Académique Documents
Professionnel Documents
Culture Documents
Ransomware 7 Casdattaquesrecentesaucriblefinale
Ransomware 7 Casdattaquesrecentesaucriblefinale
Ransomware :
7 cas d’attaques
récentes au crible
E-guide
Dans ce guide
Introduction
Ramsay GDS : après la
cyberattaque, l’heure de la Les chiffres confirment une recrudescence des Ransomwares (ou rançongiciels). Mais il
reprise semble moins question désormais d’opérations en volume, cherchant à toucher de
manière opportuniste un maximum de victimes, que d’opérations ciblées, visant en
Ransomware : le sous-traitant particulier les entreprises. Nous revenons dans ce document sur 7 retours d’expérience
aéronautique Asco reprend qui vous permettront de comprendre la diversité des approches et de juger, forts des
laborieusement ses activités réactions de vos pairs, de la meilleure manière de vous prémunir.
Page 1 of 18
E-guide
Dans ce guide
Ramsay GDS : après la cyberattaque, l’heure de la
Ramsay GDS : après la reprise
cyberattaque, l’heure de la
reprise Valéry Marchive, Rédacteur en chef adjoint
Ransomware : le sous-traitant
Officiellement, le groupe Ramsay Générale de Santé (GdS) ne dira rien de la nature du
aéronautique Asco reprend maliciel qui a frappé ses systèmes d’information un peu plus tôt ce mois-ci. De la
laborieusement ses activités même manière, il ne précisera pas l’étendue des dégâts. Selon Caroline Desaegher,
porte-parole de Ramsay GdS, c’est l’Agence nationale pour la sécurité des systèmes
Ransomware : une vaste attaque d’information (Anssi), qui a demandé la plus grande discrétion.
frappe une vingtaine d’entités Dès lors, il n’est pas non plus question pour elle d’évoquer le vecteur de
publiques au Texas compromission initiale. Seule précision concédée : il ne s’agit pas de la messagerie
électronique. Un indice suffisant pour laisser à imaginer la compromission d’un service
Ransomware : une facture à ou d’un système exposé en ligne dans des conditions sur lesquelles il n’aurait peut-être
plusieurs dizaines de millions pas véritablement dû l’être…
d’euros pour Norsk Hydro
Pour autant, selon nos informations, c’est bien d’un rançongiciel qu’il s’agit, et aucune
Accéder à plus de contenu Pro+
rançon n’aurait été versée. Aujourd’hui, assure Caroline Desaegher, il est désormais
certain « qu’aucune donnée personnelle n’a été dérobée ». Et seulement une dizaine
de jours après le début de l’incident, « l’essentiel de nos systèmes informatiques était
relancé ». La porte-parole du groupe a indiqué que « notre priorité est maintenant de
veiller à assurer une stabilité de fonctionnement de ces outils ».
Page 2 of 18
E-guide
Un tel délai de reprise laisse imaginer la présence de sauvegarde de qualité et, surtout,
Dans ce guide un périmètre véritablement affecté beaucoup plus restreint, que les mesures prises
immédiatement au début de l’incident n’auraient pu le laisser imaginer.
Ramsay GDS : après la
cyberattaque, l’heure de la Pour mémoire, le groupe Ramsay GdS compte plus d’une centaine d’établissements et
reprise plus de 20 000 collaborateurs, dont une majorité de personnels soignants. L’an dernier,
son RSSI nous expliquait comment le groupe avait engagé une vaste consolidation de
Ransomware : le sous-traitant ses annuaires, et le déploiement d’un outil d’authentification unique (SSO).
aéronautique Asco reprend
laborieusement ses activités Le système d’information de Capio France, racheté en février, n’a pas été concerné par
cet incident de sécurité informatique au sujet duquel le ministère de la Santé reste
Ransomware : une vaste attaque étrangement silencieux : son « portail d’accompagnement cybersécurité des structures
frappe une vingtaine d’entités de santé » n’en fait pas la moindre mention à cette date. Pour autant, les publications
publiques au Texas s’y poursuivent dans la torpeur estivale : il ne semble donc pas affecté par des congés
de personnels. En décembre dernier, l’Asip Santé faisait état de 319 incidents déclarés
Ransomware : une facture à sur ce portail en un an de son existence.
plusieurs dizaines de millions
d’euros pour Norsk Hydro
Page 3 of 18
E-guide
Dans son communiqué, Asco indique que l’enquête informatique relative à « la cause
de l’attaque se poursuit ». Et d’assurer que ses « experts IT ont pris le contrôle de
l’incident ». Rien ne laisse soupçonner, à ce stade, d’exfiltration de données, ou « de
pertes irrémédiables de données ».
Page 4 of 18
E-guide
Accéder à plus de contenu Pro+ Dans ce contexte, la conférence américaine des maires a adopté une résolution
s’opposant fermement au versement des rançons demandées. Mais pour beaucoup
d’observateurs, cette disposition ne devrait pas empêcher certains de céder au
chantage.
