l’année suivante (2021), ils ont publié leur troisième communiqué de presse intitulé “Annonce et excuses concernant la fuite d’informations due à un accès non autorisé【3ème rapport】”,
Il a été confirmé que les informations de 16 406 personnes supplémentaires ont fuité, portant le total depuis le début de cet incident à 16 415 personnes. De plus, il a été révélé que le nombre maximum de personnes dont les informations personnelles pourraient avoir fuité, y compris nos clients et partenaires commerciaux externes, est d’environ 390 000 personnes (une augmentation d’environ 40 000 par rapport à la dernière fois).
Des informations mises à jour sont publiées à mesure que l’enquête progresse. De plus, en plus de confirmer qu’aucune information de carte de crédit n’a été divulguée,
Concernant la connexion Internet et les achats par téléchargement nécessaires pour jouer à nos jeux, nous n’utilisions pas le système qui a été attaqué cette fois, mais nous utilisions un service externalisé ou un serveur externe séparé, et c’est toujours le cas. Par conséquent, la connexion Internet et les achats par téléchargement nécessaires pour jouer à nos jeux n’ont rien à voir avec l’attaque cybernétique sur notre système cette fois, et il n’y a aucun dommage pour nos clients.
Annonce et excuses concernant la fuite d’informations due à un accès non autorisé【3ème rapport】 | Capcom Co., Ltd. [ja]
Cela a également été noté.
Sur la possibilité de fuite d’informations personnelles des candidats à l’embauche
De plus, à cette occasion, en tant que “nouvelles informations dont la fuite a été confirmée”, la possibilité de fuite d’informations personnelles de “environ 58 000 candidats à l’embauche” mentionnés ci-dessus, spécifiquement “un ou plusieurs des éléments suivants : nom, adresse, numéro de téléphone, adresse e-mail, etc.” a été annoncée.
À ce sujet,
Concernant les informations sur les candidats, il a été révélé en novembre que l’entreprise conservait les informations après la sélection sans les détruire, en relation avec l’attaque cybernétique contre l’entreprise. À l’origine, il était indiqué sur le site de recrutement “Concernant le traitement des informations personnelles” que “Après la sélection, nous les détruirons de manière responsable”. Ensuite, en décembre 2020, ils ont ajouté la phrase “En raison de l’acceptation des réapplications, nous pouvons conserver les données des documents de candidature, qui sont des versions numérisées des documents papier que nous avons reçus, pendant une certaine période pour des fins telles que la vérification en douceur des candidatures précédentes”. Selon l’entreprise, “Les informations personnelles des candidats sont toujours stockées dans notre système interne, et l’opération n’a guère changé avant l’accès non autorisé.
Capcom confirme la fuite d’informations personnelles de 16 000 personnes, et révèle également la possibilité de fuite de 58 000 autres personnes lors de l’attaque cybernétique de novembre 2020 – ITmedia NEWS[ja]
Un tel rapport a été fait.
Gestion de crise basée sur les résultats de l’enquête
Publication du quatrième communiqué de presse
Par la suite, Capcom a tenu la première réunion du Comité de surveillance de la sécurité le 18 janvier, la deuxième le 25 février et la troisième le 26 mars, à un rythme mensuel. De plus, le 31 mars, ils ont reçu un rapport d’enquête d’une grande entreprise spécialisée en sécurité et un rapport d’une grande entreprise de logiciels.
En réponse à cela, le 13 avril, ils ont publié le quatrième communiqué de presse intitulé “Rapport sur les résultats de l’enquête concernant l’accès non autorisé【4ème rapport】”.
Dans ce communiqué, ils ont donné une explication technique détaillée basée sur les rapports mentionnés ci-dessus, concernant le “déroulement de la réponse”, “la cause et l’étendue de l’impact du dommage”, et “les mesures de renforcement de la sécurité pour prévenir la récurrence”. De plus, ils ont mentionné des mesures organisationnelles, telles que la création d’un comité de surveillance de la sécurité comprenant un avocat spécialisé dans la cybersécurité et la loi japonaise sur la protection des informations personnelles.
Rapports et réponses concernant la rançon
Entre-temps, le 1er mars, il a été rapporté que le groupe de cybercriminels “Ragnar Locker” avait demandé une rançon d’environ 1,15 milliard de yens à Capcom.
Le groupe de cybercriminels “Ragnar Locker” a publié des fichiers qu’il prétend avoir volés à des entreprises sur son propre site web et a demandé une rançon de 11 millions de dollars en Bitcoin (environ 1,15 milliard de yens), mais Capcom a refusé de payer à ce stade.
Capcom refuse de payer 1,15 milliard de yens ! Pourquoi il ne faut pas payer de rançon en cas de dommages causés par un ransomware | Mesures de sécurité à l’ère du télétravail | Diamond Online[ja]
En réponse à cela, dans le quatrième communiqué de presse mentionné ci-dessus, ils ont également déclaré à propos de la rançon,
Concernant la connaissance du montant de la rançon
Rapport sur les résultats de l’enquête concernant l’accès non autorisé【4ème rapport】 | Capcom Co., Ltd.[ja]
Un fichier de message de l’attaquant a été laissé sur l’équipement infecté par le ransomware, et il est vrai que nous avons été invités à prendre contact en vue de négociations avec l’attaquant, mais le fichier ne mentionnait pas le montant de la rançon. Comme nous l’avons déjà rapporté, nous avons décidé de ne pas négocier avec l’attaquant après consultation avec la police, et en réalité, nous n’avons pas du tout pris contact (voir le communiqué de presse du 16 novembre 2020), donc nous ne connaissons pas le montant.
Il semble que cela soit une réponse au fait qu’un montant spécifique de “1,15 milliard de yens” a été mentionné dans les rapports ci-dessus et d’autres.
Publication sur les sites web associés
De plus, Capcom a également publié des pages telles que
[Suivi] Annonce concernant la panne du système du groupe
Nous vous remercions de votre utilisation régulière de “Capcom Online Games (COG)”. Nous avons publié les dernières informations concernant la panne du système du groupe due à un accès non autorisé de la part d’un tiers à notre système de groupe depuis le début du 2 novembre 2020. Veuillez vérifier les détails ici. Détails de l’annonce | Capcom Online Games
sur des sites autres que leur propre site corporatif, tels que “CAPCOM: Shadaloo Combat Research Institute” (site lié à Street Fighter 5) et “CAPCOM ONLINE GAMES”.
Comme il a été révélé à un stade précoce que cette fuite d’informations était due à “l’externalisation ou l’utilisation d’un serveur externe” et qu’il n’y avait “aucun lien entre l’attaque cybernétique sur notre système et l’utilisation d’une connexion Internet pour jouer à des jeux ou l’achat de téléchargements, et qu’il n’y a pas de dommages pour les clients”,
On pense qu’ils ont de nouveau publié des communiqués sur chaque site à l’occasion de la publication des résultats de l’enquête, afin de ne pas causer d’inquiétude aux utilisateurs.
Résumé
Comme nous l’avons vu, dans les cas où une fuite massive de données personnelles s’est produite, il est important de :
- Signaler rapidement l’incident à la police
- Préparer un système pour rapporter la situation à des experts externes tels que des “avocats spécialisés en cybersécurité” et obtenir des conseils et des directives
- Gérer la communication de crise par l’équipe ci-dessus
Et, une fois qu’une certaine quantité d’informations a été recueillie, il est important de :
- Former un comité de surveillance de la sécurité comprenant des avocats
Il est donc crucial de gérer la crise de manière rapide et organisée.