Ransomware 7 Casdattaquesrecentesaucriblefinale

E-guide
Ransomware :
7 cas d’attaques
récentes au crible
E-guide
Dans ce guide
Introduction
Ramsay GDS : après la
cyberattaque, l’heure de la Les chiffres confirment une recrudescence des Ransomwares (ou rançongiciels). Mais il
reprise semble moins question désormais d’opérations en volume, cherchant à toucher de
manière opportuniste un maximum de victimes, que d’opérations ciblées, visant en
Ransomware : le sous-traitant particulier les entreprises. Nous revenons dans ce document sur 7 retours d’expérience
aéronautique Asco reprend qui vous permettront de comprendre la diversité des approches et de juger, forts des
laborieusement ses activités réactions de vos pairs, de la meilleure manière de vous prémunir.
Ransomware : une vaste attaque

frappe une vingtaine d’entités
publiques au Texas
Ransomware : une facture à

plusieurs dizaines de millions
d’euros pour Norsk Hydro
Accéder à plus de contenu Pro+
Page 1 of 18
E-guide
Dans ce guide
Ramsay GDS : après la cyberattaque, l’heure de la
Ramsay GDS : après la reprise
cyberattaque, l’heure de la
reprise Valéry Marchive, Rédacteur en chef adjoint
Ransomware : le sous-traitant
Officiellement, le groupe Ramsay Générale de Santé (GdS) ne dira rien de la nature du
aéronautique Asco reprend maliciel qui a frappé ses systèmes d’information un peu plus tôt ce mois-ci. De la
laborieusement ses activités même manière, il ne précisera pas l’étendue des dégâts. Selon Caroline Desaegher,
porte-parole de Ramsay GdS, c’est l’Agence nationale pour la sécurité des systèmes
Ransomware : une vaste attaque d’information (Anssi), qui a demandé la plus grande discrétion.
frappe une vingtaine d’entités Dès lors, il n’est pas non plus question pour elle d’évoquer le vecteur de
publiques au Texas compromission initiale. Seule précision concédée : il ne s’agit pas de la messagerie
électronique. Un indice suffisant pour laisser à imaginer la compromission d’un service
Ransomware : une facture à ou d’un système exposé en ligne dans des conditions sur lesquelles il n’aurait peut-être
plusieurs dizaines de millions pas véritablement dû l’être…
Pour autant, selon nos informations, c’est bien d’un rançongiciel qu’il s’agit, et aucune
rançon n’aurait été versée. Aujourd’hui, assure Caroline Desaegher, il est désormais
certain « qu’aucune donnée personnelle n’a été dérobée ». Et seulement une dizaine
de jours après le début de l’incident, « l’essentiel de nos systèmes informatiques était
relancé ». La porte-parole du groupe a indiqué que « notre priorité est maintenant de
veiller à assurer une stabilité de fonctionnement de ces outils ».
Page 2 of 18
E-guide
Un tel délai de reprise laisse imaginer la présence de sauvegarde de qualité et, surtout,
Dans ce guide un périmètre véritablement affecté beaucoup plus restreint, que les mesures prises
immédiatement au début de l’incident n’auraient pu le laisser imaginer.
cyberattaque, l’heure de la Pour mémoire, le groupe Ramsay GdS compte plus d’une centaine d’établissements et
reprise plus de 20 000 collaborateurs, dont une majorité de personnels soignants. L’an dernier,
son RSSI nous expliquait comment le groupe avait engagé une vaste consolidation de
Ransomware : le sous-traitant ses annuaires, et le déploiement d’un outil d’authentification unique (SSO).
aéronautique Asco reprend
laborieusement ses activités Le système d’information de Capio France, racheté en février, n’a pas été concerné par
cet incident de sécurité informatique au sujet duquel le ministère de la Santé reste
Ransomware : une vaste attaque étrangement silencieux : son « portail d’accompagnement cybersécurité des structures
frappe une vingtaine d’entités de santé » n’en fait pas la moindre mention à cette date. Pour autant, les publications
publiques au Texas s’y poursuivent dans la torpeur estivale : il ne semble donc pas affecté par des congés
de personnels. En décembre dernier, l’Asip Santé faisait état de 319 incidents déclarés
Ransomware : une facture à sur ce portail en un an de son existence.
Page 3 of 18
E-guide
Dans ce guide Ransomware : le sous-traitant aéronautique Asco

