Le rançongiciel, quand la foudre tombe sur une organisation

Publié le 16 février 2021 à 17h12 - par

Les attaques par rançongiciel se sont multipliées ces derniers mois en France, plongeant des entreprises, collectivités ou institutions dans une situation de crise brutale pendant des semaines, voire des mois.

Le rançongiciel, quand la foudre tombe sur une organisation

L’hôpital de Villefranche-sur-Saône, près de Lyon, a été frappé lundi 15 février 2021, tout comme celui de Dax, dans le sud-ouest, une semaine plus tôt, ainsi qu’une collectivité en décembre ou encore la ville de Marseille à la veille des élections municipales françaises de mars 2020.

« J’ai été prévenu à 03h30 du matin, quand l’astreinte m’a dit qu’il n’y avait plus de téléphone » racontait récemment Jérôme Poggi, le responsable de la sécurité informatique de Marseille.

Lorsque les informaticiens sont arrivés au petit matin dans les deux centres de données de la ville, « les "visiteurs" (les pirates) étaient encore » dans le réseau de la ville “et toutes leurs charges n’avaient pas encore été déclenchées » a-t-il expliqué lors d’une conférence d’une association de spécialistes de cybersécurité.

Parmi les gestes d’urgence, arrêter les machines ou les couper du réseau pour tenter de freiner la propagation du virus de proche en proche.

“Au moment où l’on constate les premiers dégâts, on ne sait pas si le virus est encore en train de se propager dans le réseau de l’entreprise, ou bien si c’est déjà fini”, explique Robinson Delaugerre, cyber-pompier d’Orange Cyberdéfense. 

Cette filiale de l’opérateur télécoms français intervient en urgence pour venir en aide aux entreprises et institutions touchées par une cyberattaque.

Après l’arrêt d’urgence, il faut ensuite rechercher les causes de l’infection, pendant que la direction de l’entreprise monte une cellule de crise et organise la continuité de l’activité, parfois sans ordinateurs, sans courriels, sans téléphone…

« Nous parlons de la règle des 3X3 », explique Gérôme Billois, associé chez Wavestone, un cabinet de conseil qui dispose lui aussi d’équipes de cyber-pompiers mobilisables à la demande.

« Il y a trois jours de sidération, où tout le monde court partout, consomme une énergie folle… », explique-t-il.
 
« Puis trois semaines de gestion de crise », ou l’entreprise fonctionne avec « du papier et des crayons » et « 10, 15, 20 % » de son activité informatique, remise en route après avoir nettoyé le réseau du virus, ajoute-t-il.

1 500 ordinateurs formatés

 
Et au final, il faut souvent « 3 mois » pour arriver à retrouver une organisation adéquate, en remettant progressivement en route, par ordre de priorité, toutes les machines et applications, nettoyées des éléments d’infection.

« Nous avons dû formater 1 500 ordinateurs et ré-initialiser 250 serveurs », explique de son côté Arnaud Mabire, vice-président de la communauté d’agglomération Évreux Portes de Normandie, frappée par un rançongiciel mi-décembre.

Selon lui, il a fallu « un mois et demi » pour retrouver un fonctionnement à peu près normal, dans cette intercommunalité de plus de 100 000 habitants.

Les premiers jours de la crise sont souvent assez traumatisants pour les salariés, et en particulier pour les informaticiens, happés par l’urgence au risque d’y laisser leur santé.

« Je me souviens de cas ou nous avons demandé à des gens d’évacuer la cellule de crise, car ils finissaient par faire n’importe quoi sous le coup de la fatigue », indique Gérôme Billois, qui se rappelle avoir mis dans un taxi un informaticien épuisé pour qu’il rentre chez lui.

Et le paiement de la rançon demandée par les pirates informatiques ? Les autorités, en particulier l’Agence nationale de la sécurité des systèmes d’information (ANSSI), demandent aux victimes de ne pas la payer, pour tenter de casser la rentabilité des attaques pour les pirates.

Mais ce paiement n’est pas illégal, et les professionnels expliquent que certaines entreprises décident de payer, souvent après négociation, dans l’espoir d’accélérer leur retour à la normale, et aussi d’éviter la publication de données volées pendant l’attaque.

« Quand vous êtes chef d’entreprise, que toutes vos sauvegardes sont elles aussi chiffrées, que vous avez des chantiers à livrer, et que vous avez réussi à faire baisser la rançon de 400 000 à 20 000 euros, c’est difficile de ne pas payer », explique un expert.

Copyright © AFP : « Tous droits de reproduction et de représentation réservés ». © Agence France-Presse 2021


On vous accompagne

Retrouvez les dernières fiches sur la thématique « Institutions et administration territoriale »

Voir toutes les ressources numériques Institutions et administration territoriale