Découvrez le passionnant témoignage de la mairie d'Aix-les-bains victime d'une cyberattaque d'envergure

Secu

Aix-les-Bains : Comment la ville a géré une cyberattaque

Par Alain Clapaud, publié le 14 mars 2024

En mars 2023, la mairie de la station thermale savoyarde d’Aix-les-Bains connaissait une cyberattaque qui allait immobiliser son informatique pendant quatre mois. Son DSI raconte comment les équipes de la collectivité locale ont géré cette crise.

C’est lors d’une réunion hebdomadaire de la DSI en mars 2023 que l’équipe informatique a été avertie par le service RH que le traitement de la prochaine paie posait problème. Le calcul des éléments variables de chaque bulletin demandait alors entre 20 à 25 minutes de calcul, contre cinq en temps ordinaire. « En consultant les courbes d’activité des machines, nous nous sommes aperçus que nos serveurs étaient tous chargés à 100 % », raconte François Fumu Tamuzo, DSI de la mairie d’Aix-les-Bains. « Tous nos serveurs étaient inutilisables et nous avons immédiatement suspecté une situation anormale. »

Le DSI décide alors d’arrêter immédiatement toutes les machines et d’appeler l’ANSSI qui confirme la piste d’une cyberattaque.

Un cryptominer sature les serveurs obsolètes

L’agence indique au DSI une société spécialisée dans la réponse à incident qualifiée PRIS (Prestataire de réponse aux incidents de sécurité) qui va l’aider à identifier la faille de sécurité et qualifier l’attaque. En l’occurrence, il ne s’agit pas d’une tentative de chiffrement des données suivie d’une demande de rançon. L’attaquant a exploité une faille afin de placer un cryptominer sur les serveurs et miner de la cryptomonnaie à l’insu de la DSI en utilisant ses ressources.

« Là où l’attaquant n’a pas eu de chance, c’est que notre parc de serveurs était obsolète et devait être remplacé, commente le DSI. Nos machines n’étant pas très puissantes, les calculs du cryptominer ont totalement compromis leurs performances et nous avons immédiatement détecté la surcharge de calcul occasionnée. Cela nous a permis de rapidement confiner les serveurs et bloquer l’attaquant. Une chance car il avait pris le contrôle et faute de pouvoir miner des cryptomonnaies, il aurait pu chiffrer nos données et demander une rançon. »

L’obsolescence du parc de serveurs de la mairie d’Aix-les-Bains a permis de repérer immédiatement le déploiement de logiciels de cryptomining sur 80 machines. Le confinement immédiat du système d’information a empêché le pirate de réagir.

Il faut noter que les services de la mairie avaient bien identifié les faiblesses de la sécurité de son système d’information. Une stratégie de consolidation avait été lancée en début d’année, suite à plusieurs attaques qui avaient frappé d’autres villes de la région. « Un budget de 800 000 € avait été voté en mars pour déployer un EDR sur nos machines, c’est-à-dire juste avant l’attaque. Nous devions lancer la procédure de marché public en avril/juin et c’est pendant la phase préparatoire que la cyberattaque a eu lieu », déplore le DSI.

Le point d’entrée de l’attaquant est rapidement identifié

Une cellule de crise est formée et va travailler presque en H24. En journée, les réunions se succèdent entre les décideurs, dont le directeur du cabinet, un représentant du maire, l’élu en charge du numérique, les directions métiers et l’équipe informatique. Le DSI ajoute : « La nuit, par exemple, nous lancions les calculs de bulletins de paie afin de vérifier les résultats obtenus pour ensuite faire un compte-rendu technique auprès du Codir, notamment pour les directrices des services clés comme la paie et la direction financière qui devaient gérer l’activité de leurs services en mode dégradé. Il nous fallait aussi préparer la communication, notamment auprès du personnel. »

Entre-temps, l’expert cybersécurité de Wavestone est arrivé depuis Paris pour une intervention de cinq jours. Il ne va finalement rester que deux jours, car l’équipe informatique a vite avancé dans la gestion de la crise. Le chemin d’attaque est rapidement identifié : l’attaquant est passé par un serveur DNS mutualisé avec l’office du tourisme, avant de rebondir dans le système d’information de la mairie. Dans la foulée, la cellule de crise prévient l’office du tourisme et la décision de couper le lien avec ce serveur DNS est prise.

