Sécurité informatique : Gestion de crise

Etude de cas 1 octobre 2020

Gestion de crise informatique
dans une entreprise de logistique vendéenne

Il est indéniable qu’on peut mesurer tous les bénéfices que la digitalisation des entreprises a pu provoquer : optimisation de la production, meilleure organisation du travail, accélération des processus, facilitation et automatisation, centralisation des données, nouvelles exploitations de celles-ci… Il n’y a pas un recoin de l’entreprise qui ai profité d’une amélioration, mais s’il doit y avoir un revers à tout cela, c’est bien au niveau de la sécurité informatique, tout du moins si cet aspect-là a été négligé.

Une entreprise, ou une industrie en mode 4.0, est aujourd’hui exposée à un hypothétique problème de taille : Elle est tributaire, à tous les niveaux, de son SI (Système d'information). Une anicroche dans le système et c’est toute l’entreprise qui se voit bloquée, immédiatement.

Si aujourd’hui une défaillance de sécurité arrive rarement de l’interne, c’est plutôt du côté des menaces externes qu’il faut se prémunir. Les entreprises françaises, et encore plus les industries sont aujourd’hui la cible d’attaques malveillantes régulières (comme ici). Le phénomène a pris depuis quelques années des proportions inquiétantes, et personne n'est épargné : des systèmes informatiques de villes à des attaques sur des services publics ne sont hélas désormais plus des événements si exceptionnels. 

TEAM Y propose son expertise informatique à beaucoup de clients industriels dans notre région. Experts systèmes & réseaux, nous sommes amenés à prémunir nos clients contre de telles menaces, mais nous sommes aussi parfois appelés par de nouvelles entreprises pour des urgences “sécurité” requérant une intervention immédiate. TEAM Y et son client, rentrent donc à ce moment là en “gestion de crise”, ce n’est pas le DEFCON 1 du Pentagone, mais quand même...

 

Un samedi matin aux Sables d’Olonne...

Il est 8h37, une entreprise de logistique vendéenne nous appelle. Son système informatique a été infecté par un crypto virus dans la nuit, plus aucun de ses postes informatiques est fonctionnel. Son ERP est bloqué, et donc toute l’entreprise est à l'arrêt.

Un crypto virus : c’est un bout de code malveillant envoyé par des personnes non moins malveillantes, qui pénètre dans votre système informatique via le réseau et qui va encoder toutes les données présentes sur vos ordinateurs, les crypter, avec une clé souvent indéchiffrable rendant tout le système inutilisable. Le ransomware(rançongiciel en français), qui va souvent de paire, va, lui, envoyer un message exigeant de payer une rançon énorme par l’entreprise sur un obscur compte à une obscure adresse (souvent localisée sur le Darknet), pour récupérer ses données sous peine d’une perte de l’ensemble de celles-ci. 

Alors, on va lever le suspens tout de suite : payer la rançon est évidemment inenvisageable.
De un : ça justifierait ce genre de pratique et augmenterait les opportunités d’attaques. De deux : Il n’y aucune garantie (voire plutôt aucune) que vous récupérerez vos données après paiement. Les hackers ne possèdent pas de SAV.

 

Intervention rapide

TEAM Y envoie deux experts sur les lieux. On est accueilli par le dirigeant, très stressé, paniqué (on le serait à moins). Pendant qu’un des experts prend le dirigeant à part, pour faire retomber la pression et laisser l’intervention se dérouler sereinement, l’autre commence immédiatement à engager les procédures à effectuer dans ce genre de cas.

La première action à faire est de tout déconnecter, couper l’entreprise du réseau extérieur, d’internet, et d’éteindre tous les postes. Ce qui n’avait pas été fait. Le virus se propage, mais pas immédiatement, il s’agit de stopper sa progression, pour peut être sauver des données. Une fois cette première étape faite, on peut constater les dégâts, et passer aux étapes suivantes avec pour objectif le redémarrage de l’entreprise le plus vite possible :

  • Mise en place d’un serveur TEAM Y propre temporaire, de secours.
  • Nettoyage de l’intégralité des postes utilisateurs, extraction de DD, et branchement sur des SSD pour rebooter (20 postes et un serveur) ce qui prendra 2 jours d’intervention au total.
  • Réinstallation des différentes applications
  • Récupération des données possibles sur le serveur et ensuite à partir des backups et passage des anti virus sur les données pour s’assurer que le tout soit “sain”.
  • Remise en route progressive avec les postes clés en priorité pour redémarrer l’entreprise.
  • Mise en place d’un Firewall, et la politique de sécurité du serveur : Antivirus pro, pas de postes en mode administrateur.
  • De son côté, le dirigeant de l’entreprise doit déposer au plus vite une plainte au commissariat pour signaler le piratage. (Nous vous conseillons de le faire, ne serait-ce que pour pouvoir déclencher l’assurance, si elle peut s’appliquer dans ce cas-ci).

Assurer la remise en route
la plus rapide possible, et préparer la suite

A la fin de cette mise en place de “reboot” temporaire. (L’entreprise tourne sur un serveur TEAM Y, prêté pour l’occasion), il s’agit ensuite de faire un rapport au client, lui expliquant les actions prises, et ce qu’il faudra faire à l’avenir. Celui-ci n’était pas client chez TEAM Y, et satisfait de notre intervention, il décide alors de nous confier la gestion intégrale de son SI, pour repartir sur une base saine, et bien configurée et ainsi faire face à ce genre de menaces dans le futur. Cette phase-ci prend un peu plus de temps, nous sortons de la gestion de crise, l’entreprise n’étant plus immobilisée.

 

  • On lance la migration totale de la solution temporaire vers une solution pérenne, et on recrée une infrastructure réseau propre et optimale.
  • On lui propose une politique de gestion de sauvegarde : comment elles sont réalisées, à quel rythme, sur quels supports, et quelle sécurisation de ces supports (service de contrôle de sauvegarde à distance). Nous installons aussi un backup externalisé sur cloud ainsi qu'une sauvegarde “physique” sur bande magnétique pour les données très critiques (avec un planning de backup plus espacé).
  • Nous lui proposons un PRA (Plan de reprise d’activité) : en cas de sinistre futur il y aura évaluation du niveau de risque qu’on est prêts à prendre. Ce plan est testé chaque année pour s'assurer de son bon fonctionnement.
  • Nous créons enfin, avec le client, une documentation générale du SI en parallèle : gestion des mots de passe, le plan d’adressage IP etc. Ce document référence est indispensable en cas d’intervention urgente, et permet aussi d’avoir un historique des différents changement intervenus sur le réseau de l’entreprise.

 

Bien se prémunir contre toutes menaces

Dans ce cas présent, tout s’est déroulé de façon non dramatique : Des données assez récentes ont pu être récupérées, le nombre de postes limité à facilité un reboot assez rapide de l’ensemble de l’entreprise, en 24h pour les postes clés, en 48h pour l’ensemble du parc informatique.

Cependant, certains cas peuvent être beaucoup plus problématiques : avec des pertes de données conséquentes remontant sur plusieurs années si l’infrastructure et la gestion des backups n’avait pas été prévue de façon optimale, et des arrêts complets d’entreprises qui peuvent se compter en semaines !

Si vous êtes intéressés pour en savoir plus sur la mise en place de solutions de cybersécurité et protection de votre réseau informatique d'entreprise ou plus généralement sur notre expertise en tant que DSI externalisée, n’hésitez pas à contacter un expert TEAM Y qui pourra vous conseiller et vous accompagner dans vos projets.