top of page

Ransomware : comment Fleury Michon a évité de se faire charcuter

Ransomware : comment Fleury Michon a évité de se faire charcuter

De notre envoyé spécial à Monaco. Au matin du 11 avril dernier, Anne Michel, nouvelle Directrice Operationnelle des Systemes d’Information (DOSI) de Fleury Michon, le géant de la charcuterie, est réveillée par un coup de téléphone de son responsable sécurité. Il lui parle alors d’une infection virale. Elle comprend rapidement qu’il n’essaie pas de poser un congé maladie.

La société fait face à une attaque informatique qui a bloqué le fonctionnement de plusieurs serveurs faisant fonctionner les applications critiques de l’entreprise.

L’incident a débuté à minuit, en pleine période de vacances. Aucune demande de rançon ne permet d’identifier clairement l’attaque. « On était vraiment dans le noir à ce niveau là, donc on a rapidement convoqué une cellule de crise et on a stoppé les activités du groupe » explique Anne Michel. La direction est rapidement mise au courant, ainsi que les partenaires et les assurances.

Fleury Michon n’est pas un OIV

C’est d’ailleurs l’assurance qui mandate Intrinsec, une société spécialisée en cybersécurité et en réponse à incident, pour voler au secours de Fleury Michon. Le premier réflexe été de contacter l’Anssi confie Anne Michel. Mais la société n’étant pas un OIV (un opérateur d’importance vitale – le contraire nous aurait surpris), le cyberpompier de l’Etat ne peut pas vraiment prendre les rênes. « Ils nous ont tout de même soutenus, et c’était assez rassurant pour nous », explique la DOSI de Fleury Michon.

Le mécanisme de gestion de crise enclenché, tout reste cependant à faire. Premier axe de bataille : la communication. « L’une de nos premières actions, ça a été d’informer l’ensemble des directeurs d’usine afin de leur expliquer pourquoi on bloquait la production et ce que nous étions en train de mettre en place avec l’assistance d’Intrinsec » explique Anne Michel.

La communication se tourne également vers les clients et les partenaires. Si dans un premier temps tous prennent leurs distances afin de limiter les risques d’infections, rapidement des conversations téléphoniques avec les RSSI de partenaires comme Auchan ou Carrefour sont organisées pour expliquer la situation. « On a choisi d’être très transparents avec eux, à tel point que certains nous ont spontanément proposé de l’aide » explique Anne Michel.

Comment reprendre rapidement la production ?

Le gel des opérations ne peut cependant pas s’éterniser trop longtemps. Fleury Michon vend des produits frais, et une livraison est prévue au lundi 15 avril. Cela laisse donc une marge de manœuvre assez courte pour remettre en marche le système, tout en limitant évidemment les risques. « Pour reconstruire sans risque, nous avons mis en place une salle blanche, à partir de deux postes de travail sain, et nous avons reconstruit les applications logistiques à partir de ces deux postes. Les dirigeants des usines devaient passer par ces deux postes pour enregistrer leurs livraisons. C’est ce dispositif qui nous a permis de reprendre la production dès le lundi 15 avril. »

Vu de l’extérieur, l’activité a repris et les commandes seront honorées. En interne, le bilan est un peu différent : « Du point de vue des métiers, on estime être sorti de la crise au 30 avril. Pour la direction des systèmes informatiques en revanche, ça a été plus compliqué et on estime être revenu à un fonctionnement normal au début du mois de juillet. »

Les jours qui suivent cette sortie de crise permettent également d’analyser plus en détail l’attaque. Au total, 220 serveurs ont été infectés par un logiciel malveillant d’une souche à l’époque inconnue. L’infection initiale a débuté sur un serveur virtualisé hébergé dans le cloud, dont les attaquants sont parvenus à prendre le contrôle via une attaque de type force brute, environ 15 jours avant le blocage des systèmes de production.

Si l’impact de l’attaque est resté limité, l’épisode a été particulièrement instructif

« On pense que cet accès initial a ensuite été revendu à d’autres acteurs malveillants. On a des indicateurs de compromission qui laissent penser que celui-ci est passé de main en main » explique Cyrille Barthelemy, dirigeant d’Intrinsec. L’attaquant reste inconnu, tout comme ses motivations précises : aucune demande de rançon n’a été transmise à la société.

Si l’impact de l’attaque est resté limité, l’épisode a été particulièrement instructif pour Fleury Michon. « Ce qu’on a compris, c’est que nous n’étions finalement pas si prêts que ce qu’on pensait pour faire face à ce type d’incident » explique Anne Michel.

Écologique, mais pas pratique

Un exemple : la politique zéro papier de l’entreprise, aussi louable soit-elle du point de vue écologique, a posé problème lorsque les équipes ont découvert que l’ensemble de la documentation était hébergée sur l’intranet de l’entreprise, inaccessible pendant l’attaque. « Heureusement, on a eu le soutien d’anciens salariés de l’entreprise qui nous nous ont contacté pour nous proposer leur aide » explique Anne Michel.

L’épreuve du feu a également été l’occasion de régler certains détails dans les processus mis en œuvre pour répondre à ce genre de crise. Mais le bilan est loin d’être complètement négatif : « l’incident et la façon dont il a été géré a aussi permis de montrer que le département informatique de la société pouvait compter sur des gens très compétents, prêts à assurer 24/24h pendant douze jours pour surmonter ce genre d’incident. Et cela pourrait nous simplifier les choses à l’avenir : pour le budget cybersécurité 2020, je pense que je peux demander ce que je veux » s’amuse Anne Michel.

Dans le domaine de la sécurité informatique, la culture du secret est encore la norme. Les sociétés touchées se contentent trop souvent d’un simple communiqué confirmant l’attaque et tâchent par la suite de se faire oublier. Ce témoignage rare de Fleury Michon livré aux Assises de la sécurité permet donc de mieux comprendre de l’intérieur comment les entreprises peuvent réagir.

Pour aller plus loin sur ce sujet

0 vue0 commentaire

Comentarios


bottom of page