Lundi 12 juin 2023
Une mobilisation générale. Il est difficile de qualifier autrement notre intervention réalisée auprès de l’un de nos clients importants en début d’année civile. Victime d’une cyberattaque, cette entreprise internationale a pu compter sur notre soutien rapide et efficace, bien au-delà des obligations contractuelles qui nous lient.
Chez NRB, nous veillons à répondre aux besoins des clients et à dépasser leurs attentes initiales. En début d’année, nos équipes ont porté secours à une entreprise victime d’une importante cyberattaque. Alors que nous n’avions en charge que la partie opérationnelle de son infrastructure, nous avons mobilisé des moyens substantiels pour lui permettre d’éloigner les hackers et de reprendre ses activités le plus rapidement possible.
Etape 1 : la détection de l’alerte
En pleine nuit, le garde de notre client reçoit plusieurs alertes : de nombreuses plateformes ne fonctionnent plus. Il essaie d’accéder à l’infrastructure mais ses accès sont refusés. « Notre garde a rapidement été contacté par l’entreprise en question. Il a pu accéder aux systèmes et reprendre le contrôle de l’infrastructure. Il a ensuite rapidement rendu des accès au client pour qu’il constate l’ampleur des dégâts.
Au total, ce sont les données de centaines de systèmes qui ont tout simplement disparues. A ce moment précis, la possibilité d’une cyberattaque semblait de plus en plus évidente », explique Arnaud Rosette, Security Engineer chez NRB qui a supervisé toute l’intervention.
Notre client prend immédiatement des mesures de sécurité et décide, entre autres, de couper les connexions internet extérieures reliées à l’entreprise.
Etape 2 : l’analyse de l’attaque
NRB propose proactivement son assistance au client et met à disposition son équipe SecOps. En parallèle, une salle de réunion chez NRB est mise à disposition de notre client pour lui permettre de poursuivre les activités urgentes et ce, en toute sécurité.
Nos collaborateurs de l’équipe SecOps mènent une analyse forensique, c’est-à-dire une investigation des supports potentiellement dangereux. « Pour trouver des réponses, nous avons besoin de données mais celles des machines attaquées avaient pour la plupart disparu. Heureusement, nous avons quand même pu en récupérer et constater la présence de logiciels malveillants qui avaient permis aux hackers de prendre le contrôle d’une partie du parc informatique. »
Commence alors l’étude des indices relevés. A ce stade, chaque information est primordiale car nos équipes doivent pouvoir comprendre quand et comment ces machines ont été pénétrées. « Nous avons détecté des connexions dans des pays inhabituels ou à partir de plusieurs pays. Conclusion : le compte d’un utilisateur avait été hacké », continue Arnaud Rosette.
Etape 3 : la relance des machines et de la production
Trois connexions et six heures de travail : ce fut le temps nécessaire aux hackers pour pénétrer dans le système, voler les données et stopper toute la productivité de l’entreprise grâce au logiciel de ransomware LockBit 3.0. Par miracle, les pirates n’ont pas demandé la moindre rançon et n’ont pas publié les données sur le dark web. « C’est comme si des gangsters volaient l’argent du coffre d’une banque puis brûlaient tous les billets », décrit Arnaud Rosette.
La menace écartée, nos équipes ont travaillé durant deux mois pour permettre à notre client de relancer l’ensemble de ses machines et de sa production. Les données volées ont (en partie) pu être récupérées grâce à une sauvegarde quotidienne des systèmes. « Nous avons tout de même dû identifier le moment où les logiciels malveillants avaient été introduits pour être certains de ne pas les réinjecter », continue Arnaud Rosette. « Notre client était conscient que son système de sécurité n’était pas optimal. La direction a rapidement pris des mesures pour remédier à ce problème. »
Cet exemple illustre à quel point une entreprise peut être attaquée sans même s’en rendre compte. La cyberattaque est l’affaire de tous !
CONTACTER NOTRE ÉQUIPE CYBERSÉCURITÉ
Instance
