Comment l’Afnor est sortie renforcée de sa cyberattaque

En février 2021, en période pandémie de Covid-19, l’Afnor est victime d’un rançongiciel et doit arrêter son système d’information. Depuis, l’organisation partage largement ce retour d’expérience et s’appuie sur ce sinistre pour gagner en maturité cyber.

18 février 2021, 8h. La DSI de l’Association française de normalisation (Afnor) est alertée : l’organisation est victime d’un ransomware et des fichiers commencent à être cryptés. A 8h20, le Comex prend une décision radicale. Il décide d’arrêter le système d’information pour éviter toute propagation et contaminer ses partenaires. Plus de réseau, de messagerie ou de site web, l’Afnor est coupée du monde extérieur.

Une cellule de crise est constituée avec les membres du Comex, le RSSI, les responsables de la communication et du juridique. L’Afnor prévient l’Anssi, déclare le sinistre auprès de son assureur – par chance, une cyber-assurance avait été souscrite un an avant – et dépose plainte au commissariat. La Cnil est également notifiée dans le délai de 72 heures comme le prévoit le RGPD.

Dans cette gestion de crise, l’Afnor est accompagnée par Airbus Protect, une filiale d’Airbus spécialisée dans la cybersécurité auprès de qui elle a signé un contrat d’assistance. « A l’exception des très grands comptes, aucune organisation ne possède ce type compétences en interne en termes de réponse sur incident et de remédiation », estime Jean-Marc Aubert, RSSI et DPO du groupe Afnor.

Deux jours avant, un collaborateur clique sur un message de phishing…

Le travail d’investigation laisse rapidement apparaître que l’Afnor est victime du ransomware Ryuk que l’Anssi documentera minutieusement décrit quelques mois plus tard. L’Afnor n’était pas spécifiquement ciblée mais a subi une campagne massive d’hameçonnage qui a également contaminé, à quelques jours d’intervalle, les hôpitaux de Dax et de Villefranche-sur-Saône.

Le scenario de l’attaque et le chemin d’infection sont, par ailleurs, retracés. Le 16 février, un collaborateur de l’Afnor clique sur un message de phishing déchargeant sa charge malveillante. Le jour suivant, le ou les assaillants vont, à partir de ce premier poste compromis, se déplacer latéralement jusqu’à trouver un compte d’administrateur et profiter de l’élévation de privilèges pour pendre la main sur l’ensemble du système d’information.

En ce qui concerne les cybercriminels, l’Afnor reçoît un message de rançon renvoyant vers le dark web. « Nous n’avons, bien sûr, pas cliqué, poursuit Jean-Marc Aubert. Il n’y a aucun intérêt à se signaler à un attaquant. C’est à partir du moment où une organisation se signale que le montant de rançon est fixé. »

Pour restaurer son SI, l’organisation entend s’appuyer sur son système de sauvegarde mais est-ce que celui-ci est sain ? « La question s’est posée pendant dix jours comme une épée de Damoclès sur nos têtes, se souvient le RSSI. L’analyse forensique a permis d’en conclure que nous pouvions reposer sur ce système de sauvegarde et qu’au pire nous pourrions restaurer le SI à T0 moins une journée. »

La cyberattaque ayant eu lieu en période de confinement Covid, la plupart des collaborateurs travaillent à distance. Inversement, il faut rapatrier les équipes de la DSI sur site. Pour les autres salariés, la question se pose de mettre en place le chômage partiel. Par ailleurs, quel niveau d’information faut-il communiquer en interne et selon quelle fréquence ?

DRH du groupe Afnor, Laurence Breton-Kueny explique sur le site de l’Association nationale des DRH (ANDRH) comment son organisation a réussi à maintenir l’activité en déployant un nouveau système de messagerie et en autorisant les salariés à utiliser leur ordinateur personnel.