reprend laborieusement ses activités
cyberattaque, l’heure de la Valéry Marchive, Rédacteur en chef adjoint
reprise
« Alternatives ». C’est avec cet élégant euphémisme que Vicky Welvaert, porte-parole
d’Asco Industries, qualifie les « solutions » trouvées pour pallier l’indisponibilité de
« certains systèmes clés » qui se poursuit. Elle expliquait à nos confrères du Vif, que
laborieusement ses activités « l’immense majorité du personnel a repris le travail », après trois semaines de
fermeture des usines du Belge.
Sur son site Web, Asco indiquait, ce 28 juin, avoir mis en place, la semaine dernière,
des solutions pour « reprendre graduellement la production et les livraisons dans les
publiques au Texas
jours à venir ». Le fabricant reconnaissait que ses « systèmes clés » n’étaient pas
encore « pleinement opérationnels ». Du coup, il se déclarait dans l’incapacité « de
fournir une prévision de pleine reprise de [ses] activités opérationnelles ».
Asco Industries, sous-traitant aéronautique qui fournit notamment Airbus et Boeing,
reconnaissait début juin avoir été victime d’une compromission de ses systèmes par un
Accéder à plus de contenu Pro+ rançongiciel. Aucun détail n’a, à ce jour, émergé quant à l’identité du maliciel impliqué.
Dans son communiqué, Asco indique que l’enquête informatique relative à « la cause
de l’attaque se poursuit ». Et d’assurer que ses « experts IT ont pris le contrôle de
l’incident ». Rien ne laisse soupçonner, à ce stade, d’exfiltration de données, ou « de
pertes irrémédiables de données ».
Page 4 of 18
E-guide
Dans ce guide Ransomware : une vaste attaque frappe une

vingtaine d’entités publiques au Texas
reprise
Ce vendredi 16 août, le service des ressources informatiques de l’état du Texas, aux
Etats-Unis, faisait état d’une « attaque par ransomware coordonnée qui a affecté au
moins vingt entités de gouvernement locales » dans tout l’état. Le lendemain, dans un
laborieusement ses activités nouveau communiqué, le même service confirmait : « à ce stade, les indices collectés
indiquent que les attaques sont venues d’un seul acteur malveillant ». Au total, 23
entités ont donc été touchées. Leurs identités n’ont pas été précisées.
Outre-Atlantique, les organismes publics semblent constituer des cibles de choix pour
publiques au Texas
les cyber-délinquants. La conférence américaine des maires a ainsi récemment relevé
22 cas connus d’infection par ransomware de systèmes de comté, commune ou d’état
depuis le début 2019, sur un total d’au moins 170 depuis 2013. Soit une moyenne
d’environ 25 incidents par an jusqu’à la fin 2018 ; de quoi faire de 2019 une année
record.
Accéder à plus de contenu Pro+ Dans ce contexte, la conférence américaine des maires a adopté une résolution
s’opposant fermement au versement des rançons demandées. Mais pour beaucoup
d’observateurs, cette disposition ne devrait pas empêcher certains de céder au
chantage.
Page 5 of 18
E-guide
Alors justement, cette attaque coordonnée sur une vingtaine d’administrations locales
Dans ce guide texanes pourrait presqu’être perçue comme la réponse bravache de cyber-délinquants
déterminés à exhiber leurs muscles cyber face à des postures défensives de plus en
Ramsay GDS : après la plus fermes.
reprise
laborieusement ses activités

publiques au Texas

Page 6 of 18
E-guide
Dans ce guide Ransomware : une facture à plusieurs dizaines de

