Ma femme adore s’habiller en Lise Charmel. Malheureusement, elle va devoir changer de boutique. Il y a quelques jours, cette société a été placée en redressement judiciaire, car incapable de reprendre son activité suite à une attaque de type ransomware en novembre dernier.

L’entreprise n’est pas énorme, elle réalise quelques dizaines de millions d’euros de chiffre d’affaires, mais c’est une marque à forte notoriété.
Du jour au lendemain, elle s’est retrouvée dans l’incapacité totale de pouvoir assurer son activité, laquelle dépend quasi entièrement de l’informatique.

Même si les raisons ne sont pas connues – d’une manière générale les entreprises ne communiquent pas sur ce genre d’événement en rentrant dans le détail -, Lise Charmel a assumé un choix clair et structuré : ne pas payer la rançon et repartir de zéro. C’est un pari osé, mais nul ne peut se mettre à leur place. Ce choix est assumé et à respecter. Parmi d’autres, Bouygues Construction a subi aussi il y a quelques semaines la même déconvenue. Je me suis donc permis de consulter mes homologues DSI pour savoir s’ils avaient entendu parler de quelque chose en la matière ou bien s’ils étaient touchés.

Silence radio ! En fait, l’amitié entre DSI s’arrête à la sécurité. Pas moyen d’obtenir de l’information, si ce n’est des cachoteries. L’omerta sur la profession ! Plutôt mourir que de révéler qu’on a « mal géré ». Mais mal géré quoi en fait ?

D’une manière générale, nous assurons tous une sécurité plutôt correcte. Je ne parle pas des sociétés qui n’ont toujours pas de RSSI ou de collaborateurs dédiés à la sécurité. Ceux-là, je les mets dans une catégorie à part plutôt orientée « je joue avec le feu ». Je parle des sociétés qui ont mis des moyens en place pour pallier ce genre de mésaventure. Un ami DSI me disait : « Mon principe n’est pas de me protéger à outrance, ça va énerver voire exciter les hackers. C’est plutôt de bien définir mon plan de secours ou de reprise d’activité pour chacune des situations. » Je trouve l’approche plutôt bonne, un peu comme cette maxime sur l’échec : « Peu importe l’échec, l’essentiel est de se relever ».

Quand l’incident survient, il y a trois interrogations à résoudre : Comment a-t-on fait pour se faire hacker ? Quels sont les dégâts causés ? De quelle façon se relève-t-on ?

Pour la première, c’est clair, le maillon faible c’est vous, c’est moi, ce sont nos utilisateurs. Combien de fois faudra-t-il leur répéter : « Avoir un mot de passe fort, ne pas le donner, en changer » ?
Le déroulé est toujours le même. Le hacker joue sur le triptyque émotif Urgence-Affectif-Économique, et parfois sur deux des trois en même temps. Ainsi ce message d’un faux administrateur : « Votre compte sera suspendu dans trois heures si vous ne changez pas votre mot de passe ». Ou celui d’un « ami » : « Bonjour, c’est [ton ami], j’ai un problème temporaire de trésorerie… »
Moi je peux vous prédire que c’est vous qui allez bientôt en avoir un gros…
Donc, même si nous explicitons simplement et de façon ultra pédagogique ces trois principes URAFEC (Urgence, Affectif, Économique), il faut se rendre à l’évidence… le maillon faible c’est pourtant bien lui.
Donc si c’est le maillon faible, il ne faut jamais se dire qu’une bonne politique de sécurité très orientée utilisateur est le bon remède. Au mieux vous échapperez à ce ransomware, mais un jour ou l’autre… ça passera. Dans cette même catégorie de maillon faible il y a aussi une – petite, espérons-le – population de DSI dont les serveurs ne sont pas patchés et dont les antivirus ne sont pas à jour.

La deuxième phase, une fois que vous avez été hacké, c’est la phase de la découverte de l’ampleur de la catastrophe et des premiers réflexes. Généralement, ça vient d’un utilisateur qui ouvre un ticket pour un problème de crypto bidule, et votre support découvre que c’est en fait des dizaines et dizaines de personnes…
Là encore, si vous n’êtes pas préparé à cette crise et aux bons réflexes, ça va être dur. Pour moi le seul bon réflexe c’est : on arrête tout ! « Mais vous n’y pensez pas ?! Et le business, il va tourner comment ? », va-t-on vous rétorquer prestement.
C’est là que vous verrez si vous êtes un DSI influent et convainquant…
La meilleure chose est de segmenter. On arrête l’activité, on débranche les postes du réseau et on y va un par un. C’est long, c’est fastidieux, ça fait perdre du temps ? Perdre ? Non, même pas. En pleine crise de Coronavirus que fait-on ? Les personnes touchées, on les isole ! Là c’est pareil.

Et maintenant, que faire ? Comment se relever de tout ça ? Si vous avez été précautionneux, vous devriez vous en tirer sans trop de dégâts, mais votre arme la plus efficace est votre gestion des sauvegardes. Si vous avez une stratégie de sauvegarde qui vous permet de « revenir en arrière », vous serez bon pour quelques jours de perte de données, sinon vous mettez votre entreprise en danger très clairement.

Donc en substance, donnez-vous une vraie politique de sécurité, mettez des moyens, mais surtout dotez-vous d’un très bon scénario de reprise d’activité avec des équipes prêtes à être sur le pont à la moindre alerte. Et… ne surestimez pas vos utilisateurs : il ne doit pas y avoir de place pour l’émotion dans la sécurité.
___________________

Par Mathieu Flecher, DSI d’une entreprise industrielle française
Mathieu Flecher est le pseudonyme d’un DSI bien réel

Tribune écrite en février (bien avant l’annonce du confinement donc) et publiée dans le numéro 2248 daté mars du magazine IT For Business.