Page 5 of 18
E-guide
Alors justement, cette attaque coordonnée sur une vingtaine d’administrations locales
Dans ce guide texanes pourrait presqu’être perçue comme la réponse bravache de cyber-délinquants
déterminés à exhiber leurs muscles cyber face à des postures défensives de plus en
Ramsay GDS : après la plus fermes.
cyberattaque, l’heure de la
reprise
Ransomware : le sous-traitant
aéronautique Asco reprend
laborieusement ses activités
Page 6 of 18
E-guide
C’est le rançongiciel LockerGoga qui est soupçonné d’avoir été utilisé contre Norsk
Accéder à plus de contenu Pro+ Hydro. Le Cert Norvégien l’a évoqué lui-même dans une alerte à l’intention de
« nombreux partenaires », mais l’information n’a pas été confirmée au-delà.
Page 7 of 18
E-guide
demandons ainsi à nos partenaires de faire preuve d’une grande prudence lorsqu’ils
Dans ce guide reçoivent des e-mails de Hydro. Par exemple, veuillez noter qu’Hydro ne demande à
ses partenaires en aucune circonstance de changer de comptes bancaires. Quiconque
Ramsay GDS : après la doute de la crédibilité d’un e-mail provenant de Hydro devrait appeler l’émetteur pour
cyberattaque, l’heure de la
vérifier ».
reprise
LockerGoga est également soupçonné d’avoir affecté Altran, fin janvier. Mais l’ESN
Ransomware : le sous-traitant s’est jusqu’ici refusée à nommer le maliciel impliqué. L’Agence nationale pour la
aéronautique Asco reprend sécurité des systèmes d’information (Anssi) apparaît prendre en tout cas la menace au
laborieusement ses activités sérieux. Elle lui a récemment consacré un rapport détaillé.
Page 8 of 18
E-guide
Altran indique en outre que cet incident a empêché une partie de ses ingénieurs de
Accéder à plus de contenu Pro+ travailler, générant ce que l’ESN désigne sous le terme de « cyber bench » : « le coût de
ce bench et les coûts de remédiation sont estimés entre 16 et 18 M€ ».
Mais Altran rassure : « l’impact net sur le résultat d’exploitation annuel du groupe
devrait être marginal du fait de l’activation de nos polices d’assurance ».
Page 9 of 18
E-guide
Encore une fois, l’ESN apparaît traiter sa communication sur l’incident sous le seul et
Dans ce guide strict angle de son impact sur son activité, limitant l’exercice au minimum requis pour
satisfaire à ses obligations réglementaires d’entreprise cotée. Pour l’heure, donc, pas
Ramsay GDS : après la question de confirmer ni de confirmer les forts soupçons selon lesquels Altran aurait
cyberattaque, l’heure de la
été victime de LockerGoga. Mais en parlant de « cyberattaque », l’ESN tend toutefois,
reprise
quoique peut-être non-sciemment, à confirmer la nature ciblée de l’incident.
Ransomware : le sous-traitant
aéronautique Asco reprend
laborieusement ses activités
Page 10 of 18
E-guide
Eurofins avait indiqué, début juin, que « ses équipes de supervision de la sécurité
Ransomware : une vaste attaque
[avaient] détecté une forme de rançongiciel ayant perturbé certains de ses systèmes
frappe une vingtaine d’entités
d’information ». Immédiatement, « de nombreux systèmes et serveurs ont été
publiques au Texas
déconnectés […] pour contenir l’activité de cette nouvelle version de maliciel ». Une
semaine plus tard, Eurofins expliquait que « le ransomware impliqué apparaît avoir été
Ransomware : une facture à
une nouvelle variante de maliciel qui n’était initialement pas détectable » par les outils
plusieurs dizaines de millions
de protection en place dans son infrastructure. Elle le fut grâce à une mise à jour
d’euros pour Norsk Hydro
« quelques heures » plus tard, mais trop tard, donc.
Accéder à plus de contenu Pro+ Fin juin, Eurofins assurait que « l’activité de la vaste majorité des laboratoires
affectés » avait repris en date du 17 juin. Restait encore à traiter le cas de systèmes de
développement et de back office « moins importants » ainsi que de filiales
« représentant moins de 2 % du chiffre d’affaires du groupe ».
