« C'est probablement la plus sérieuse cyberattaque depuis des années dans la région bien qu'il s'agisse plutôt d'une attaque d'opportunité que d'une action ciblée », juge Guy Flament, le directeur du Cyber Campus Nouvelle-Aquitaine. L'attaque a en effet eu de très lourdes conséquences pour Coaxis, entreprise lot-et-garonnaise spécialisée dans l'hébergement de données sensibles, et pour ses 1.500 clients dont 1.200 cabinets d'expertise comptable. « Dans la nuit du 7 au 8 décembre, nos équipes ont observé l'indisponibilité de nos systèmes. Il est aujourd'hui confirmé que nous avons fait face à un incident de sécurité par rançongiciel du groupe Lockbit 3.0 (*) », indique l'entreprise d'une centaine de salariés, 18 millions d'euros de chiffre d'affaires. Le rançongiciel consiste à bloquer des données numériques et à exerce un double chantage de paiement de rançon et de diffusion des données.
Plus d'un mois plus tard, la situation est enfin rétablie au prix d'efforts intenses comme en témoigne Joseph Veigas, le dirigeant de Coaxis, ce mardi 16 janvier : « Nos clients ont été sévèrement pénalisés. Tous nos systèmes ont été indisponibles pendant huit jours avant de remonter la pente progressivement : 16 % de systèmes rétablis le 23 décembre puis 80 % le 4 janvier et, enfin 100 % le 8 janvier après un mois d'effort acharnés ! »
« Cela a été violent, très marquant »
Hébergeur de données sensibles, Coaxis, qui a été épaulée par son prestataire Orange Cyberdéfense (OCD), assure qu'aucune donnée appartenant à ses clients n'a été dérobée. « Nous avions des plans de continuité et de reprise d'activité et nous avions mené des exercices internes si bien que chacun savait quoi faire dans la cellule de crise. Mais malgré tout ça nous n'avions pas envisagé une crise de cette ampleur, sur un tel périmètre... Cela a été violent, très marquant, et je salue l'investissement remarquable de nos collaborateurs tout particulièrement pendant les fêtes », poursuit Joseph Veigas.
Tous les systèmes contaminés ont été détruits et remplacés par des machines neuves tandis que les équipes d'OCD et les gendarmes du C3N (Centre de lutte contre les criminalités numériques) se sont chargés de l'enquête. La faille proviendrait d'un des clients de Coaxis où la C3N est allée saisir des ordinateurs. « De notre côté, conformément aux procédures, nous avons choisi de ne pas payer la rançon de plusieurs millions d'euros ni même de rentrer en contact avec les assaillants », précise le chef d'entreprise qui n'a pas encore chiffré l'impact financier total pour Coaxis mais évalue déjà le coût du redémarrage en centaines de milliers d'euros.
Mieux anticiper la communication de crise
Avec le recul, le chef d'entreprise se félicite qu'aucune donnée de ses clients n'ait été exfiltrée et d'avoir pu s'appuyer sur des procédures rodées pour redémarrer même si le compte n'y est pas totalement :
« On ne savait pas maîtriser le facteur temps pour relancer tous les systèmes de manière sécurisée. On tablait sur trois semaines, ça a finalement pris un mois, note Joseph Veigas. Il y a un décalage certain entre la gravité de la situation et la perception qu'on peut avoir en externe de la simplicité d'un redémarrage. On va donc préparer un plan de communication de crise avec nos clients avec davantage d'échanges et de transparence. »
Une imprimante non sécurisée
Quelques jours avant Coaxis, c'est le transporteur régional Guyamier (350 salariés, 35 millions d'euros de CA) qui était également victime d'une attaque au rançongiciel. « Le 5 décembre à 8h30, ce n'était plus possible de se connecter à notre système, on a compris qu'on était attaqué. On a aussitôt débranché tout le système et appelé la gendarmerie. Les équipes du Cyber Campus étaient sur place dès le lendemain matin ! », se souvient Nicolas Guyamier. L'enquête technique avance et la porte d'entrée est identifiée rapidement : « C'est une imprimante d'une de nos filiales installée dix jours plus tôt. Le prestataire n'a pas vérifié si le scanner était protégé, il était donc déverrouillé ce qui revient à laisser votre porte grande ouverte », se désole le chef d'entreprise qui évoque « une discussion franche avec le prestataire sur ce sujet ».
