Faire du Grand Ouest le territoire numérique de demain

Article

Attaques cyber : retour sur la soirée "C'est arrivé près de chez vous !" à Rennes

Le 16 septembre dernier, pour sa soirée de rentrée, la communauté ADN Cybersécurité proposait à la Maison des Associations de Rennes une soirée spéciale témoignages et retours d’expériences d’attaques cyber locales.

Rennes Métropole : place forte de la cybersécurité en France

Après une introduction par Yann Huaumé, Vice président au numérique Rennes Métropole, qui a présenté le point de vue de la métropole sur la cybersécurité, Hélène Rasneur, Secrétaire Générale de l’Audiar a fait un focus sur les chiffres clés de l'écosystème territorial, rappelant que l’emploi salarié privé en cybersécurité en Ille-et-Vilaine a été multiplié par 2,5 en 10 ans. 

La présentation du radar 2021 des startups cybersécurité réalisé par Wavestone a également démontré la position centrale de la métropole rennaise dans l’écosystème cyber : grâce à sa place affirmée dans la cybersécurité civile et militaire, Rennes concentre 10% des 150 startups du radar et 2 d’entre elles sont dans le top 10 des levées de fonds 2021.

Radar des startups Cyber Wavestone

La cybersécurité est, à n’en plus douter, un secteur en pleine expansion dans la région, et qui recrute, tant les besoins face aux cyberattaques sont croissants.

La cyberattaque subie par le groupe SIPA -Ouest France : récit d’une crise vue de l’intérieur

En novembre 2020, le groupe SIPA - Ouest France subissait la plus grande attaque cyber de son histoire. Un an après, Guy Sauvage, RSSI du groupe, et Frédéric Daniel, Manager Conseil & Audit chez Orange Cyber Défense reviennent en détail sur les circonstances, les conséquences et les solutions mises en place suite à cette attaque. 

Guy Sauvage a commencé son récit en dressant le profil de la victime : le groupe Sipa, une société de près de 3500 collaborateurs, qui en plus du quotidien Ouest France, gère plusieurs hebdomadaires payants et gratuits, et s’est diversifié dans les secteurs de l'édition, des régies publicitaires et de la régie d'affichage publicitaire.

Il a ensuite relaté avec précision l’enchaînement rapide des événements pendant les 24 premières heures :

  • “Le vendredi 20 novembre à 23h45, les services industriels commencent à constater des lenteurs sur les rotatives d’impression et un message sort des imprimantes : “Vous avez été attaqué”
  • Le support informatique, présent jusqu’à 1h du matin est tout de suite informé de la situation, ce qui permet de faire remonter l’information très rapidement jusqu’aux équipes managériales. 
  • Le RSSI opérationnel arrive sur place peu après minuit et commence par isoler le service.
  • Le premier réflexe des équipes est d’assurer à tout prix la mission d’information qui leur incombe et des efforts considérables sont déployés pour sauver la production du journal du samedi. 
  • Dès 3h du matin, on réveille tout le monde pour déclarer l’état de crise et prévenir l’ANSSI. 
  • A 6h26, on appelle Orange Cyber Défense qui va rapidement rassurer les équipes sur ce qui est en train de se passer et sur ses capacités à continuer à travailler, même dans ces conditions.
  • A partir de ce moment-là, plusieurs cellules de crises sont mises en place pour gérer la situation et prendre les décisions qui s’imposent. Des cycles de réunions régulières permettent de définir les priorités et reprendre la production, même en mode dégradé. 
  • Dès 10h30, la décision d’assurer la continuité dans le journal est prise : la production du dimanche sera assurée. 
  • En début d’après-midi, le PRA commence à être déployé. Le plan initialement imaginé sur 3 semaines sera finalement réalisé en 4. 
     
REX Ouest France

Quelles phases ont traversé les équipes dans la résolution de crise ?

“Le passage de l’état de “sidération” à la “mobilisation” a finalement été très rapide. Le confinement a permis de trouver les experts disponibles chez eux, et ils ont répondu présent, même en plein week-end. A la fin de la première journée, il a fallu couper internet pour préserver les ressources et l’humain : les équipes étaient conscientes que la gestion de la crise serait longue. 

Durant les phases suivantes de “remédiation” et de “reconstruction”, il a fallu également gérer d’autres problématiques : le retour des utilisateurs finaux sur site le lundi qu’il a fallu informer de ne pas se connecter au réseau, la gestion de la facturation la semaine suivante, puisqu’on était à la fin du mois, une panne de réseau…tout autant de situations dans lesquelles il a fallu intervenir rapidement.”

Quel bilan tirer de cette crise ? 

“Le bilan financier de cette cyberattaque est lourd : la capacité d’impression a chuté, cela a généré du manque à gagner, un manque à la vente pour les annonceurs et du retard dans les roadmaps projets. Il a également fallu reconstruire la confiance avec les différentes parties prenantes (partenaires et clients) : plus de 30 000 messages ont été envoyés pour les rassurer. 

Mais on peut également tirer un bilan positif de cette crise : l’investigation menée a permis d’identifier l’attaquant et de participer au démantèlement du groupe Egregor en collaboration avec les autorités, d’identifier les failles internes et de les réparer, mais aussi de sensibiliser les équipes à l’utilité du travail des DSI. La collaboration avec des partenaires spécialisés a permis de réagir très rapidement et d’avoir les bons premiers gestes de gestion de crise. L’analyse de risque qui avait été faite peu de temps auparavant avait permis d’identifier les actions à mettre en place.

Aujourd’hui, on se trouve dans une phase pivot, on sait que cette crise est passée, mais qu’il y en a forcément une autre qui est encore devant nous et il faut s’y préparer.”

Quelles recommandations peut-on partager ? 

“On aurait pu faire une liste avec tout le plan d’action, mais on a sélectionné ce qui nous a permis de remonter le courant très rapidement :

  • Sécuriser les infrastructures de sauvegarde, d’archivage et les tests de restauration de ces sauvegardes.
  • Avoir un partenaire pour vous accompagner sur la gouvernance de la crise, joignable en 24/7
  • Avoir un plan, même macro, qui permet au moins de partager les priorités nécessaires aux premières décisions.
  • S'entraîner à la gestion de crise, ne pas attendre d’être au top pour s'entraîner. Faire des exercices réunissant techniciens et métiers, impliquant la DG : diminuer les temps de sidération et mobilisation, poser les premier éléments d’organisation
  • Avoir un SOC et l’outillage EDR nous aurait grandement aidés."
     

Les cyberattaques vues depuis le Ministère de l’Intérieur 

Gwendal Chevalier, en charge de la protection des entreprises stratégiques et innovantes contre les ingérences étrangères au Ministère de l’Intérieur, est un témoin privilégié des attaques contre les entreprises françaises. Lors de cette soirée, il a témoigné de la diversité et la multiplicité des attaques qui sont subies par les entreprises, de l’artisan au CAC 40. 

De l’importance d’être bien accompagné

Aujourd’hui, on ne peut plus ignorer le risque cyber : peu importe la taille de la structure, toutes les entreprises seront tôt ou tard la cible de cyberattaques. Toutes n’auront pas les mêmes moyens pour s’en protéger, mais il faut savoir anticiper et sous-traiter si besoin. A Rennes particulièrement, il y a de nombreuses entreprises spécialisées en cybersécurité qui pourront accompagner les petites structures qui ne peuvent pas se permettre de mettre en place une équipe spécialisée. 

Les autorités publiques doivent toujours être alertées en cas de crise, car le dépôt de plainte permettra de faire tomber les réseaux de cybercriminels, mais il ne faut pas oublier que le temps de la justice n’est pas celui de la technique et qu’il faut être accompagné par un opérateur privé qui soit toujours disponible pour gérer la crise. 

Comme le témoignage de Guy Sauvage l’a bien montré, le fait d’être accompagné par un prestataire de confiance permet de mieux vivre la crise lorsque celle-ci survient. Il ne faut donc pas hésiter à tester l’efficacité du prestataire choisi en essayant de le contacter tard dans la nuit par exemple pour voir si le service est bien assuré. 

Anticiper, prévenir, sensibiliser

Pour être prêt en cas de crise, il faut partir de l’hypothèse que lorsqu’on sera attaqué, on ne pourra pas parer l’attaque. Il faut donc mettre en place un plan de prévention et établir un PRA pour faire repartir l’activité au plus vite. Dans l’élaboration de ces plans, il est important de définir précisément ses priorités : que faut-il remettre en route tout de suite, qu’est-on prêt à perdre, quel doit être le sanctuaire de l’entreprise ? 

Dernier élément, mais qui a toute son importance : il faut sensibiliser les collaborateurs au risque. Plus ils seront sensibilisés et formés aux risques cyber, au fait que chacun a un rôle à jouer, mieux ils pourront réagir en cas d’attaque.  

En conclusion : il est impossible pour une entreprise d’espérer échapper au risque cyber, donc il est indispensable d’anticiper, prévenir et sensibiliser.
 

Prochaines dates :

Ne ratez pas les prochains rendez-vous "Attaques cyber : c'est arrivé près de chez vous !"

Nos dernières actualités

Découvrir toutes les actualités