Shawnee Delaney (à g.), PDG du groupe Vaillance, une ancienne espionne militaire, a averti les casinos que les menaces à la sécurité peuvent survenir de l’intérieur et de l’extérieur. Des évaluations de vulnérabilité et une formation solides sont donc indispensables.
La World Game Protection Conference a récemment eu lieu au Tropicana Las Vegas. Parmi les orateurs figurait Shawnee Delaney, PDG du groupe Vaillance, un ancien officier clandestin de la Defense Intelligence Agency qui a mené des opérations de renseignement humain en Irak et en Afghanistan. Delaney a discuté des vulnérabilités de sécurité auxquelles sont confrontés les casinos.
Elle a déclaré : « Vous vous demandez peut-être ce qu’un ancien espion fait ici aujourd’hui et ce que l’espionnage a à voir avec la sécurité et la cybersécurité. Beaucoup. Les espions, les ingénieurs sociaux et autres acteurs malveillants utilisent tous exactement les mêmes techniques pour avoir accès à vous et à votre personnel, vos systèmes et votre réseau.
Delaney a noté que les casinos dépendent de tiers pour les services, ce qui oblige les pirates à accéder aux casinos via des systèmes tiers. En fait, elle a déclaré que 51% des entreprises de l’industrie du jeu pensent avoir été victimes d’une violation de données causée par un tiers. « Les menaces de tiers sont les plus souvent négligées. Pouvez-vous contrôler qui ils embauchent et s’ils ont suivi une formation ? Vous n’avez aucun contrôle sur ces tiers et c’est quelque chose que vous allez devoir évaluer », a déclaré Delaney.
Elle a également expliqué comment les casinos utilisent les connexions Internet pour les appareils portables, les caméras, les détecteurs de mouvement, la technologie de suivi de la consommation, les jetons de casino traçables et l’enregistrement et la sortie des hôtels. Delaney a déclaré qu’un hôtel-casino avait été piraté via la connexion Internet de son aquarium. « Vous n’auriez jamais pensé qu’un thermomètre pour un aquarium serait exploitable. Les pirates sont entrés, ont perturbé le réseau, ont tout pris et l’ont transféré dans le cloud. Intégrité, confidentialité, disponibilité, tout est parti.
Les jeux en ligne sont également une cible de choix pour les pirates qui accèdent aux comptes clients et volent des coordonnées bancaires et d’autres données personnelles. Les dommages s’étendent aux enquêtes et au triage coûteux, ainsi qu’à la couverture médiatique négative. Lorsque le Las Vegas Sands et le Hard Rock Hotel & Casino ont été piratés il y a dix ans, ils ont perdu au total plus d’un milliard de dollars sur les sites Web de jeux et les réseaux opérationnels. Les pirates de Sands, liés au gouvernement iranien, ont obtenu des informations sur les revenus, le personnel et les clients, a déclaré Delaney.
Elle a également mentionné les piratages de 2014 du Venetian et du Palazzo, propriété des Sands, entraînant des pertes de 40 millions de dollars, car des sites Web ont été piratés et supprimés et des informations personnelles sur le personnel et des clients de haut niveau ont été prises. Delaney a également noté que BetMGM et DraftKings avaient été piratés à la fin de l’année dernière, avec plus de 2 millions de comptes proposés à la vente sur le dark web.
Delaney a déclaré que les menaces les plus répandues existent généralement au sein d’une organisation, notamment la fraude, le sabotage, l’espionnage et le vol de propriété intellectuelle et de secrets commerciaux. La violence au travail doit également être prise en compte. Les employés peuvent être dupés ou manipulés pour révéler leurs informations d’identification aux pirates, a déclaré Delaney. En fait, lorsque la pandémie de Covid-19 a commencé, les sociétés de jeux ont connu une « augmentation significative » des fraudes d’initiés et des vols de propriété intellectuelle.
Delaney a noté: «Les gens, je pense, couvraient leurs paris. Il y a eu beaucoup de pertes d’emplois et une tonne de licenciements, en particulier dans le secteur de la technologie. Les gens s’inquiétaient vraiment de la façon dont ils allaient subvenir aux besoins de leur famille. Alors, ils ont empoché des trucs, que ce soit de l’argent ou de la technologie.
Étonnamment, plus de femmes que d’hommes commettent des fraudes, a déclaré Delaney. Elle a expliqué que la fraude est généralement commise par du personnel de niveau inférieur et des personnes peu sophistiquées, motivées par un faible salaire, la frustration au travail, le manque de loyauté, la dette, la dépendance, la vengeance et un environnement de travail hostile. Cela se produit principalement pendant les heures de bureau, a déclaré Delaney.
Les initiés malveillants qui commettent de l’espionnage ou du sabotage informatique sont principalement des hommes ingénieurs ou scientifiques occupant des postes techniques et un accès privilégié, a déclaré Delaney. Ces menaces représentent environ 10 % des cas et surviennent après les heures de bureau, entraînant une interruption des activités environ 75 % du temps. Les motivations incluent le gain financier, la politique, la dépendance, les revenus et le pouvoir.
Delaney a déclaré que les casinos doivent créer un solide programme de menaces internes, mener des évaluations de la vulnérabilité des menaces et instituer une formation et une sensibilisation dans toute l’entreprise. « Construisez des campagnes de sensibilisation, faites des formations, faites des vidéos hollywoodiennes et faites du microlearning. Faites tout ce que vous avez à faire. Il y a un retour sur investissement. Vous ne voulez pas attendre jusqu’à ce qu’il y ait un horrible incident d’aquarium », a-t-elle averti.
