Victime d’une cyberattaque, un DSI raconte : « Nous ne sommes pas préparés »

Temps de lecture : 6 minutes

Le nombre de cyberattaques ne cesse d’augmenter @clesdudigitalLe nombre de cyberattaques ne cesse d’augmenter. Parmi les dernières victimes, Camaïeu a du mettre à l’arrêt son site de vente en ligne pendant plusieurs jours tandis que certains services sont restés toujours perturbés deux semaines après cette intrusion malveillante. Comment se déroule ces attaques et comment réagir ? Un DSI dont l’entreprise a été ciblée par des hackers il y a un peu plus d’un an, raconte.

Le 14 juin dernier, le site de vente en ligne Camaïeu a repris son activité après plus d’une semaine d’arrêt, avec cependant une version toujours incomplète puisque certains des services comme la e-réservation, la livraison en magasin et le lien avec les comptes fidélité étaient en cours de réinstallation et de vérification quinze jours après. Impossible d’effectuer un retour en boutique ou d’utiliser une carte cadeau. La marque a fait preuve de transparence en indiquant qu’elle était victime d’une cyberattaque ciblant directement l’enseigne et plus précisément son site e-commerce et son système informatique. «Soyez rassurées, cela n’a pas d’impact sur les données bancaires ou de paiement que vous nous auriez transmises», a-t-elle précisé sur son site ou elle a également ouvert une FAQ reprenant les principales questions que la clientèle pouvait se poser et ou est affiché le numéro de téléphone du service relation clients pour des demandes plus précises.

Les logiciels malveillants sont les plus utilisés

L’enseigne est désormais à comptabiliser parmi les nombreuses victimes de cyberattaques. Celles-ci ont augmenté de 33 % dans le monde depuis l’année dernière selon Atal VPN. Le nombre total d’attaques malveillantes est passé de 538 au premier trimestre 2020 à 713 au premier trimestre 2021. «Les logiciels malveillants restent l’une des techniques les plus utilisées pour les cyberattaques, représentant 32 % de toutes les techniques d’attaque. Les attaques inconnues étaient les deuxièmes plus utilisées au premier trimestre de cette année, avec 22 % et la technique de prise de contrôle de compte (ATO) a été utilisée dans 14 % de toutes les cyberattaques lors de cette période», précise le rapport.

Récemment c’est aussi l’Anssi (l’Agence nationale de la sécurité des systèmes d’information) qui a rendu son rapport d’activité 2020 indiquant qu’elle a reçu 2287 signalements pour 759 incidents déclarés dont sept majeurs, ainsi que vingt opérations de cyberdéfense. Les cyberattaques par rançongiciel (ou ransomware en anglais) se sont particulièrement multipliées parce qu’elles sont rentables. En 2020, l’organisme note une augmentation de 255% des signalements d’attaque de ce type dans son périmètre par rapport à 2019.

En outre, l’année 2020 s’est illustrée par trois tendances : le «Big Game Hunting» ou nombre accru de groupes cybercriminels favorisent le ciblage d’entreprises et institutions particulières dans leurs attaques par rançongiciel, le «ransomware-as-a-service» ou RaaS avec de plus en plus de rançongiciels disponibles par un système d’affiliation et utilisés à la fois de façon ciblée et lors de campagnes massives en fonction de la volonté et des capacités des groupes cybercriminels souscrivant au service, et enfin la double extorsion, une tendance qui existe depuis 2019 et qui consiste à faire pression sur la victime en exfiltrant ses données et en la menaçant de les publier sur un site Internet, généralement en  «.onion»  afin qu’elle paye la rançon. Le domaine renvoie en fait à des adresses anonymes accessibles par l’intermédiaire du réseau Tor (permettant l’anonymisation des communications).

Des DSI en première ligne

En matière de victimologie, aucun secteur d’activité ni zone géographique ne sont épargnés. Généralement les entreprises victimes sont peu disertes sur ces incidents et sur les rançons qu’elles versent. Il est aussi difficile de savoir quels sont les systèmes qui ont été particulièrement touchés. Camaïeu est équipé pour la gestion de ses magasins du logiciel Cylande (Cegid) en mode « on premise » et a refondu sa plate-forme e-commerce sous SAP Hybris. Si l’encaissement en magasin n’a pas été perturbé, les inventaires et les réapprovisionnements ont été stoppés. «Nos clients les plus exposés sont généralement ceux qui n’ont pas mis à jour les dernières versions de leurs logiciels. Les entreprises sont souvent préoccupées par d’autres sujets de plus court terme. Ils préfèrent aussi garder leurs propres serveurs le temps de les amortir», observe un éditeur informatique.