Les conséquences psychologiques d’une cyberattaque

« A titre personnel, je n’avais jamais géré de crise de cette ampleur, témoigne Jean-Marc Aubert. Dans pareille situation, tout le monde se tourne vers vous. Il faut apporter des réponses à tous. La DRH se demandait comment faire la paie qui devait intervenir le 25 du mois. La direction de la communication devait, elle, répondre aux questions qui se multipliaient sur les réseaux sociaux. »

En moins de 24 heures, des internautes évoquaient déjà sur le média social X une possible cyberattaque compte tenu du silence numérique de l’Afnor. « Nous avons choisi d’être transparents et le community manager a fait un travail remarquable. Comme l’Afnor édite, parmi d’autres organismes, la norme ISO 27001, nous avons forcément fait l’objet de moqueries. »

Jean-Marc Aubert estime toutefois que cette transparence a joué en faveur de l’Afnor. « Les clients et partenaires ont apprécié cet effort. Nous avons partagé nos indicateurs de compromission et l’Anssi a mis à jour sa communication sur Ryuk suite à nos remontées. »

Pendant cette période, LinkedIn et le téléphone sont devenus les principaux canaux de relation client. « Il fallait rassurer nos clients et montrer patte blanche auprès nos partenaires. Nous devions démontrer que nous avions surmonté le problème et qu’ils pouvaient rétablir les liens avec nous. » Quelque temps plus tard, en novembre 2022, l’Afnor publiera un guide pratique pour renforcer la cyber-résiliences des entreprises privées et des acteurs publics.

Alors que la cyberattaque est maintenant loin derrière elle, l’Afnor a décidé de communiquer régulièrement sur son retour d’expérience. Jean-Marc Aubert est intervenu auprès de l’Anssi, du ministère de la Justice, d’entreprises privées ou lors des Assises de la Sécurité. « C’est un juste retour des choses. Nous avions bénéficié d’un retour d’expérience sur la gestion de crise un mois seulement avant notre attaque. »

Dans ses témoignages, le RSSI se focalise surtout la gestion humaine qui lui semble minorée. « Le traumatisme est encore présent chez les collaborateurs. A la moindre interruption du système d’information, ils se demandent si l’organisation est de nouveau attaqué. Depuis l’attaque de 2021, ils ont compris que, sans SI, leur métier s’arrêtait. J’ai vu des personnes venir au support IT en larmes parce qu’ils avaient cliqué sur un lien qu’ils pensaient malveillant ».

La cybersécurité, une démarche d’amélioration continue

A tout malheur, quelque chose est bon et l’Afnor a aussi décidé de capitaliser sur le sinistre afin de gagner en maturité cyber. A chaque date anniversaire, le RSSI fait un état des lieux, aux membres du Comex, des progrès accomplis en matière de prévention et de réduction d’impacts. « Il s’agit de reprendre l’attaque de 2021 et, pour chaque étape, montrer que nous serions aujourd’hui en capacité de la détecter et de la stopper ou tout du moins de réduire ses impacts. »

A ses yeux, la cyberattaque a servi d’accélérateur. « Notre plan cyber prévu à trois ans a été réalisé en trois mois au moment de la remédiation. L’Afnor est désormais certifiée ISO 27001 et nous faisons appel à un SOC externalisé ». Un service d’astreinte a été aussi mis en place. Le SI est ainsi sous surveillance en 24/7. « Comme un système d’alarme pour une maison individuelle, c’est également une assurance psychologique. Quelqu’un surveille nuit et jour. »

Avec la démarche d’amélioration continue propre à ISO 27001, l’Afnor ne se repose pas sur ses lauriers. « Le recours au cloud pour la téléphonie, la messagerie instantanée et le partage de fichiers renforce notre résilience », avance Jean-Marc Aubert.

La sensibilisation des 1 200 collaborateurs du groupe constitue également un effort permanent. L’Afnor teste régulièrement la robustesse des mots de passe et mène des campagnes de faux phishing. « Cela permet de réduire le nombre de personnes qui cliquent sur un lien vérolé tout en leur rappelant que, si c’est le cas, ils doivent nous informer au plus vite ». La baisse du nombre de clics malencontreux fait même partie des critères d’attribution de l’intéressement. Messagerie, affichage, vidéo, conférences… La DSI multiplie, de son côté, les formats de communication pour maintenir la vigilance à un niveau élevé.