Cyberattaque : témoignage d’une rescapée
En 2017, Delphine Chevallier subit une cyberattaque foudroyante qui paralyse son entreprise durant plusieurs semaines. Un véritable black-out, avec un arrêt complet de tous les canaux de communication et plus aucun accès aux données ni aux logiciels de traitement. Pour que cette expérience traumatisante serve à d’autres, elle l’a partagée dans un roman « Cyberattaque- Plongez au cœur du blackout ! », écrit sous le nom de plume d’Angeline Vagabulle. Nous l’avons rencontrée pour qu’elle nous raconte cette aventure qui s’est déroulée il y a presque 3 ans, mais qui a des points communs avec la situation actuelle que nous traversons: un cataclysme s’abat sur toute la société et il faut trouver de nouvelles façons de fonctionner très rapidement et sans filet. Aucun doute : nous allons tous mûrir !
“Tout a commencé le 27 juin 2017. Ce jour-là, mon entreprise a été victime d’une attaque informatique par le ransomware ‘NotPetya’. L’entreprise comptait 8000 employés au niveau mondial mais était encore une « petite » organisation qui avait grandi très vite. Cela explique peut-être en partie sa vulnérabilité car cette croissance rapide n’avait pas permis d’établir des processus bien rodés et de consolider l’organisation”, nous explique Angeline.
« Dès les premiers jours de l’attaque, il s’est passé des choses assez extraordinaires, et c’est pour cela que j’ai voulu raconter cette expérience… Nous croyons toujours que ce type d’événement n’arrive qu’aux autres, mais c’est faux. J’ai voulu transmettre l’expérience traumatisante que cela peut être de se retrouver démunis, sans moyens de communication, sans aucun outil de travail qui fonctionne car tous les réseaux étaient coupés, même le téléphone. Certes, nous avions encore les téléphones portables, mais tout le monde n’est pas équipé d’un téléphone portable dans une organisation. La Hotline IT était débordée, et n’avait pas le temps de répondre à nos questions. Il a fallu trois semaines avant de retrouver les moyens de communiquer pour pouvoir commencer à se retravailler », explique Angeline Vagabulle.
Cyberguerre
« Après le choc des premières heures, de nombreuses questions vous assaillent par rapport à l’origine de la catastrophe… Quelqu’un en voulait-il particulièrement à notre organisation ? Après quelques jours, les medias se sont fait l’écho de cette cyberattaque qui était mondiale et ont commencé à évoquer qu’il s‘agissait vraisemblablement d’un acte de guerre de la Russie contre l’Ukraine… Nous n’étions qu’une victime « collatérale ». Ce n’est pas évident à accepter. Puis vient la phase de recherche des responsabilités en interne. Notre direction informatique, même si nous comprenions qu’il s’agissait d’un acte hostile venant de l’extérieur, s’est logiquement retrouvée pointée du doigt. Si nous pouvions comprendre que les équipes IT n’aient rien pu faire contre l’attaque, il était difficile d’accepter qu’ils n’aient pas prévu de plan pour nous permettre de redémarrer rapidement», estime Angeline.
« Heureusement, notre organisation avait une grande force, à savoir qu’elle était très centralisée en termes d’architecture, et nous avions des capacités de collaboration assez exceptionnelles. Si cette centralisation IT s’est transformée en faiblesse dans un contexte de cyberattaque sur nos systèmes, notre culture collaborative a quant à elle été une vraie force pour remettre notre organisation en route Très vite, la solidarité s’est organisée avec le service informatique pour reconfigurer l’ensemble des postes de travail. Oui, il y eu des moments de grand désespoir où nous avons pensé que notre entreprise ne s’en remettrait pas. Mais il y a eu heureusement une grande mobilisation, mais aussi de créativité : en attendant la fin de la tempête, nous avons tous aidé ceux qui étaient chargés d’écoper l’eau pour éviter que le bateau ne coule », explique Angeline.
