Chaque intervenant à commencer par décrire succinctement l’attaque qu’il avait subie. Généralement tout commence un vendredi soir ou durant le week-end, en fait dés que les équipes tournent au ralenti et baisse un peu la garde.

En novembre 2020, Sylvain François DSI du CHU de Rouen a reçu, un vendredi soir, un appel des équipes techniques qui ont signalé un incident informatique. L’alerte s’est amplifiée au fil des heures et s’est transformée en une attaque via un ransomware. out un week-end a été nécessaire pour remettre en marche les parties critiques du SI dans le CHU de Rouen. Puis il a fallu plusieurs semaines pour que l’intégralité du SI soit revenu à la normale.

Olivier Ligneul Group CISO d’EDF explique que si EDF n’a pas eu d’attaque majeure, par contre sur une de ses petites structures situées à 5 heures de vol de Paris, un incident qui s’est déroulé aussi un week-end a nécessité l’intervention de deux personnes techniques de ses services sur le site.

Laurent Baillet, DSI d’Hopps Group a subi, pour sa part, une attaque le 24 avril 2021 un dimanche matin. Il reçoit un appel qui lui indique une attaque l’ayant obligé à arrêter l’activité de 1200 serveurs. Toute l’activité de livraison de colis privée de son entreprise a été arrêtée. Pour lui cela a été une opportunité pour vérifier la continuité d’activité en mode dégradé. Il n’avait jamais fait de répétition à blanc, car il n’avait jamais envisagé une attaque d’une telle ampleur.

De son côté, Julien Villecroze ? DSI du Groupe Stellaint a subi une attaque en mai 2021 un jour férié. Pour ce DSI, c’était sa troisième attaque cyber au cours de sa carrière, qui cette fois-ci a été la plus violente. L’attaque est intervenue aussi un vendredi soir. Cette attaque était un ransomware qui a commencé à chiffrer les machines de son SI. La décision a été prise d’arrêter tout son service d’information. Il a appelé l’ANSSI pour les aider face à cette crise sans précédent qui a mis à l’arrêt 650 serveurs et 3000 collaborateurs. En fait une infime partie des serveurs avaient été touchés mais la décision a été prise de tout arrêté pour éviter la propagation à l’ensemble du SI. Pour Julien Villecroze il est nécessaire de se faire accompagner par des professionnels pour surmonter de telle crise. Dans son cas il a dû reconstruire l’AD. Pour lui, cela a été une opportunité pour reconstruire la cybersécurité dans son entreprise. Il a été décidé par exemple de réduire l’obsolescence de certaines parties du SI.

La crise et après ?

Après la période de stupéfaction, puis d’action et de remédiation, lorsque la crise est passée dans la majeure partie des cas des contre mesure préventive on été prise pour éviter lors d’une nouvelle attaque d’être pris au dépourvu.

Sylvain François, pour sa part, explique que la première chose qu’il a dû prendre en compte ce sont les employés et les patients du CHU. Il s’est trouvé dans un dilemme entre la coupure brutale du réseau avec une possible mise en danger des patients ou d’essayer de limiter l’impact du ransomware. Il a pris en compte dans sa décision que ses collaborateurs sont entraînés aux crises et les personnels de santé savent travailler en situation de crise. Heureusement pour lui, des sauvegardes et de l’archivage avait été mis en place auparavant. Ainsi, une restauration rapide a pu avoir lieu pour les partie critiques du SI et une semaine après l’ensemble du SI était en état de fonctionnement.

Pour Laurent Baillet aussi les sauvegardes ont pu lui permettre de restaurer assez rapidement son SI. Par la suite il a pu recruter un spécialiste de la gestion de crise. Un CERT a pu lui permettre d’identifier l’attaque. Par ailleurs, selon lui, il est primordial de beaucoup communiquer tant un interne qu’avec les clients. « Il n’y a plus de honte à communiquer sur ce sujet aujourd’hui » a-t-il conclu.

Olivier Ligneul rebondi en expliquant que suite à l’attaque de sa petite de structure son système de sauvegardes avait aussi été attaqué. Il lui a fallu aussi trouver la machine primo attaquée, et essayer de découvrir des machines saines pour pouvoir els rallumer sans danger et savoir jusqu’où pouvoir retrouver les sauvegardes saines. Cette première phase a duré 4 semaines. Assez rapidement la réflexion s’est posée sur le monde d’après qui a inclus la gestion de l’obsolescence, l’achat d’une infrastructure avec sa mise à jour dans le temps.

Dans le cas de Julien Villecroze, il a fallu environ un mois et demi pour restaurer l’ensemble du SI. Aujourd’hui, il a tiré des conclusions sur la résilience. Il a travaillé sur l’achat de solutions sécurisées par design. Il a aussi analysé les parties critiques de son SI. Enfin dans chaque projet la sécurité est incluse, elle est au centre des préoccupations.

Comment maintenir la vigilance des équipes deux après une cyber-attaque ?

Sylvain François explique que pour la partie sécurité, il fait de la pédagogie en évitant la partie contrainte et rébarbative. Il aborde la sécurité en proposant des alternatives sans trop de contrainte pour améliorer le niveau de sécurité des équipes. De plus, il utilise la culture d’entreprise et propose des outils d’e-learning et fait de la sensibilisation...

Laurent Baillet, pour sa part, a complexifié le travail des collaborateurs avec des mots de passe MFA, des campagnes de faux phishing… Il fait de la prévention en proposant des sessions de sensibilisation. Il a aussi pu augmenter son budget cyber.

De son côté, Julien Villecroze a monté un SOC, il fait de la sensibilisation auprès de la direction et des actionnaires. Il considère qu’il ne faut pas aussi lésiner sur la cyber assurance.

En conclusion, Olivier Ligneul pense que l’entraide et la solidarité est aujourd’hui essentiel !