La cyberattaque contre MGM
La cyberattaque contre MGM

La cyberattaque contre MGM Resorts : ce qu'il faut savoir (et ce que cela implique pour votre stratégie de gestion des risques)

Vivian Susko |

Cette semaine encore, l'économie mondiale s'est effondrée. hospitalitéMGM Resorts, société de casinos et de divertissements a signalé une cyberattaque de grande ampleur qui a eu des répercussions sur ses systèmes d'exploitation, provoquant des interruptions dans les salles de casino, les systèmes de réservation, les systèmes de courrier électronique, etc. Même les systèmes de cartes-clés électroniques de l'hôtel sont tombés en panne, empêchant de nombreux clients d'accéder à leur chambre. 

L'attaque a touché une poignée de propriétés de MGM à travers les États-Unis, ainsi que certains de ses casinos les plus renommés à Las Vegas, comme le Mandalay Bay, le Cosmopolitan et le Bellagio. Alors que les casinos sont de nouveau en ligne, les systèmes de réservation de la société sont toujours hors service, plus d'un jour après le premier rapport sur l'incident en cours. 

Bien que cette attaque ait été une surprise pour beaucoup, était-ce écrit sur le mur ? Peut-on s'attendre à ce qu'il s'agisse d'un incident isolé ? Voyons cela de plus près.

La cyberattaque de MGM : quel est l'impact ?

Depuis la première détection de la cyberattaque dans la soirée du dimanche 10 septembre, l'organisation a lancé une enquête avec l'aide d'experts externes en cybersécurité.

cyberattaque contre les centres de villégiature de la MGM

"Nous avons rapidement ouvert une enquête". MGM a rapporté lundi sur X (anciennement Twitter). "Nous avons également informé les forces de l'ordre et pris des mesures rapides pour protéger nos systèmes et nos données, y compris l'arrêt de certains systèmes".

Les pirates auraient utilisé les informations de LinkedIn pour usurper l'identité d'un employé et manipuler des informations sensibles auprès d'un autre.

Le FBI a indiqué qu'il était au courant de l'incident et que l'enquête se poursuivait. En attendant, voici un aperçu des retombées : 

  • Le site web de MGM a été remplacé par une page d'accueil temporaire conseillant aux visiteurs de contacter directement leurs hôtels ou casinos par téléphone.
  • Les systèmes de réservation de MGM sont toujours en panne 
  • Les actions de MGM ont clôturé en baisse de près de 2,4% lundi.

Comme le montre ce scénario, les cyberattaques n'ont pas seulement un impact sur les temps d'arrêt d'une organisation, elles ont aussi un impact direct sur la façon dont les investisseurs et les clients interagissent avec votre entreprise). C'est pourquoi, même dans un contexte de restrictions budgétaires et de problèmes de personnel, il n'a jamais été aussi important de aligner votre feuille de route en matière de gestion des cyberrisques sur les objectifs fondamentaux de votre organisation (et sur vos résultats). C'est également la raison pour laquelle les organisations se tournent vers des technologies basées sur l'automatisation (comme le Alyne de Mitratech) de s'engager rapidement sur la voie d'une meilleure visibilité et d'une plus grande confiance pour leurs parties prenantes, grâce à des capacités de suivi, de quantification et de reporting en continu.

Les cyberattaques contre le commerce de détail, l'hôtellerie et l'accueil : une préoccupation qui n'est pas nouvelle, mais qui évolue

Ce n'est pas le premier incident de cybersécurité signalé par MGM ; il y a tout juste trois ans, en 2020, plus de 10 millions de visiteurs de MGM ont vu leurs données exclusives fuir sur un forum de piratage. D'autres chaînes hôtelières ont connu les mêmes frustrations. Il y a plus longtemps encore, la chaîne hôtelière Marriott a révélé une violation massive qui a exposé les données de près d'un demi-milliard de clients en 2018

Le secteur de l'hôtellerie et de la restauration n'est pas le seul à être menacé par ces attaques. Bulletin mensuel des menaces de mars 2023 a récemment fait état d'une augmentation de 91% des attaques de ransomware en mars 2023 par rapport à février 2023 et d'une augmentation de 62% d'une année sur l'autre par rapport aux données de mars 2022.

La réalité est la suivante : toute organisation ou industrie traitant des données sensibles et exclusives (ce qui est le cas de la quasi-totalité d'entre elles) court un risque plus élevé de subir une cyberattaque ou une violation dans l'environnement cybernétique d'aujourd'hui. 

Il existe toujours un fossé évident entre les mauvais acteurs d'aujourd'hui et le système de gestion des risques d'une entreprise. Comme l'a expliqué Bob Maley, RSSI chez Black Kite Technology, lors d'un récent webinaire (et notre dernier livre électronique), les mauvais acteurs sont plus agiles que les organisations pour "observer, orienter, décider et agir". La gestion du risque doit donc devenir un processus en perpétuel mouvement - et les entreprises doivent considérer le risque moins comme un incident isolé et inattendu pouvant survenir à un moment précis, mais plutôt comme un élément de la structure d'un environnement continu et en constante évolution, qui exige une vigilance permanente. 

Faire passer votre gestion des risques de la réactivité à la résilience - et la mesurer

Pour développer votre stratégie de gestion des risques et en faire un processus que vous pouvez améliorer (et mesurer) en permanence, vous devrez intégrer davantage de personnes dans votre organisation, partager constamment de nouvelles informations au fur et à mesure qu'elles sont disponibles et rester agile grâce à la technologie basée sur l'automatisation.  

La clé de la réussite d'une stratégie de gestion des risques implique un changement d'état d'esprit, où les menaces ne sont plus considérées comme des surprises, mais plutôt comme des événements attendus qui affectent chaque entreprise. Pour faire face à ce changement, les entreprises stratégiques utilisent des technologies de gestion des risques qui associent l'apprentissage automatique à une vigilance constante afin d'aider les utilisateurs à identifier, atténuer et rendre compte des risques. 

Recherchez les technologies qui peuvent vous aider :

  • Identifier et atténuer les risques de manière proactive 
  • Contrôler en permanence
  • Quantifier les risques grâce à un moteur de simulation intégré 
  • Rapport sur les nouveaux modèles de risque 
  • Tirer parti de l'évaluation des cyberrisques 
  • Aligner les cadres réglementaires pour assurer la conformité 
  • Étendre les pratiques à des tiers

Améliorez votre programme GRC dès aujourd'hui !

Contactez notre équipe pour toute question, planifier une démonstration ou en savoir plus sur les solutions GRC de Mitratech.

CONTACTEZ-NOUS