Leçons
Chaque incident doit nous permettre d’en tirer des leçons pour l’avenir. C’est encore plus vrai pour une cyberattaque de cette envergure.
« De toute façon, nous évoluons dans un monde chaotique et l’infrastructure technologique est plus vulnérable que ce que nous voulons bien penser. A partir de ce moment-là, réapprendre à travailler différemment, sans se reposer à 100% sur cette infrastructure est une nécessité. En plus d’une hygiène IT irréprochable, posons-nous la question de notre dépendance – et donc de notre vulnérabilité – aux outils technologiques dans nos activités professionnelles et peut-être remettons en question le dogme du « Zéro papier » pour certains documents clés, pense Angeline, pour qui la responsabilisation de chacun est essentielle.
« Le meilleur plan de protection et de continuité de l’activité, c’est celui dans lequel tous les collaborateurs sont engagés et sachent comment accéder aux procédures de secours le jour où ils en auront besoin. Nous en avons fait l’amère expérience : nous avions quelques procédures notamment sur la façon dont nous pouvions accéder à nos boîtes mail en mode dégradé, mais ces procédures étaient stockées sur l’Intranet auquel nous n’avions pas accès pendant la crise… L’autre défi, c’est la pratique. Nous pratiquons tous régulièrement des exercices de prévention incendie et nous savons plus ou moins les comportements à adopter en de telles circonstances. C’est pareil pour les crises cyber : pratiquer régulièrement permettra d’acquérir les bons comportements mais aussi par la même occasion d’identifier les vulnérabilités de l’organisation. Ce sont des choses parfois très basiques, mais si l’annuaire téléphonique de votre organisation est uniquement en ligne et que vos réseaux ne fonctionnent plus, la situation devient rapidement handicapante ! », prévient Angeline Vagabulle.
« Les systèmes de communication de secours doivent être connus et testés. Que chacun soit au courant et entraîné à les utiliser, c’est fondamental… A côté de cela, il y a la prévention et l’hygiène quotidienne. Ce que je suggère fortement dans mes formations, c’est de responsabiliser les collaborateurs en les encourageant à organiser eux-mêmes leur plan de continuité d’activité sur leur poste de travail. La meilleure des protections, ce sont les hommes et les femmes qui connaissent leur métier et leurs outils », estime-t-elle.
Crash test
« La gestion d’une crise cyber passe d’abord par la détection de l’incident qui doit se faire le plus tôt possible pour éviter la propagation du malware. Tout le monde n’est pas pilote d’avion, mais nous sommes potentiellement tous copilotes. En cliquant sur une pièce jointe infectée, chacun peut faire crasher l’avion. 95% des gens sont dans le cockpit de l’avion et n’ont aucune idée du fait qu’il y a des gestes dangereux et d’autres qui peuvent sauver des vies en cas de turbulence », conclut Angeline Vagabulle qui prône la prévention et les ‘crash tests’ pour mieux se préparer à faire face à ce type de situation.
Les sensibilisations en mode passif ne suffisent pas. Oui, il faut des exercices pratiques (tests d’intrusion, campagnes de faux phishing…), mais aussi penser à les débriefer a posteriori, expliquer clairement et simplement les conséquences, bref mettre en place un véritable apprentissage, très pragmatique, en matière de maîtrise des données, d’hygiène numérique, de compréhension du fonctionnement des systèmes et des attaquants… Sans oublier bien sûr d’acquérir les bons réflexes en cas de graves incidents IT. Les leçons de NotPetya et celles du Coronavirus, se rejoignent d’une certaine manière. A nous de les apprendre pour que nos organisations s’immunisent de l’intérieur et traversent ce type d’événements le plus sereinement possible. Autant que faire se peut, bien sûr !
“Cyberattaque. Plongez au cœur du blackout”, est disponible en français et en anglais. Préface: Général Marc Watin-Augouard, fondateur du Forum International de la Cybersécurité.