Pour les directeurs de système d’information qui se retrouvent en première ligne, ces événements sont souvent très difficiles à vivre. «Nous n‘y sommes pas préparés » avoue un DSI qui a subi une cyberattaque dans son entreprise et qui raconte son aventure aux Clés du Digital sous couvert d’anonymat. «C’est arrivé pendant mes congés. Très vite j’ai pris la décision d’arrêter tous les serveurs». L’entreprise pour laquelle il travaille fabrique des produits grand public commercialisés en mode BtoB dans les réseaux spécialisés. Les deux usines et l’entrepôt ont été mis à l’arrêt. «C’était une vraie attaque ciblée. On a été attaqué alors que nous étions en train d’upgrader notre plan de sécurité, de changer les mots de passe. Nous avions eu quelques incidents précédemment, dont un serveur qui est tombé, ce qui aurait du me mettre la puce à l’oreille. Mais nous étions davantage dans le correctif que dans l’analyse».

L’attaque est un cryptovirus (programme informatique malveillant, qui prend en otage les données en les chiffrant) avec une demande de rançon. La production sera totalement bloquée pendant quatre jours le temps que l’analyse forensique (qui consiste à effectuer une analyse du système d’information après une attaque informatique) des experts de la sécurité informatique soit réalisée. Dans cette épreuve, l’entreprise a comme  » chance » de s’appuyer aussi sur un vieil outil, un Erp AS400, qui n’intéresse pas les hackers, ce qui lui a permis de continuer à prendre des commandes et à facturer. «Ils ne maitrisent que Linux ou Windows», sourit le responsable. Les salariés ne sont informés au début que d’un «problème technique». Les mails fonctionnement toujours avec Office 360 et la flotte d’Ipads des commerciaux n’est pas touchée. «Nous avons ensuite monté une cellule de crise avec un manager par pôle d’activité puis communiqué sur la cyberattaque auprès du personnel avec des clauses de confidentialité. Nous devions être transparents et donner une vision long terme à nos salariés, avec un calendrier précis du redémarrage». L’entreprise informe aussi ses principaux fournisseurs et clients BtoB.

Des négociations parfois impossibles

Les experts en cybersécurité qui ont réalisé leur analyse, ont trouvé la faille (les pirates sont passés par le biais d’un outil de prise en main à distance pour la maintenance) et ils ont identifié les hackers, en l’occurrence un groupe ukrainien. L’entreprise doit aussi remplir sa déclaration obligatoire à l’Anssi. «L’Anssi dispose d’une liste de hackers avec lesquels nous pouvons négocier. Pour d’autres qui financent le terrorisme c’est formellement interdit sous peine pour le dirigeant d’être condamné au pénal». Là encore, dans son malheur, l’entreprise a un peu de chance puisqu’elle fait face à un groupe qui n’est pas lié au terrorisme et peut être payé. La police d’assurance va donc prendre le relais et les négociations vont commencer. L’infrastructure est remontée d’abord en mode dégradée. Ce qui pose le plus de souci est lié à l’un des serveurs contenant des données importantes liées aux autorisations de mises sur le marché des produits. L’assurance prendra en charge une partie des coûts après avoir vérifié que son client respectait bien toutes les règles de sécurité (firewalls, etc) et qu’il n’y pas eu de fautes graves. Mais il a fallu racheter deux serveurs en urgence, sans compter les coûts de prestations associés. Quelques 500 PC ont du être reformatés et le réseau des deux usines a du être refait.

Des outils en SaaS mieux protégés

«Nous avions un SI hybride avec des outils en mode SaaS qui ont continué à fonctionner car les éditeurs ont des capacités de sécurité souvent plus importantes que celles de leurs clients. Mais la plupart du temps on ne peut pas tout mettre dans le cloud». Pour le professionnel qui a vécu cette mésaventure, qui au final aura duré plusieurs mois, il faut que les DSI soient accompagnés et soutenus par leur direction. «Lorsque l’on subit ce type d’attaque il faut fixer des priorités. Voir ce qui est critique et ce qui ne l’est pas, dire au service marketing, par exemple, qu’il récupérera ses photos dans un ou deux mois, donner des perspectives». Après cette attaque, le DSI a pu bénéficier de nouveaux moyens. «C’était un peu open bar». Le personnel a aussi reçu des formations par Mooc. «Car 80% des risques viennent des utilisateurs». Le niveau de sécurité a été renforcé et les vieux serveurs remplacés dans de nouvelles versions. L’entreprise s’est aussi équipée de l’outil SentinelOne qui regroupe la prévention, la détection et la neutralisation au sein d’une seule et même plate-forme basée sur des techniques d’apprentissage machine et d’automatisation intelligente.

J’ai aimé cet article, je souhaite lire les prochains articles des Clés du Digital, je m’inscris à la newsletter

Les Clés du Digital est le média de la transformation digitale = 100% indépendant, 0% pub. Tous nos articles sont exclusifs.
Je peux commander le PDF de cet article

Je soutiens la presse, JE M’ABONNE

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*