« Mon pire cauchemar. » C’est en ces termes que John (pseudonyme), un gestionnaire en TI depuis 25 ans, décrit la première des trois attaques par rançongiciels qui ont frappé son employeur. Une attaque qui a coûté des centaines de milliers de dollars, mis l’entreprise hors de combat pendant des semaines et révélé les failles d’un plan de sécurité qui semblait pourtant solide…
John, qui travaille pour la filiale montréalaise d’une société du secteur manufacturier, s’est confié à l’animateur Jean-Michel Vanasse lors de l’événement Cybersécurité 20/20, présenté en novembre dernier par NOVIPRO, une firme spécialisée dans les solutions d’affaires technologiques et infonuagiques, et par IBM. « Personne ne souhaite partager cette expérience, nous sommes fiers d’avoir pu obtenir ce témoignage poignant » souligne Yves Paquette président fondateur de NOVIPRO.
« Tout a commencé lorsque des employés nous ont dit qu’ils n’arrivaient plus à se connecter à distance ni à accéder à leurs fichiers », explique John. Il constate rapidement qu’il s’agit d’une attaque par rançongiciel, une technique qui consiste à chiffrer les données pour en interdire l’accès et à exiger le versement d’une rançon sur le dark web, en échange de la clé de décryptage. Les dégâts sont considérables : en moins d’une heure, les pirates se sont emparés de multiples serveurs, dont les bases de données de l’entreprise et les courriels du personnel.
Pas question de payer pour autant, puisqu’il est impossible de se fier à la parole de criminels. John affirme que son entreprise ne s’est même jamais donné la peine de vérifier le montant et les modalités de versement de la rançon.
L’échec du plan de sauvetage
En pareilles circonstances, la réponse la plus efficace consiste à se déconnecter du réseau et à reconstruire les serveurs à partir de copies de sauvegarde. L’entreprise semblait bien protégée : elle détenait des sauvegardes quotidiennes sur place, d’autres copies sur des serveurs distants, et même des copies supplémentaires déconnectées du réseau pour un maximum de sécurité.
« Mais les copies de sauvegarde les plus récentes ne fonctionnaient pas, dit John. Seules les versions déconnectées du réseau et stockées à distance n’avaient pas été chiffrées par les pirates, mais nous ne parvenions pas à les restaurer. » C’est la panique. Aucune source le moindrement à jour ne permet de récupérer la totalité des données sauvegardées. La première copie exempte de défaillances date de… huit mois. Il faut inspecter chaque copie de sauvegarde pour constater ce que l’on peut en tirer, et comment l’arrimer avec les autres.
« C’est un casse-tête pour tout le monde », déplore John.
L’attaque révèle la faille du plan de sécurité de l’entreprise : les copies de sauvegarde s’accumulaient, mais elles n’étaient jamais vérifiées. « Un plan qui n’est pas testé, ce n’est pas un plan », commente le gestionnaire. Une erreur que l’entreprise ne répétera plus…
Les conséquences de l’attaque
Le serveur de courriel est le plus touché : huit mois de perdus. John parvient à récupérer une partie des messages à partir des postes de travail des employés, mais d’autres disparaissent à jamais. Afin de reconstruire la base de données centrale de l’entreprise, il faut recréer manuellement, à partir de copies papier, entre deux et six semaines de transactions, selon les départements.
Les opérations courantes reprennent progressivement deux semaines après l’attaque. Il faut un mois pour que l’entreprise recommence à fonctionner à plein régime. En attendant, des centaines d’employés sont payés à ne rien faire tandis que d’autres voient leur productivité réduite. Les pertes financières sont difficiles à chiffrer, selon John, mais elles s’élèvent « certainement à des centaines de milliers de dollars ».
Deux autres attaques
John n’a jamais su ni comment ni pourquoi sa firme avait été attaquée. L’hypothèse la plus probable ? Une simple tentative d’extorquer de l’argent à quiconque commettrait l’erreur de cliquer sur un courriel d’hameçonnage envoyé au hasard.
La maison-mère américaine a d’ailleurs été victime d’incidents semblables à deux reprises par la suite. Certes, l’entreprise était mieux préparée et les dégâts ont été moindres, mais les intrusions se sont quand même produites.
« On peut améliorer notre posture en formant mieux le personnel et en établissant de bonnes politiques de sauvegarde, conclut John, mais on ne peut jamais réduire le risque à zéro. Le château de cartes peut tomber à cause d’un clic.
Pour aller plus loin, découvrez nos autres articles sur la cybersécurité :