Un mode de travail dégradé est mis en place

Le DSI va s’appuyer sur la méthode AMDEC (Analyse des modes de défaillance, de leurs effets, et de leur criticité) pour mettre en place un mode de fonctionnement dégradé le temps de nettoyer le système d’information. « Cette approche nous a permis de repérer tous nos logiciels critiques, mais aussi d’élargir notre cartographie applicative. En effet, les utilisateurs ont eu recours à de multiples logiciels tiers pour assurer la continuité du service et il nous fallait les identifier pour sécuriser ces flux. »
Gestion des tickets-restaurant, mise sous pli des bulletins de paie, etc. : l’équipe informatique a dû passer au crible toutes les URL de ces services externes pour en connaître l’utilité réelle, leur criticité, définir un fonctionnement en mode dégradé et enfin déterminer les modalités de retour en mode normal.

François Fumu Tamuzo

DSI de la mairie d’Aix-les-Bains

« La cellule de crise travaillait presque en H24 sur toute cette période, avec les comités de direction le jour, le travail sur la remédiation de l’attaque la nuit. »

Lors de cette phase critique, tout le personnel de la mairie a dû rester présent car il fallait aider l’équipe informatique à identifier toutes les tâches, à mettre en place le fonctionnement en mode dégradé et à remplacer chaque workflow par une procédure papier. « Au total, nous avons identifié une centaine de flux de données, détaille le DSI. Par exemple, nous avons dû décider si nous pouvions nous passer d’envoyer le fichier de commande des tickets-restaurant et simplement demander les tickets du mois précédent. Pour chaque application critique, il fallait trouver le bon mode dégradé. Ainsi, pour le mois de mars, nous avons édité la même paie que celle de février car le flux était déjà chez le trésorier public. Nous avons corrigé les écarts dans un second temps. »

Le traitement automatisé des factures a dû également revenir à un fonctionnement manuel, avec un envoi des fiches d’intervention par les fournisseurs et de leurs factures par courrier postal. De même, la mairie a été contrainte de repasser en mode papier pour les actes d’état civil, quitte à scanner par la suite les informations pour les réintégrer aux bases de données.

Une remédiation menée avec l’assistance de l’Anssi et de F-Secure

La deuxième phase de cette gestion de crise a porté sur la remédiation de l’incident, dont le nettoyage de tous les serveurs et de tous les postes utilisateurs. Toutes les machines en télétravail sont donc rappelées et « désinfectées ». Jusqu’alors équipés du simple antivirus Dr.Web, les postes sont alors pourvus de l’EDR de WithSecure (ex F-Secure Corporate), déjà retenu par la DSI avant que la crise cyber ne survienne.

Pendant cette phase de nettoyage, l’activité de la mairie a continué en mode dégradé : « Nous ne laissions circuler que les flux critiques en les contrôlant au plus près. Ainsi, on ouvrait le port réseau concerné le temps de l’envoi des données et nous le refermions immédiatement après. Les flux étaient analysés et les fichiers logs envoyés à l’ANSSI pour analyse. »

Les utilisateurs et les administrés ont dû vivre avec ce fonctionnement pendant quatre mois, de mars à juillet. Ce n’est qu’à partir de l’été que la mairie a pu relancer tous les services publics en mode normal.

LE PROJET EN CHIFFRES

4 mois de fonctionnement en mode dégradé

80 serveurs Windows 2003 à 2008 infectés

300 postes nettoyés par GPO (Group Policy Object) sur le réseau, 120 portables (télétravail) rapatriés pour nettoyage

L’ORGANISME

Activité              : Collectivité territoriale
Effectifs communaux   : 575 collaborateurs
Budget principal 2023 : 45,6 M€ de recettes


À LIRE AUSSI :


À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights