Face à une cyberattaque, il faut de bonnes sauvegardes

Retour d’expérience du groupe Vingeanne. Ce spécialiste du transport et de la logistique a essuyé une cyberattaque par rançongiciel.

Les attaques par rançongiciels connaissent une augmentation sans précédent. « Le 15 novembre 2019, un interne des urgences signale un problème de droits d’accès à une application métier », se souvient, confie Cédric Hamelin, responsable adjoint à la sécurité du système d’information du CHU de Rouen. Peu après, le diagnostic de la DSI (1) tombe : un rançongiciel vient de chiffrer une grande partie des postes de travail et serveurs du CHU. C’est la paralysie.

Industrie (Fleury-Michon), Média (M6)… La contamination s’étend à tous les secteurs d’activité. Y compris les entreprises de transport et de logistique. Et le groupe Vingeanne (32 millions d’euros chiffre d’affaires, 230 salariés) n’y fait pas exception. Il cumule 50 pistolets laser pour scanner les colis. 80 ordinateurs de bord dans les camions. 80 postes de travail. 150 smartphones et 40 serveurs virtuels répartis sur trois serveurs physiques. Un seul grain de sable dans cette belle mécanique et c’est la paralysie. Un scénario catastrophe qui a bien failli arriver.

Isoler la machine du réseau 

«À 7 heures du matin, une personne a mis son ordinateur en route. Par mégarde, elle a ouvert la pièce jointe d’un mail. C’était un cryptolocker (rançongiciel). Immédiatement, il s’est mis à chiffrer les répertoires que cette personne stockait sur certains serveurs virtuels, explique Kevin Le Chevalier, administrateur réseaux et systèmes du groupe Vingeanne. Elle a bien réagi puisqu’elle a tout de suite appelé le directeur informatique. » Le groupe ne dispose pas de directeur sûreté-sécurité. C’est donc le directeur informatique qui a géré la crise liée à cette cyberattaque. « Il a demandé à la personne de débrancher son ordinateur du réseau bureautique en retirant la prise Ethernet. Et, surtout, de ne pas l’éteindre », reprend Kevin Le Chevalier. En effet, il eût autrement été impossible de récupérer les données. Car le redémarrage accélère l’infection du cryptolocker.

Mais sans couper le courant

C’est justement l’erreur qu’a commise Alexandre Patte, gérant de BEF Sarc, également attaquée par un rançongiciel. Basée à Viabon (Eure-et-Loire), cette PME cumule les fonctions d’école de pilotage d’avion et d’importateur d’avions. « J’ai dû remplacer tous nos disques durs et tout réinstaller. Au passage, j’ai perdu un grand nombre de données », confie le chef d’entreprise. À l’inverse, comme chez Vingeanne, le CHU de Rouen s’est empressé de couper les accès à Internet. Et même au réseau interne. Puis, les équipes ont isolé tous les composants non impactés. « Notamment les sauvegardes, les bases de données ainsi que les baies de stockage », détaille Cédric Hamelin dans une étude de l’ANSSI (2).

La vertu des serveurs virtuels

Pour sa part, le groupe Vingeanne n’a pas autant souffert.« L’infection a été très limitée. Elle n’a touché que les fichiers auxquels la personne avait accès sur son instance de serveur virtuel. Les droits d’accès avec mots de passe forts pour chaque salarié constituent déjà une première barrière de sécurité », reprend Kevin Le Chevalier. Le responsable informatique a dû diagnostiquer les 40 serveurs du serveur physique. « Les serveurs virtuels sont plus faciles à isoler, à sauvegarder et à gérer. Notamment parce que nous avons un pare-feu sur la machine physique ainsi qu’un UTM (3). Ce qui offre une sorte de pare-feu virtuel pour chaque serveur virtuel. Il y a donc deux pare-feux à traverser », poursuit Kevin Le Chevalier.

Ne pas payer la rançon

« Nous n’avons pas eu besoin de payer une rançon car, à 7 heures du matin, il n’y avait pas grand monde dans la société. Les dommages ont donc été très circonscrits » précise Jean-Claude Plâ, PDG du groupe Vingeanne. Par ailleurs, dans un autre bâtiment, des serveurs de réplication configurés de la même façon que les premiers reçoivent chaque nuit les sauvegardes de tous les serveurs. Résultat, il n’a fallu qu’une demi-journée pour remplacer les fichiers endommagés.

Sauvegarder les données toutes les heures

Pas de quoi porter plainte à la gendarmerie. Cependant, Vingeanne a pris tout un train de mesures de prévention. À commencer par l’anti-spam Open Source MailCleaner. Puis le rythme des sauvegardes est passé de quotidien à horaire. Concernant les réplications sur les serveurs distants, elles se font désormais toutes les six heures. Un réseau local virtuel sécurisé de niveau 3 sur fibre optique relie les deux ensembles de serveurs. Sans possibilité d’y accéder de l’extérieur. Enfin, le groupe a adopté la solution d’intelligence artificielle Sophos Intercept X. Point fort, celle-ci comprend et bloque les attaques aussi bien automatiques que manuelles – ainsi que les cryptolockers. Même sur les smartphones. D’une manière générale, il faut aussi maintenir à jour le système d’exploitation des machines ainsi que les logiciels. En particulier les anti-virus. .

Campagnes de sensibilisation

Reste à maintenir le personnel dans un esprit de sensibilisation aux règles de cybersécurité. Mots de passe forts, ne pas ouvrir de pièces jointes des mails non identifiés… À cet égard, le groupe Vingeanne recourt à un service interactif de Sophos. Lequel permet d’organiser en interne des fausses campagnes de phishing et de rançongiciels. L’intérêt ? Voir si les salariés tombent dans le piège. Une chose est sûre : ceux qui se font ainsi avoir ne recommencent pas !

Erick Haehnsen

(1) Direction des systèmes d’information

(2) Agence nationale de la sécurité des systèmes d’information

(3) United Threat Management, système unifié de traitement des menaces