millions d’euros pour Norsk Hydro
reprise
Norsk Hydro l’assure depuis la mi-mars : il est couvert par une police d’assurance cyber
qu’il présente comme robuste. Mais pour autant, l’infection par ransomware dont il a
été victime le 18 mars dernier ne sera pas sans impact financier. Le président et CEO
laborieusement ses activités du groupe, Svein Richard Brandtzæg, indique ainsi que cet épisode pèsera sur ses
finances entre 41 et 46 M€ pour le premier trimestre.
Les résultats financiers du groupe pour la période ne seront d’ailleurs publiés que le 5
juin, afin de pouvoir établir l’impact financier complet de l’épisode et éventuellement,
publiques au Texas
de tenir compte des indemnités versées par l’assurance. A ce stade, c’est l’activité
relative aux produits extrudés qui semble avoir le plus souffert, avec un volume de
ventes de seulement 333 000 tonnes au premier trimestre, contre 362 000 tonnes à la
période l’an passé.
C’est le rançongiciel LockerGoga qui est soupçonné d’avoir été utilisé contre Norsk
Accéder à plus de contenu Pro+ Hydro. Le Cert Norvégien l’a évoqué lui-même dans une alerte à l’intention de
« nombreux partenaires », mais l’information n’a pas été confirmée au-delà.
Aujourd’hui, le groupe industriel invite ses partenaires à la prudence, évoquant le

risque de tentative cachée de propagation du ransomware au-delà de son système
d’information, « ou de tromper clients, fournisseurs et partenaires » : « nous
Page 7 of 18
E-guide
demandons ainsi à nos partenaires de faire preuve d’une grande prudence lorsqu’ils
Dans ce guide reçoivent des e-mails de Hydro. Par exemple, veuillez noter qu’Hydro ne demande à
ses partenaires en aucune circonstance de changer de comptes bancaires. Quiconque
Ramsay GDS : après la doute de la crédibilité d’un e-mail provenant de Hydro devrait appeler l’émetteur pour
vérifier ».
reprise
LockerGoga est également soupçonné d’avoir affecté Altran, fin janvier. Mais l’ESN
Ransomware : le sous-traitant s’est jusqu’ici refusée à nommer le maliciel impliqué. L’Agence nationale pour la
aéronautique Asco reprend sécurité des systèmes d’information (Anssi) apparaît prendre en tout cas la menace au
laborieusement ses activités sérieux. Elle lui a récemment consacré un rapport détaillé.

publiques au Texas

Page 8 of 18
E-guide
Dans ce guide Ransomware : Altran anticipe un impact marginal

sur son exercice
reprise
Fin janvier, Altran reconnaissait être la victime d’un ransomware, faisait état d’une
« cyberattaque affectant ses opérations dans certains pays européens ». Un mois plus
tard, l’entreprise de services numériques (ESN) indiquait poursuivre ses efforts de
laborieusement ses activités remédiation, tout en assurant que la procédure engagée approchait alors de son
terme. Aujourd’hui, Altran affiche une posture plus assurée et l’affirme : « cet incident
a été entièrement résolu en un mois ».
Dans un communiqué de presse à l’occasion de la publication de ses résultats
publiques au Texas
financiers du premier trimestre 2019, l’ESN explique que l’évaluation de l’impact
financier de l’épisode « est en cours de finalisation ». Mais elle avance tout de même
une fourchette : « entre 12 et 14 M€ » sur le chiffre d’affaires pour la période,
« principalement en Europe de l’Ouest et Centrale ».
Altran indique en outre que cet incident a empêché une partie de ses ingénieurs de
Accéder à plus de contenu Pro+ travailler, générant ce que l’ESN désigne sous le terme de « cyber bench » : « le coût de
ce bench et les coûts de remédiation sont estimés entre 16 et 18 M€ ».
Mais Altran rassure : « l’impact net sur le résultat d’exploitation annuel du groupe
devrait être marginal du fait de l’activation de nos polices d’assurance ».
Page 9 of 18
E-guide
Encore une fois, l’ESN apparaît traiter sa communication sur l’incident sous le seul et
Dans ce guide strict angle de son impact sur son activité, limitant l’exercice au minimum requis pour
satisfaire à ses obligations réglementaires d’entreprise cotée. Pour l’heure, donc, pas
Ramsay GDS : après la question de confirmer ni de confirmer les forts soupçons selon lesquels Altran aurait
été victime de LockerGoga. Mais en parlant de « cyberattaque », l’ESN tend toutefois,
reprise
quoique peut-être non-sciemment, à confirmer la nature ciblée de l’incident.