Avec au final des conséquences moins pires qu'anticipé pour le transporteur girondin privé de mails pendant six jours et contraint de repasser au papier et au téléphone. Mais l'activité n'a pu reprendre de manière normale que le 21 décembre, soit deux semaines plus tard. « Nous n'avons pas perdu de production ni de données grâce aux sauvegardes que nous avions. Les équipes clients ont énormément travaillé et la principale conséquence à ce stade c'est des décalages de facturation », souffle Nicolas Guyamier. Secoué par cet épisode, le dirigeant en retient trois leçons : « on va internaliser tout ce qui touche à l'installation de nos matériels, on a triplé nos procédures de sécurité et on fera davantage de sauvegardes physiques sur disque dur externe, c'est clairement ça qui nous a sauvé en évitant des pertes de données ! »
Une augmentation des menaces
Malgré ces deux attaques d'ampleur coup sur coup, Guy Flament n'y voit pas un schéma coordonné : « La concomitance de ces deux cyberattaques me semble purement circonstancielle mais cela traduit la tendance de fond qui est à l'augmentation des menaces et des actes malveillants. Nous recevons des dizaines de signalements par mois en Nouvelle-Aquitaine et ça ne cesse d'augmenter. »
Joseph Veigas ne se montre pas plus optimiste : « Sincèrement, je ne souhaite à personne de vivre ce que nous avons vécu mais je crains que des attaques similaires se reproduisent dans d'autres entreprises à l'avenir... » Un constat également étayé par Martin Véron, le directeur régional de l'Anssi (Agence nationale de la sécurité des systèmes d'information), qui s'exprimait début décembre lors d'une journée organisée par le Département de la Gironde : « Depuis le Covid, les attaques sont plus massives et aléatoires, elles sont beaucoup moins ciblées et cherchent à attaquer les structures publiques ou privées les plus vulnérables. Les tensions internationales et les Jeux olympiques de Paris 2024 vont encore accroître le risque en 2024. »
Une convention pour fluidifier les échanges Les services de l'État, dont la police et la gendarmerie, ceux du conseil régional de Nouvelle-Aquitaine et ceux du Cyber Campus de Nouvelle-Aquitaine, qui héberge le Csirt (centre de réponse aux attaques informatiques), ont signé le 8 janvier dernier une convention pour fluidifier les échanges mutuels d'information en cas d'attaque et clarifier le rôle de chacun. « L'objectif c'est que tout le monde partage les informations, travaille main dans la main et que chacun sache quoi faire : le Cyber Campus gère l'enquête technique et les services de police s'occupent de la plainte et de l'enquête et instruction judiciaire », présente Guy Flament. Le Cyber Campus pilote également le service gratuit « Mon aide cyber » permettant à toutes les TPE et PME d'obtenir un diagnostic sur leur vulnérabilité aux cyberattaques. 200 diagnostiqueurs ont déjà été formés.
(*) LockBit est un puissant rançongiciel utilisé depuis 2019 et, par extension, c'est aussi le nom du groupe de hackers qui l'exploite. Parmi les victimes connues, Lockbit a déjà utilisé pour attaquer notamment Thales, La Poste Mobile, l'hôpitall de Corbeil Essonnes, Continental, Voyageurs du Monde, Boeing ou encore ICBC.
La SNCF priée de justifier l'intérêt des aménagements ferroviaires au sud de Bordeaux
Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !