Ce récit de cyberattaque survenu voici quelques années est celui du quotidien de certaines organisations victimes de malfaisants en quête de trophées peu glorieux, de bitcoins extorqués ou de reconnaissance patriotique de gouvernants belliqueux.
Il a été relaté par le Directeur des Systèmes d’Information d’une organisation de plusieurs milliers de collaborateurs soumise à une criticité des services. Il est anonymisé, il est totalement véridique.
L’angle humain de cette crise en est le fil rouge. Souvent moins évoqué que les impacts financiers et les enjeux et défis technologiques.
Pourquoi cette approche ? Au sein de Systancia, nous tentons de conserver au cœur de nos activités, la dimension humaine à chaque instant. Ce n’est pas toujours simple, ce n’est pas toujours le chemin le plus court et nous ne réussissons pas toujours, cela reste pour autant notre cap.
Ici, ce récit montre que quel que soit le sujet technologique, la criticité de la crise et l’ampleur de l’attaque, ce sont des femmes et des hommes de l’équipe informatique qui contribueront à éteindre l’incendie.
Ce qui interpelle en premier quand ce récit est déroulé, c’est le niveau de préparation et d’anticipation. Quelques mois avant l’attaque, une répétition grandeur nature avait permis de rôder les processus, de vérifier que chacun était prêt.
L’organisation est bien outillée entre un SOC et des outils de type EDR.
Le bât blesse du côté de l’infogéreur. Cela se découvre après. Sur le moment, il peut apparaitre une forme d’impuissance à s’assurer du respect de pratiques de sécurité indispensables. NIS2 met d’ailleurs l’accent sur cette forme de sous-traitance, origine régulière d’attaques majeures.
Sans insister, puisque nous les déployons et que ce n’est pas l’objet de cet article, il existe également des outils adaptés au contrôle et à la traçabilité des accès des infogéreurs.
Pour cette organisation, donc, ce qui sera identifié comme cause est simple, le même mot de passe pour tous les clients de cet infogéreur et une absence (ou un non respect) d’une politique de mots de passe. A tel point qu’après la cyberattaque, un intervenant de la société en question, présent sur site et n’ayant pas le mot de passe d’un système, se retrouvera penaud quand un collaborateur du centre de réponse à incidents lui fournira après l’avoir cassé en quelques minutes.
L’attaque est donc passée par là.
L’EDR piloté par le SOC a bien détecté, quelques jours avant le chiffrement du système d’information, une anomalie. Paramétré pour que ce soit remonté comme une simple alerte. Donc, mal paramétré – un sujet en soi. Pas de prise en compte par les intervenants du SOC. L’alerte est répétée plusieurs fois.
Ce n’est pas ce qui alertera les équipes en interne. Forcément au moment le plus inadapté quand la semaine a laissé la place aux jours de repos. L’équipe support des utilisateurs est en astreinte, elle sera appelée parce que des utilisateurs du week-end ont un message des attaquants sur leurs écrans, des impressions sont lancées avec le même message. Aucune graduation dans l’attaque, en quelques minutes, le système est chiffré via les hyperviseurs. L’annuaire sera récupéré par les équipes qui interviendront, quasiment le seul élément sauvé.
Le DSI est rapidement sur les lieux avec un premier collaborateur. Des réflexes immédiats de ceux que l’on réalise en se disant que chaque seconde compte, de ceux malheureusement déjà vains, comme de débrancher le réseau. Ce qui ne sera pas immédiat d’ailleurs, suite à un problème d’étiquettes sur les lames de serveurs. Quand la petite malfaçon agace au plus haut point au moment critique.
La direction est informée, le directeur général demandera trois fois au DSI : vous êtes certain que c’est une cyberattaque ?
Le choc, la sidération, à tous les niveaux.
Et un dévouement quasi-total de tous pour faire face. Une cohésion très forte face à cette adversité.
Les équipes internes qui verront leur taille doubler avec le renfort de services externes compétents.
Certains se révèlent, le DSI évoque un collaborateur qui faisait sans sourciller et sans zèle particulier son travail dont personne imaginait qu’il devienne un pilier de la crise. Et à l’inverse, l’absence de services informatiques a permis à certains une totale discrétion.
Les heures ne sont plus comptées. Prédominent l’adrénaline, le stress, voire même l’excitation, le mot est lâché dans la conversation. La cyberattaque est le cauchemar de tous, mais des ressorts se mettent en place et le cerveau s’adapte, se défend, rationnalise, accepte l’état de fait et appuie sur les leviers qui créeront l’engagement.
Pendant quinze jours, aucune fatigue malgré l’absence d’heures de sommeil. Il faut vite basculer dans un nouveau mode et libérer du temps le soir venu pour que chacun prenne du repos.
Les réactions à ce choc varient. Jusqu’à des situations improbables, un collaborateur de l’équipe, reconnu efficace dans son travail, devait répéter à grande échelle une tâche prioritaire pour rééquiper les collaborateurs. Sous l’effet du choc, il n’y arrivait pas, il ne savait plus faire ce qu’il avait tant fait. Il faut gérer chaque situation individuelle et prendre le temps pour comprendre et adapter si besoin la mission.
L’organisation avait préparé des procédures, des services prioritaires à remettre en service. Indiscutablement utile. Mais, de fait, une partie n’est pas applicable au regard de la réalité de la situation. Tel service prioritaire ? Non, celui-ci l’est bien plus.
Ce qui est le plus admirable est l’ingéniosité mise en œuvre pour des cas non prévus, non détaillés dans des procédures. Le raccordement dans l’urgence avec des réseaux autonomes de certaines équipes d’utilisateurs, la création, la mise en œuvre et le déploiement d’un nouveau type d’ordinateurs ultra-modernes… « la machine à écrire » : pas de réseau interne, des machines générées et « de confiance » avec le minimum du minimum. Une clé 4G.
Le système métier qui ne peut plus fonctionner mais qui ne peut pas être restitué totalement par une procédure papier, avec par exemple, la nécessité de continuer à créer des identifiants uniques avec un bon vieux tableur.
Tenir après les quinze premiers jours, c’est d’abord prévoir la suite, le meilleur scénario de reconstruction. Récupérer des sauvegardes ou repartir de zéro ? Des avantages et des inconvénients qui dépassent le cadre de cet article. Il était, en revanche, primordial de revenir « au basic » en termes de sécurité et d’être intransigeant sur ce sujet avec la frustration que cela peut créer auprès des utilisateurs.
Il est difficile de ne pas être éprouvé par une telle situation. Un psychologue était présent pour ceux qui le souhaitaient et réalisait quelques visites impromptues.
La direction générale avait ritualisé une réunion « café » chaque semaine et pendant plusieurs mois pour les équipes informatiques, moment de détente, de présence et de soutien.
La conclusion s’impose avec le constat que l’impact humain de ces maladresses humaines n’est pas totalement mesurable. La longueur de la crise a été un facteur aggravant. Les premières semaines, le dévouement professionnel crée des absences personnelles, et est un facteur aggravant de situations personnelles qui peuvent être déjà fragiles. De même que des collaborateurs au retour à la normale de la situation, n’ont plus la capacité à se retrouver dans le quotidien apaisé.
Sécuriser les accès des prestataires tiers aux environnements IT/OT avec le Remote PAM Aujourd’hui, les organisations font de plus en plus appel à des prestataires
