top of page

Ransomware : Dominique Cerutti, PDG d’Altran « Mon 1er conseil : assurez-vous »


Ransomware : Dominique Cerutti, PDG d’Altran « Mon 1er conseil : assurez-vous »

« La victime c’est moi » : face à l’auditoire, Dominique Cerutti n’y va pas par quatre chemins. Pendant une heure, le dirigeant a détaillé devant son audience la façon dont le groupe a découvert l’attaque informatique qui s’est déclarée le 24 janvier et comment la société est parvenue à remonter la pente.

« L’attaque s’est déclenchée très brutalement, à une période délicate puisqu’on était en train de clôturer nos comptes de l’année passée. Notre système était configuré de manière à se couper en cas d’infection pour éviter de contaminer les clients » explique le dirigeant lors d’une conférence organisée par le Syntec.


publicité

Dans le noir

« Les premières évaluations nous ont permis de comprendre que les attaquants étaient présents dans le système depuis le 27 décembre », poursuit Dominique Cerutti. La porte d’entrée empruntée par les attaquants est une application web mal configurée qui utilisait un mot de passe d’accès par défaut.

À partir de cet accès initial, les pirates s’étendent progressivement sur le réseau d’Altran, prennent la main sur le contrôleur de domaine et identifient les postes clefs de l’entreprise, avant d’activer la charge virale, bloquant le fonctionnement des systèmes et des outils de l’entreprise pour demander une rançon.

La gestion de crise s’organise, avec un groupe de 150 employés chargés de faire face à l’urgence. Mais le manque de préparation se fait immédiatement sentir : « Ce qui m’a surpris, c’était la dimension de cette attaque. Dans nos scénarios de crise, nous n’avions jamais répété un scénario ou l’ensemble de nos mails, de nos lignes téléphoniques et outils de communication étaient coupés. »

Pour faire face à l’urgence, la cellule de crise met en place des groupes sur Whatsapp, qui permettent de communiquer les informations aux 50 000 consultants de la société, pour la plupart en mission chez les clients.

Altran peut néanmoins compter sur des soutiens, de la part de ses employés tout d’abord, mais aussi sur des soutiens venus de l’extérieur : le cabinet de conseil Wavestone, Microsoft et Palo Alto, mais aussi l’Anssi, qui dépêche ses experts afin d’accompagner la société. Le premier objectif pour la société est de remettre ses systèmes en route et reconstruire l’Active Directory de la société, en s’assurant que les sauvegardes sont saines et que celles-ci ne contiennent pas de porte dérobée qui permettraient à l’attaquant de revenir.

« Sur le sujet, l’Anssi nous a énormément aidé, mais ils nous ont aussi tiré les oreilles : ils ne voulaient prendre aucun risque de contamination de nos clients, parfois sensible, donc il a fallu faire très attention pour cette première étape. » Au total, la remise en marche des systèmes essentiels et la sortie de crise leur prendra entre un et deux mois. La remise en route de la totalité des systèmes prendra en revanche jusqu’à l’été.

Payer peut-être pas, mais discuter oui

« Concernant la rançon, si nous avions payé nous vous dirions que ce n’est pas le cas, et si nous n’avions pas payé nous vous dirions la même chose » plaisante le dirigeant. « En revanche, nous avons communiqué avec les attaquants. Discuter avec eux, cela permet notamment de comprendre leurs véritables intentions. »

Pour répondre correctement, il vaut mieux en effet être fixé sur le but réel des attaquants : obtenir une rançon ou simplement saboter le système de la victime en faisant passer l’attaque pour un « simple » ransomware. « Communiquer avec l’attaquant, ça permet non seulement de savoir un peu mieux à quoi s’en tenir, mais aussi par la suite d’aider l’enquête » explique Dominique Cerutti, qui rappelle qu’Altran a déposé plainte suite à l’attaque.

Le PDG a conclu son intervention en résumant les quelques leçons, apprises dans la douleur, qu’il retient de cet épisode : « Le premier conseil que j’aurais à donner : assurez-vous. Cela nous a énormément aidés. » Le secteur de l’assurance cyber se développe depuis 2015 et pour le dirigeant d’Altran, le fait d’avoir une assurance pour couvrir une partie des dégâts a certainement aidé à rassurer les actionnaires et la direction.

Le dirigeant recommande également de se préparer au pire, à travers des exercices de simulation de crise ransomware « et de ne pas oublier les considérations de base : comment faire tourner les équipes pour éviter l’épuisement, comment communiquer, nourrir tout le monde… »

Dominique Cerutti insiste également sur l’importance de connaître dans le détail son réseau et ce qui y est connecté, et ce ne sont certainement pas les agents de l’Anssi qui vont le contredire : « Reconstruire un Active Directory fiable a été l’une de nos premières tâches, et les failles accumulées au cours des années sur notre AD ont certainement aidé les attaquants à prendre le contrôle du réseau. »

Enfin, « attendez-vous à être attaqués. L’important ce n’est pas d’empêcher les attaquants d’entrer, c’est d’être capable de les détecter à temps et de rendre l’opération coûteuse pour eux » conclut le dirigeant, qui confie avoir déployé de nouvelles sondes sur son réseau depuis l’attaque afin de mieux détecter les éventuelles attaques.

0 vue0 commentaire

Commentaires


bottom of page