Comment la société Fleury Michon a failli se faire voir par un ransomware
Après avoir échappé belle suite à une attaque informatique qui visait ses installations, la société française Fleury Michon est revenu sur les détails de cette cyberattaque lors de l’atelier aux assises de sécurité de Monaco.
Notons qu’en avril dernier, ladite société avez-vous vu ces systèmes informatiques paralysés par un logiciel malveillant, un ransomware. Le programme malveillant avait porté atteinte au fonctionnement de plusieurs serveurs qui étaient utiles pour faire tourner des applications essentielles pour l’entreprise.
Cet article va aussi vous intéresser : 5 mesures pour lutter contre les ransonwares
C’est à minuit que l’attaque s’est déclenchée et malheureusement aucune demande de rançon n’a pu permettre de remonter jusqu’au coupable. « On était vraiment dans le noir à ce niveau-là, donc on a rapidement convoqué une cellule de crise et on a stoppé les activités du groupe (…) La direction est rapidement mise au courant, ainsi que les partenaires et les assurances. » explique Anne Michel l’une de responsable de la société de charcuterie.
La société n’étant pas une OIV (Opérateur d’Importance Vitale), c’est la maison d’assurance qui a dû intervenir en faisant demande à une société spécialisée en cybersécurité dénommé « Intrinsec » pour porter secours. Les spécialistes de l’État on préféré ne pas s’y meler. Néanmoins la société de charcuterie à mentionner avoir informé L’ANSSI. « Ils nous ont tout de même soutenus, et c’était assez rassurant pour nous », expliquait Anne Michelle. « L’une de nos premières actions, ça a été d’informer l’ensemble des directeurs d’usine afin de leur expliquer pourquoi on bloquait la production et ce que nous étions en train de mettre en place avec l’assistance d’Intrinsec ».
D’un autre côté, la transparence dont a fait preuve la société française est quand même à saluer. Tous les partenaires ont pu être informés en temps réel de ce qui s’est passé et ils n’ont pas hésité à donner plus d’informations quand ça n’allait pas : « On a choisi d’être très transparents avec eux, à tel point que certains nous ont spontanément proposé de l’aide ».
La véritable question se posait au moment de la reprise des activités. « Pour reconstruire sans risque, nous avons mis en place une salle blanche, à partir de deux postes de travail sain, et nous avons reconstruit les applications logistiques à partir de ces deux postes. Les dirigeants des usines devaient passer par ces deux postes pour enregistrer leurs livraisons. C’est ce dispositif qui nous a permis de reprendre la production dès le lundi 15 avril. »
Ce qui a fait croire de l’extérieur que tout s’était bien passé et que la crise avait pris fin. Mais en réalité les faits racontaient tout autre chose : « Du point de vue des métiers, on estime être sorti de la crise au 30 avril. Pour la direction des systèmes informatiques en revanche, ça a été plus compliqué et on estime être revenu à un fonctionnement normal au début du mois de juillet. »
Les jours qui ont suivi, une analyse approfondie a permis de découvrir que au total 220 serveurs ont été corrompus par un programme malveillant dont la souche est encore inconnu. Du côté des pirates aucune information récoltée. Ils n’’ont fait aucune demande de rançon peut-être parce qu’ils n’ont pas eu le temps. Et ce sont donc volatilisés. Mais au total, disons que le bilan n’est pas si négatif que cela.
« L’incident et la façon dont il a été géré a aussi permis de montrer que le département informatique de la société pouvait compter sur des gens très compétents, prêts à assurer 24/24h pendant douze jours pour surmonter ce genre d’incident. Et cela pourrait nous simplifier les choses à l’avenir : pour le budget cybersécurité 2020, je pense que je peux demander ce que je veux » disait Anne Michel.
Accédez maintenant à un nombre illimité de mot de passe :