publiques au Texas

Page 10 of 18
E-guide
Dans ce guide Ransomware : Eurofins montre que même en

payant, ça coûte cher
reprise
De l’ordre de 62 M€. C’est la moyenne des estimations de perte de chiffre d’affaires
subie par Eurofins Scientific, au mois de juin, du fait d’une compromission de ses
systèmes d’information par un ransomware. Le groupe vient d’indiquer ce chiffre à
laborieusement ses activités l’occasion de la publication de ses résultats semestriels.
Eurofins avait indiqué, début juin, que « ses équipes de supervision de la sécurité
[avaient] détecté une forme de rançongiciel ayant perturbé certains de ses systèmes
d’information ». Immédiatement, « de nombreux systèmes et serveurs ont été
publiques au Texas
déconnectés […] pour contenir l’activité de cette nouvelle version de maliciel ». Une
semaine plus tard, Eurofins expliquait que « le ransomware impliqué apparaît avoir été
une nouvelle variante de maliciel qui n’était initialement pas détectable » par les outils
de protection en place dans son infrastructure. Elle le fut grâce à une mise à jour
« quelques heures » plus tard, mais trop tard, donc.
Accéder à plus de contenu Pro+ Fin juin, Eurofins assurait que « l’activité de la vaste majorité des laboratoires
affectés » avait repris en date du 17 juin. Restait encore à traiter le cas de systèmes de
développement et de back office « moins importants » ainsi que de filiales
« représentant moins de 2 % du chiffre d’affaires du groupe ».
Page 11 of 18
E-guide
Eurofins indique aujourd’hui que la couverture assurantielle dont profite le groupe

Dans ce guide « excède » les estimations de pertes. Tout en précisant que les discussions restent en
cours pour déterminer « et s’accorder » sur le montant exact des dommages. Et peut-
Ramsay GDS : après la être les discussions portent-elles au passage sur un point souvent délicat : celui de la
rançon. Car début juillet, nos confrères de la BBC révélaient que celle-ci avait été payée
reprise
– sans que le montant ne soit précisé.
Ransomware : le sous-traitant S’il le fallait, ces éléments rappellent à quel point le paiement d’une rançon ne
aéronautique Asco reprend constitue en rien une solution miracle. Et cela même si le cas n’est pas rare. Fin juin,
laborieusement ses activités chez Wavestone, Gérôme Billois reconnaissait la réalité de la chose : « je sais bien que
les rançons sont payées (trop) souvent ». Le RSSI Loïs Samain souligne au passage que
Ransomware : une vaste attaque « beaucoup de sociétés travaillent pour ces assurances et s’occupent justement de
frappe une vingtaine d’entités payer ces rançons pour les entreprises (ils font tiers). Et ça paye chaque semaine,
publiques au Texas
même en France ! »
Ransomware : une facture à Mais si certains peuvent l’appréhender comme la « dernière solution avant de tout
plusieurs dizaines de millions devoir reconstruire », comme le faisait alors remarquer Loïs Samain. Toutefois, « ça ne
d’euros pour Norsk Hydro change pas grand-chose au final de payer, il faut quand même tout déchiffrer,
réinstaller, relancer les systèmes, etc. », soulignait Gérôme Billois. Au printemps, le
Accéder à plus de contenu Pro+ directeur de la practice cybersécurité de Wavestone avait d’ailleurs accepté de
partager son expérience relative aux enjeux de la reconstruction après une
compromission par ransomware. Et force est de constater qu’ils sont nombreux.
Mais l’exemple d’Eurofins renvoie également au sujet de l’assurance et en particulier à

celui de l’importance croissante du volet cyber dans les politiques globales de gestion
Page 12 of 18
E-guide
des risques. Plus tôt cette année, les cas DLA Piper et Mondelez ont bien souligné la
Dans ce guide nature critique du type d’assurance.