Page 11 of 18
E-guide
Ransomware : le sous-traitant S’il le fallait, ces éléments rappellent à quel point le paiement d’une rançon ne
aéronautique Asco reprend constitue en rien une solution miracle. Et cela même si le cas n’est pas rare. Fin juin,
laborieusement ses activités chez Wavestone, Gérôme Billois reconnaissait la réalité de la chose : « je sais bien que
les rançons sont payées (trop) souvent ». Le RSSI Loïs Samain souligne au passage que
Ransomware : une vaste attaque « beaucoup de sociétés travaillent pour ces assurances et s’occupent justement de
frappe une vingtaine d’entités payer ces rançons pour les entreprises (ils font tiers). Et ça paye chaque semaine,
publiques au Texas
même en France ! »
Ransomware : une facture à Mais si certains peuvent l’appréhender comme la « dernière solution avant de tout
plusieurs dizaines de millions devoir reconstruire », comme le faisait alors remarquer Loïs Samain. Toutefois, « ça ne
d’euros pour Norsk Hydro change pas grand-chose au final de payer, il faut quand même tout déchiffrer,
réinstaller, relancer les systèmes, etc. », soulignait Gérôme Billois. Au printemps, le
Accéder à plus de contenu Pro+ directeur de la practice cybersécurité de Wavestone avait d’ailleurs accepté de
partager son expérience relative aux enjeux de la reconstruction après une
compromission par ransomware. Et force est de constater qu’ils sont nombreux.
Page 12 of 18
E-guide
des risques. Plus tôt cette année, les cas DLA Piper et Mondelez ont bien souligné la
Dans ce guide nature critique du type d’assurance.
Ransomware : le sous-traitant
aéronautique Asco reprend
laborieusement ses activités
Page 13 of 18
E-guide
Accéder à plus de contenu Pro+ Pour une assurance outre-Atlantique, c’est relativement peu surprenant. Dans
l’Hexagone, quelques assureurs acceptent également de couvrir le paiement de
rançons, même si le sujet est loin d’être consensuel. Mais le fait est que beaucoup
d’organisations semblent encore choisir de céder au chantage aux données chiffrées,
Page 14 of 18
E-guide
comme le montrait du moins une étude réalisée par Cyberedge auprès de 1300
Dans ce guide décideurs de la sécurité informatique dans 19 pays, dont la France, début 2018.
Ramsay GDS : après la Chez Wavestone, Gérôme Billois ne manque pas de reconnaître la réalité de la chose :
cyberattaque, l’heure de la « je sais bien que les rançons sont payées (trop) souvent ». Le RSSI Loïs Samain
reprise souligne au passage que « beaucoup de sociétés travaillent pour ces assurances et
s’occupent justement de payer ces rançons pour les entreprises (ils font tiers). Et ça
Ransomware : le sous-traitant paye chaque semaine, même en France ! »
aéronautique Asco reprend
laborieusement ses activités La pratique profite bien évidemment aux cyber-délinquants. Mais qu’apporte-t-elle aux
organisations concernées ? Pour Loïs Samain, certains peuvent l’appréhender comme
Ransomware : une vaste attaque la « dernière solution avant de tout devoir reconstruire ». Gérôme Billois relève que
frappe une vingtaine d’entités « ça ne change pas grand-chose au final de payer, il faut quand même tout déchiffrer,
publiques au Texas réinstaller, relancer les systèmes, etc. » Récemment, le directeur de la practice
cybersécurité de Wavestone avait d’ailleurs accepté de partager son expérience
Ransomware : une facture à relative aux enjeux de la reconstruction après une compromission par ransomware. Et
plusieurs dizaines de millions force est de constater qu’ils sont nombreux.
d’euros pour Norsk Hydro
L’un des premiers touche à la disponibilité des sauvegardes et à la capacité de
Accéder à plus de contenu Pro+
restauration, comme Maersk a encore pu récemment en témoigner. Et c’est sans
compter avec les délais de restauration et les efforts de nettoyage requis.
Pour Michael, RSSI dans le secteur de la santé, en définitive, payer « est une mesure
comme une autre, à prendre par la direction générale, et à mettre en regard des pertes
Page 15 of 18
E-guide
suite à l’incident ». D’où une question assurément délicate : « est-ce que la faute n’est
Dans ce guide pas de se poser des questions d’éthique lorsqu’il s’agit de sauver notre entreprise ? »
Ramsay GDS : après la Car c’est parfois bien là la question : si des Maersk, Saint Gobain, ou Norsk Hydro, pour
cyberattaque, l’heure de la ne mentionner qu’eux, ont les reins suffisamment solides, ce n’est pas forcément le cas
reprise de toutes les organisations concernées.
Ransomware : le sous-traitant
aéronautique Asco reprend
laborieusement ses activités
Page 16 of 18
E-guide
L’offre PRO+ est gratuite et réservée aux membres du réseau de sites internet
Ransomware : le sous-traitant TechTarget.
aéronautique Asco reprend
laborieusement ses activités
©2019 TechTarget. Tout ou partie de cette publication ne peut être transmise ou reproduite dans quelque forme ou de quelque
Ransomware : une facture à manière que ce soit sans autorisation écrite de la part de l’éditeur.
plusieurs dizaines de millions
d’euros pour Norsk Hydro
Page 17 of 18
E-guide
Dans ce guide
Page 18 of 18