Claire Lemarchand : « En cas de cyberattaque, le piège est de vouloir redémarrer trop vite »

Le 17 janvier 2024 est une date que Claire Lemarchand n’oubliera pas de sitôt. Directrice de la communication d’Ecosystem.eco, un éco-organisme spécialisé dans le prolongement de la vie des équipements électriques et électroniques, elle s’est retrouvée confrontée avec ses collègues à une cyberattaque des infrastructures de son entreprise. Pour InCyber News, elle nous raconte cette expérience éprouvante mais riche en enseignements.

Pouvez-vous expliquer ce qui s’est passé lors de la cyberattaque qui a frappé votre entreprise le 17 janvier dernier ?

Je me souviens. Nous étions un jeudi en fin d’après-midi lorsqu’un technicien informatique a constaté des mouvements anormaux sur certains répertoires de notre serveur d’entreprise. Il a aussitôt lancé l’alerte et nous avons rapidement constitué une cellule de crise. Les investigations ont vite révélé que nous étions face à une cyberattaque. Des individus étaient en train d’essayer de s’emparer de fichiers de données nous appartenant à l’aide d’un rançongiciel. Ce qui nous a conduit dans un premier temps à aussitôt couper notre portail avec nos différents prestataires logistiques et nous avons pris contact avec l’ANSSI pour leur faire part de ce qui nous arrivait.

Il était essentiel de mettre sous cloche notre environnement informatique. Nous avons donc tout débranché pour éviter toute propagation. Ce qui a impliqué de devoir travailler en mode papier et crayon. Ce qui ne fut pas sans problème pour les plus jeunes collaborateurs qui sont vite perdus sans écrans ! Certains persistaient à envoyer des courriels via leur téléphone mobile. Il a fallu procéder à un rappel à l’ordre un peu plus ferme pour que tout soit correctement déconnecté et verrouillé.

Comment avez-vous communiqué auprès de vos différentes parties prenantes ?

Nous avons d’abord informé les collaborateurs dans la matinée du jour suivant en expliquant que nous rencontrions de gros soucis informatiques sur notre réseau mais sans mentionner qu’une cyberattaque nous frappait. Avec le recul, je me dis que nous aurions sans doute pu être un peu plus précis. Cela aurait sans doute conduit certains à immédiatement basculer en mode dégradé plutôt que de persister à partager des messages avec leur portable.

En parallèle, j’ai organisé des conférences téléphoniques avec les équipes pour annoncer le mode opératoire qui avait été décidé. Le lendemain matin de l’attaque, nous avons publié un message explicatif sur notre portail à l’intention de nos partenaires et clients. Nous avons également briefé les personnes qui opèrent sur notre plateforme d’appels. Le président a aussi été mis au courant.

Enfin, sur notre site Web corporate, qui est hébergé dans un autre environnement informatique, nous avons installé un fil d’information que nous actualisions en temps réel et au fur et à mesure que nous disposions de nouveaux éléments. Et dans le cas où nous n’avions rien de nouveau, nous le disions quand même. Il est essentiel de ne pas laisser perdurer un silence trop long au risque de susciter des spéculations préjudiciables pour la suite des opérations.

Il nous importait de procéder très rapidement. En effet, cette cyberattaque est survenue alors que nous étions en pleine clôture financière. Autant dire que cela a grandement complexifié la poursuite de la continuité de nos activités et la protection de nos données.

En termes d’organisation de la cellule de crise, comment avez-vous procédé ?

Tout d’abord, la décision a été prise de laisser la DSI œuvrer en toute quiétude pour qu’elle ne soit pas perturbée et/ou dérangée par des problèmes annexes. En conséquence, j’étais le point d’entrée unique de toutes les questions que les managers pouvaient avoir. Le vendredi soir, soit 24 heures après la découverte de l’intrusion, nous avons organisé une visioconférence avec tous les collaborateurs afin qu’ils puissent disposer d’un même niveau d’information à date. Nous avons commencé à indiquer quelques perspectives avec une reprise d’activité espérée deux semaines plus tard. C’est un point important à intégrer même si le laps de temps peut évoluer par la suite. Beaucoup de personnes peuvent en effet se sentir désemparées parce qu’elles ne peuvent plus travailler ou avoir des activités très réduites.

Or, ce laps de temps est également crucial pour les équipes de la DSI. L’objectif ultime est de restaurer un environnement stable, fiable, sécurisé et à nouveau connecté. Cela implique notamment de passer au peigne fin tous les ordinateurs. Nous sommes 160 collaborateurs. Autant dire que c’était une longue et fastidieuse opération avant d’être sûr que chaque appareil était sain. Ensuite, il s’agissait aussi de récupérer les données par strates de criticité business et de priorité. Il fallait analyser et sécuriser les moindres recoins de nos infrastructures informatiques. Au bout du compte, nous avons dû continuer à avancer en mode dégradé jusqu’à fin mars. A mi-avril, tout était enfin opérationnel à nouveau.

Quelles leçons retenez-vous de cette cyber-crise ?

En premier lieu, il faut impérativement éviter le piège de vouloir redémarrer trop vite pour limiter les impacts commerciaux et financiers. Quand on est sous pression avec une activité qui est mise à mal, la tentation peut être grande de relancer les choses le plus rapidement pour estomper les conséquences de la cyberattaque. Or, il est capital de prendre le temps de tout inspecter et sécuriser plutôt que de zapper des étapes. Sinon, on s’expose gravement au risque d’omettre certaines vérifications et de laisser ainsi des failles perdurer.

Ensuite, durant le temps où nous avons dû travailler en mode dégradé, nous avons mis à profit cette période pour sensibiliser et former tous nos collaborateurs à la cybersécurité que chacun peut faire à son niveau. Nous avons également travaillé à réduire la porosité entre le professionnel et le personnel en appliquant des règles d’hygiène informatique, notamment en matière de transfert de fichiers. Dorénavant, les collaborateurs disposent d’un coffre-fort électronique pour réduire les risques.

Quelles ont été les réactions de vos parties prenantes externes ?

Concernant les médias, je n’ai pas véritablement eu à gérer des demandes. Nous ne sommes pas une entité ayant une forte notoriété. A part un site d’information spécialiste en informatique, je n’ai pas eu d’autres sollicitations.

Pour nous, l’enjeu se situait essentiellement avec nos partenaires et nos clients. Il n’y a pas de honte à être attaqué. Nous avons pris le parti d’être très transparents et très réactifs à propos de ce que nous subissions. Tout le monde a été alerté immédiatement afin qu’ils puissent agir à leur tour et se prémunir d’éventuelles attaques supplémentaires. Notre attitude a été appréciée et nous n’avons pas eu de perte de confiance ou de litiges ultérieurs.

Au bout du compte, nous avons perdu un mois d’activité et nous avons significativement augmenté les budgets en matière de cybersécurité. Désormais, nous sommes mieux parés mais nous demeurons très vigilants. Nous avons bien conscience que nous ne sommes pas à l’abri de nouvelles attaques.