reprise

publiques au Texas

Page 13 of 18
E-guide
Dans ce guide Ransomware : Riviera Beach relance le débat sur

le paiement
reprise
Ce fut un vote unanime : tous les membres du conseil municipal de Riviera Beach, en
Floride, sont tombés d’accord pour débloquer des fonds exceptionnels à hauteur de
600 000 $ afin de régler une rançon. Le système d’information de la ville avait été
laborieusement ses activités compromis quelques semaines plus tôt par un ransomware téléchargé après le clic
malheureux d’un employé municipal sur un lien malicieux reçu par courriel. Des
données ont été chiffrées, mais l’impact de l’incident ne s’est pas limité à cela : la
frappe une vingtaine d’entités messagerie électronique a dû être interrompue, de même que les systèmes de gestion
publiques au Texas des paiements électroniques, ou encore d’enregistrement des appels d’urgence.
A la suite de l’incident, le conseil municipal a voté un investissement de 1 M$ et fait

appel à des consultants externes, lesquels ont recommandé de céder au chantage et
de verser la rançon demandée. Selon une porte-parole de la municipalité, l’assurance
couvre ce règlement.
Accéder à plus de contenu Pro+ Pour une assurance outre-Atlantique, c’est relativement peu surprenant. Dans
l’Hexagone, quelques assureurs acceptent également de couvrir le paiement de
rançons, même si le sujet est loin d’être consensuel. Mais le fait est que beaucoup
d’organisations semblent encore choisir de céder au chantage aux données chiffrées,
Page 14 of 18
E-guide
comme le montrait du moins une étude réalisée par Cyberedge auprès de 1300
Dans ce guide décideurs de la sécurité informatique dans 19 pays, dont la France, début 2018.
Ramsay GDS : après la Chez Wavestone, Gérôme Billois ne manque pas de reconnaître la réalité de la chose :
cyberattaque, l’heure de la « je sais bien que les rançons sont payées (trop) souvent ». Le RSSI Loïs Samain
reprise souligne au passage que « beaucoup de sociétés travaillent pour ces assurances et
s’occupent justement de payer ces rançons pour les entreprises (ils font tiers). Et ça
Ransomware : le sous-traitant paye chaque semaine, même en France ! »
laborieusement ses activités La pratique profite bien évidemment aux cyber-délinquants. Mais qu’apporte-t-elle aux
organisations concernées ? Pour Loïs Samain, certains peuvent l’appréhender comme
Ransomware : une vaste attaque la « dernière solution avant de tout devoir reconstruire ». Gérôme Billois relève que
frappe une vingtaine d’entités « ça ne change pas grand-chose au final de payer, il faut quand même tout déchiffrer,
publiques au Texas réinstaller, relancer les systèmes, etc. » Récemment, le directeur de la practice
cybersécurité de Wavestone avait d’ailleurs accepté de partager son expérience
Ransomware : une facture à relative aux enjeux de la reconstruction après une compromission par ransomware. Et
plusieurs dizaines de millions force est de constater qu’ils sont nombreux.
L’un des premiers touche à la disponibilité des sauvegardes et à la capacité de
restauration, comme Maersk a encore pu récemment en témoigner. Et c’est sans
compter avec les délais de restauration et les efforts de nettoyage requis.
Pour Michael, RSSI dans le secteur de la santé, en définitive, payer « est une mesure
comme une autre, à prendre par la direction générale, et à mettre en regard des pertes
Page 15 of 18
E-guide
suite à l’incident ». D’où une question assurément délicate : « est-ce que la faute n’est
Dans ce guide pas de se poser des questions d’éthique lorsqu’il s’agit de sauver notre entreprise ? »
Ramsay GDS : après la Car c’est parfois bien là la question : si des Maersk, Saint Gobain, ou Norsk Hydro, pour
cyberattaque, l’heure de la ne mentionner qu’eux, ont les reins suffisamment solides, ce n’est pas forcément le cas
reprise de toutes les organisations concernées.

