Faire du Grand Ouest le territoire numérique de demain

Article

Cyberattaques en Vendée : partages d’expérience et bonnes pratiques

Cette matinée a été l’occasion de favoriser la prise de conscience sur l’importance de la sécurisation du système d’information. La cybersécurité représente un panel large de risques. Les acteurs en ont évoqué deux majeurs : le phishing (ou hameçonnage) et le ransomware (ou rançongiciel).
 

Un état des lieux de la cybersécurité sans appel

Au niveau national, l’ANSSI a identifié 192 attaques en France en 2020, chiffre en hausse de 225% par rapport à 2019. Plus édifiant encore, le site du gouvernement Cybermalveillance enregistre 120 000 procédures cybersécurité en 2021 par la gendarmerie (escroqueries, atteintes aux personnes).

Les 2 principales menaces encourues par les entreprises sont le phishing et les systèmes exposés sur internet (dont notamment les attaques de Remote Desktop Protocol, le protocole permettant à un utilisateur de se connecter à distance).

Après ces premiers éléments, Ludovic de Carcouët, Président de Digitemis, a souligné l’enjeu crucial que représente l’adoption de bonnes pratiques sécuritaires par tous les collaborateurs de l’entreprise. En effet, 3 attaques sur 4 sont dûes à une erreur humaine (d’usage, de procédure) et non technologique.

Plus les entreprises sont matures, plus le budget alloué à la sécurité informatique est élevé.
Ludovic de Carcouët, Président, Digitemis

En cas de gestion de crise, le fondateur de Digitemis a rappelé les étapes à suivre :

  • Ouvrir une main courante
  • Isoler le système d’information
  • Contacter vos partenaires cyber
  • Activer la cellule de crise
  • Bien communiquer en interne et en externe
  • Investiguer et rétablir
  • Clôturer et faire le bilan
  • Améliorer les process et outils

A la suite de ce panorama chiffré, les participants ont pu profiter de deux partages d’expérience concrets.
 

Cyberattaque #1 : Usurpation d’identité d’un employé du groupe Mousset

Christophe Bartheau, DSI de La Mie Câline a commencé par détailler la tentative d’extorsion par l’usurpation d’identité d’un salarié du groupe Mousset. Le service comptabilité de la Mie Câline reçoit en 2020 un faux ordre de virement, indiqué provenir de la part de son fournisseur, le groupe Mousset. Pris de doute en lisant cet email crédible, le service comptable informe la DSI pour en vérifier l’authenticité. Le groupe Mousset est contacté pour confirmer la fraude. A la suite de cette découverte, les réactions s’enchaînent : identifier l’auteur de cet email, informer en interne sur la partie financière, avertir le métier et mettre en place un plan d’action.

A l’issue de cette cyberattaque, plusieurs décisions ont été prises pour renforcer la sécurité. Tout d’abord, le changement des mots de passe de toute la direction financière, mais aussi la prise de contact avec les autres fournisseurs pour voir si d’autres acteurs avaient été impactés. Dans un second temps, les faits ont également été partagés en comité de direction pour action : 

Nous avons profité de cet événement pour sensibiliser sur l’enjeu d’investir davantage au niveau de la sécurité.
Anaïs Babin, Directeur des systèmes d’information, Groupe Mousset 

Depuis un an, l’entreprise a été victime de plusieurs autres tentatives d’usurpation.

Afin de les empêcher, le groupe continue à éprouver la sécurité de son réseau informatique en réalisant régulièrement des tests d’intrusion. Des campagnes de sensibilisation annuelles sont également menées auprès de tous les collaborateurs de l’entreprise, y compris les membres de la direction.

Deux bonnes pratiques à retenir
  • Avoir une gestion fine des droits avec une ségrégation des rôles : une seule personne ne maîtrise pas l’ensemble des flux

  • Accentuer la sensibilisation des utilisateurs : créer des réflexes personnels qui vont se répercuter dans la vie professionnelle du collaborateur

Cyberattaque #2 : le groupe Beneteau victime d’un ransomware 

Le constructeur de bateaux vendéen a été la cible d’une cyberattaque par ransomware en février 2021. L’attaque a débuté le 15 février, mais elle a été révélée dans la nuit du 18 au 19 février. D'après l’outillage utilisé, les hackers étaient de haut niveau ce qui a pesé sur les prises de décision dans les premières heures. Jean-François Pasquier, Chief Information Officer du groupe, revient sur les choix de l’entreprise :


Déterminer le schéma de l’attaque et les points de vulnérabilités
Les équipes infrastructure, avec l’aide d’un partenaire externe, ont pris le temps d’investiguer et de préciser le schéma de l’attaque.  Elles ont pu identifier les protections que les hackers avaient réussi à déjouer, évaluer les données exfiltrées, et vérifier l’état des sauvegardes.

L’équipe découvre que l’attaque provient d’un mail de phishing ciblé ouvert par un employé. Cet email était censé provenir d’un client, avec une pièce jointe contaminée sous la forme d’un “vrai/faux” document à télécharger et à signer électroniquement.

En cyber, on est aussi fort que le plus faible de nos maillons de protections techniques et humaines.
Jean-François Pasquier,  DSI Groupe Beneteau

Redémarrer par une approche “zéro trust
Les équipes ont renforcé la sécurité de la reprise au maximum en redémarrant progressivement dans des bulles de confiance. Au début, quelques représentants métiers ont redémarré l’activité depuis un site physique principal en s’appuyant sur un nouveau socle informatique groupe avec la sécurité au cœur de l’architecture, et des procédures sécurisées d’échanges de données avec les autres sites. Après trois semaines acharnées, l’essentiel de l’activité redémarre enfin. 

La meilleure alliée de la sécurité est la standardisation.
Jean-François Pasquier,  DSI Groupe Beneteau

Les bonnes pratiques retenues par le groupe Beneteau
  • Définir les priorités de reprise d’activités en fonction des enjeux économiques associés et garder le cap en les traitant l’une après l’autre
  • En profiter pour plus standardiser les infrastructures du groupe 
  • Identifier et déployer les moyens d’échanges sécurisés (messagerie, espaces collaboratifs)
  • Faire simple et régulier dans la communication
  • Redémarrer en mode zéro trust sous forme de bulles de confiance
  • Collaborer avec les cyber-assureurs de façon à prioriser, challenger leurs multiples demandes d’information pour réduire les délais de traitement du sinistre
  • Recourir à des expertises extérieures (gestionnaire de crise, expertise technique) tout en assumant que cela exige de prendre le temps de les coordonner
Les actions pour faire mieux… la prochaine fois 
  • Rendre accessible et diffuser l’information jusqu’à l’utilisateur : mettre en place des moyens pour mieux les accompagner dans la reprise de leur activité

    • Proposer un portail dédié à la transmission des informations en cas de crise

    • S’appuyer notamment sur un communiquant dédié qui pourra décliner pour chacun des sites et des fonctions 

  • Déployer les solutions techniques pour redémarrer plus vite la prochaine fois.
     

Un grand merci aux intervenants pour le partage de leur vécu :

 Merci également à notre partenaire la LOCO numérique qui a accueilli l’événement !

Nos dernières actualités

Découvrir toutes les actualités