Fabien nous parle aujourd’hui d’une mission d’expertise qui a débuté le 11 novembre 2016, suite à un chiffrement des données par le virus DMA Locker 3.0 d’une société qui n’était pas cliente OM Conseil.
OM Conseil : Bien, commençons. Quand l’infection a-t-elle commencé ?
FABIEN L. : Selon le prestataire informatique actuel de la société, le système d’information a été infecté le 30 octobre 2016 à 14 heures. Notons que depuis le 2 novembre, et jusqu’au jour de ma première intervention, le prestataire avait effectué diverses interventions, dans le but de retrouver l’état initial du système.
OMC : Le prestataire informatique de cette société était déjà sur l’incident. Pourquoi sommes-nous intervenus ?
FL. : Il fallait monter en urgence une cellule de crise, afin d’organiser au plus vite un retour à un état permettant la reprise d’activité. Dans cette situation, le prestataire avait rencontré plusieurs difficultés ; la sauvegarde étant, en l’occurrence, la plus problématique. Le disque sur lequel les données étaient sauvegardées avait totalement été chiffré, tout comme le serveur hébergeant le logiciel de sauvegarde. Sur toutes les bandes externalisées, une seule était disponible pour la restauration des données et datait du 30 juin 2016.
OMC : Peux-tu nous donner plus de détails sur cette cellule de crise ? Comment s’organise-t-elle ?
FL. : Nous commençons d’abord par une phase d’organisation consistant à obtenir la liste des intervenants, les moyens de les contacter, la nomination d’un responsable de la cellule, ainsi que la planification des fréquences de communication intégrant les points de situation et d’avancement des acteurs (toutes les 120 minutes au maximum). Puis, nous dressons une cartographie des répercussions (risque humain, financier, environnemental, social…) ; si la société n’en dispose pas, nous ciblons, avec les métiers (sous le contrôle de la direction), la liste des équipements stratégiques et priorisons leur ordre de redémarrage. Nous intégrons ensuite tout cela dans un tableau de synthèse, trié par criticité et commençons alors par établir les moyens de contournement. Il est important de ne pas attendre d’être submergé pour agir ; il faut le faire au plus vite, mais sans précipitation, pour éviter de perdre plus de temps ou de passer à côté d’étapes clefs. C’est ce qui manque le plus souvent sur ce type de missions : les intervenants ne travaillent pas de concert et il devient alors plus difficile de réparer les dégâts, car ces derniers se trouvent aggravés par des actions, censément correctrices, incontrôlées qui deviennent, dès lors, des facteurs aggravants.
OMC : As-tu des exemples concrets ?
FL. : Bien sûr. Dans ce cas précis, des employés s’étaient remis à travailler sur leur poste, alors qu’aucune analyse antivirus n’avait été lancée sur l’ensemble du parc informatique. L’hypothèse d’un fichier “dormant” contaminé pouvant encore être présent sur le réseau n’avait donc toujours pas été écartée. Problème : des postes étaient toujours dépourvus d’antivirus, même à J+10 après la découverte du premier incident. Résultat : suite à l’installation de l’antivirus, et une fois l’analyse effectuée, plusieurs fichiers infectés ont été remontés, prouvant ainsi que la société était toujours en situation de risque. Il était donc essentiel que tous les postes soient mis en conformité pour sortir de cette situation.
OMC : Dans le cas que tu nous décris, quels étaient les risques ?
FL. : Il y avait d’abord un risque financier très important, en raison de la perte de la comptabilité et de la trésorerie. De plus, les 10 jours de chômage technique, induits par cette crise, pouvaient entraîner un risque de fermeture de l’entreprise. Le risque social était également très présent, car cet incident avait indéniablement démotivé le personnel et créé des inquiétudes pour l’avenir. Notons également que les risques liés à la réputation et à l’image de l’entreprise (bien qu’ils ne soient pas immédiatement mesurables) étaient dans tous les esprits, surtout du côté des banquiers, des partenaires et des clients de la société. Enfin, il y avait le risque d’une dégradation rapide de la situation pour la société, en raison des pertes financières que cet incident avait engendré.
OMC : Pourquoi un tel delta entre la dernière bonne sauvegarde externalisée et le moment de l’incident ?
FL. : La raison avancée par le prestataire était l’état du lecteur : celui-ci était “vieux”. Mais mes expériences terrain m’ont appris que la “vieillesse” d’un système n’est en aucun cas responsable de son inefficacité, dès lors qu’une maintenance préventive est effectuée régulièrement. Le plus dérangeant dans ce cas est qu’à aucun moment la société n’a été informée que le lecteur n’était plus fonctionnel.
OMC : Que s’est-il passé ?
FL. : Afin d’avoir une meilleure visibilité sur ce qu’il s’était passé, j’ai demandé les rapports du logiciel de sauvegarde sur bandes au prestataire. Mais ce dernier n’a pas pu nous les transmettre car le système de sauvegarde avait été chiffré et il n’était pas en copie des mails qui auraient pu l’alerter sur un quelconque dysfonctionnement. Ici, le facteur aggravant est le fait que personne n’a cherché de solutions de décryptage des données. En effet, les postes contaminés étaient déjà formatés à mon arrivée, avant même que toutes les solutions n’aient pu être testées. Dans la situation où se trouvait la société, c’est-à-dire dans l’incapacité de restaurer ses données, il était pourtant essentiel d’effectuer un maximum de recherche autour des solutions de décryptage.
OMC : Que penses-tu de leur moyen de sauvegarde ?
FL. : J’ai demandé la réalisation d’un test de sauvegarde et de restauration par le prestataire, qui a confirmé qu’il était pleinement fonctionnel. Par ailleurs, quelque soit la technique, ou l’outil, chez OM Conseil nous adoptons pour nos client la sauvegarde 3 2 1 qui consiste en la création de 3 copies différentes : 2 types de supports différents, ainsi qu’1 copie hors site. A cette méthode nous ajoutons la recommandation d’une copie hors ligne, qui permettra, en cas de compromission avancée du système d’information, de toujours disposer des données. Cette méthode est complémentaire avec l’historique Grandfather-Father-Son, permettant une sauvegarde journalière, hebdomadaire et mensuelle des données.
OMC : Peux-tu nous en dire plus sur cette méthode ?
FL. : Grandfather-Father-Son (Grand-père – père – fils, ndlr) consiste, pour la méthode de base, à définir trois ensembles de sauvegarde (journalière, hebdomadaire et mensuelle, par exemple). Les journalières, ou “fils”, sont exécutées chaque jour avec l’un des trois ensembles, élevé au rang de “père” chaque semaine. Les hebdomadaires, ou “pères”, sont exécutées chaque semaine avec l’une des sauvegardes élevée au rang de “grand-père” chaque mois. Souvent, on externalise une ou plusieurs des sauvegardes promues du site, pour permettre la réalisation d’un plan de secours.
OMC : A la suite de cette crise, quelles ont été les conséquences pour la société ?
FL. : Dramatiques. Les données des employés, les mails, la comptabilité, ainsi que l’intranet ne pouvaient plus être restaurés après la date du 30 juin 2016.
OMC : Qu’est-il advenu des données ?
FL. : Ils ne les ont jamais récupérées. De plus, ils ne pouvaient pas combler la perte de l’ensemble des informations du SI entre juin 2016 et novembre 2016.
OMC : Tes conclusions ?
FL. : Nous sommes ici face à une situation qui démontre que la loi de Murphy n’est pas qu’une vieille rengaine inusitée et rabâchée par les informaticiens du monde entier, mais bien un axiome à ne jamais perdre de vue lors des phases de conception d’un modèle, de sa mise en œuvre et de sa recette, et bien plus encore lors des contrôles de bon fonctionnement qui doivent jalonner sa vie. Nous ne devons, et ne pouvons, pas jouer avec ces outils qui sont désormais le cœur de l’activité des sociétés ; car ne plus disposer de son SI pendant des heures, des jours, des semaines… revient à priver un organisme d’oxygène. Il s’épuise, et cela peut même conduire à sa perte.
OMC : Merci FABIEN L. pour toutes ces explications.
Voilà, ceci n’est pas le scénario d’une série télévisée ou d’un film catastrophe, mais bien la réalité. C’est ce que rencontrent quotidiennement nos équipes lorsque des sociétés comme la vôtre nous appellent afin de venir soutenir ou monter une cellule de crise.
Et vous, où en êtes-vous ? Appelez-nous, ou venez nous rendre visite, nous serons très heureux de pouvoir vous accompagner dans la sécurisation de vos données.
Source image : https://www.linkedin.com/pulse/transmission-dentreprise-et-crise-de-leadership-ce-que-benoit-aubert