publiques au Texas

Page 16 of 18
E-guide
Dans ce guide Accéder à plus de contenu exclusif PRO+

Vous avez accès à cet e-guide en tant que membre via notre offre PRO+ : une
collection de publications gratuites et offres spéciales rassemblées pour vous par nos
partenaires et sur tout notre réseau de sites internet.
reprise
L’offre PRO+ est gratuite et réservée aux membres du réseau de sites internet
Ransomware : le sous-traitant TechTarget.
Profitez de tous les avantages liés à votre abonnement sur:

http://www.lemagit.fr/eproducts
publiques au Texas Images; stock.adobe.com
©2019 TechTarget. Tout ou partie de cette publication ne peut être transmise ou reproduite dans quelque forme ou de quelque
Ransomware : une facture à manière que ce soit sans autorisation écrite de la part de l’éditeur.
Page 17 of 18
E-guide
Dans ce guide
Ramsay GDS : après la Le document consulté provient du site www.lemagit.fr

David Castaneira | Editeur
reprise TechTarget
22 rue Léon Jouhaux, 75010 Paris
www.techtarget.com
©2019 TechTarget Inc. Aucun des contenus ne peut être transmis ou reproduit quelle que soit la forme sans l'autorisation écrite de l'éditeur. Les
aéronautique Asco reprend réimpressions de TechTarget sont disponibles à travers The YGS Group.
laborieusement ses activités TechTarget édite des publications pour les professionnels de l'IT. Plus de 100 sites qui proposent un accès rapide à un stock important d'informations, de
conseils, d'analyses concernant les technologies, les produits et les process déterminants dans vos fonctions. Nos
événements réels et nos séminaires virtuels vous donnent accès à des commentaires et recommandations neutres par des experts sur les problèmes et défis
que vous rencontrez quotidiennement. Notre communauté en ligne "IT Knowledge Exchange" (Echange de connaissances IT) vous permet de partager
Ransomware : une vaste attaque des questionnements et informations de tous les jours avec vos pairs et des experts du secteur.

publiques au Texas

Page 18 of 18

Ransomware 7 Casdattaquesrecentesaucriblefinale

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ransomware 7 Casdattaquesrecentesaucriblefinale

Transféré par

Droits d'auteur :

Formats disponibles

E-guide

Ransomware : une vaste attaque

Ransomware : une facture à

Accéder à plus de contenu Pro+

Accéder à plus de contenu Pro+

Dans ce guide Ransomware : le sous-traitant aéronautique Asco

Dans ce guide Ransomware : une vaste attaque frappe une

Ransomware : une vaste attaque

Ransomware : une facture à

Accéder à plus de contenu Pro+

Dans ce guide Ransomware : une facture à plusieurs dizaines de

Aujourd’hui, le groupe industriel invite ses partenaires à la prudence, évoquant le

Ransomware : une vaste attaque

Ransomware : une facture à

Accéder à plus de contenu Pro+

Dans ce guide Ransomware : Altran anticipe un impact marginal

Ransomware : une vaste attaque

Ransomware : une facture à

Accéder à plus de contenu Pro+

Dans ce guide Ransomware : Eurofins montre que même en

Eurofins indique aujourd’hui que la couverture assurantielle dont profite le groupe

Mais l’exemple d’Eurofins renvoie également au sujet de l’assurance et en particulier à

Ramsay GDS : après la

Ransomware : une vaste attaque

Ransomware : une facture à

Accéder à plus de contenu Pro+

Dans ce guide Ransomware : Riviera Beach relance le débat sur

A la suite de l’incident, le conseil municipal a voté un investissement de 1 M$ et fait

Ransomware : une vaste attaque

Ransomware : une facture à

Accéder à plus de contenu Pro+

Dans ce guide Accéder à plus de contenu exclusif PRO+

Profitez de tous les avantages liés à votre abonnement sur:

Accéder à plus de contenu Pro+

Ramsay GDS : après la Le document consulté provient du site www.lemagit.fr

frappe une vingtaine d’entités

Ransomware : une facture à

Accéder à plus de contenu Pro+

Vous aimerez peut-être aussi