Retour d’expérience de Stéphane Rogulski, Directeur des Systèmes d’information de Coallia, association sociale nationale de référence, témoignage recueilli par Zalis.
Dans la nuit du vendredi au samedi 6 mars, Coallia, association nationale au service des publics fragilisés, regroupant 4000 collaborateurs répartis sur plus de 750 établissements et services dans 42 départements, est victime d’une attaque informatique de type rançongiciel. Celle-ci est détectée par les équipes informatiques dès le samedi 6 mars, suscitant la mobilisation immédiate d’experts de la société Orange Cyberdefense pour identifier les modalités d’intrusion et limiter les effets de cette attaque et permettre un retour à la normale des systèmes d’information dans les meilleures conditions.
Trois mois après cette cyberattaque, nous avons demandé à Stéphane Rogulski, Directeur des Systèmes d’information de Coallia, de nous faire le récit de cette expérience de vie inédite d’une organisation. Stéphane Rogulski a accepté de répondre aux questions de Zalis, pour partager son retour d’expérience et sensibiliser les entreprises face à cette menace numérique grandissante.
Zalis : Dans la nuit du vendredi au samedi 6 mars, Coallia bascule dans la gestion de crise : ses systèmes d’information subissent une cyberattaque d’ampleur qui anéantit en quelques heures votre organisation. Racontez-nous ce qui se passe dans ces premières heures de gestion de crise ?
Stéphane Rogulski, DSI de Coallia :
Comment détectons-nous la cyberattaque ? Tout commence autour d’une heure du matin, dans la nuit de vendredi au samedi 6 mars. Les premières alertes tombent. Notre système de détection nous signale des comportements inhabituels : les serveurs sont en cours de cryptage. Nous sommes en cours d’attaque, à un moment particulièrement vulnérable : nous sommes en plein projet de bascule de sauvegardes, dans le cadre de projet de migrations d’applications !
Quand, au réveil, le responsable infrastructure de Coallia les découvre, son premier réflexe de sécurisation est la fermeture de tous les serveurs, afin d’éviter la propagation de l’attaque et minimiser l’impact. Je suis immédiatement informé.
Très rapidement, le diagnostic s’impose avec évidence : nous vivons une cyberattaque d’une grande importance. Nous comprenons qu’il nous faut en urgence de l’expertise et nous mettre en ordre de bataille. Il nous faut comprendre ce qui se passe et savoir ce que nous devons faire. L’ensemble du SI étant éteint, c’est une sensation psychologique très désagréable de ne pas pouvoir mesurer l’ampleur des dégâts. Nous avons besoin d’investigation pour comprendre cette attaque et évaluer ses impacts.
La mobilisation s’engage. Dans ce type de situation, le compte à rebours s’accélère et les premières heures de gestion de crise sont cruciales. C’est une course contre la montre.
Quel dispositif de gestion de crise mettez-vous en place ?
Notre déclenchons aussitôt notre processus de gestion de crise et mettons en place deux cellules de crise, l’une informatique et l’autre métier. Toute l’équipe informatique est réunie en cellule de crise, synchronisée avec le management et la Direction Générale de Coallia.
Pour comprendre exactement ce qui se passe et disposer d’un diagnostic d’urgence, nous faisons appel à Orange Cyberdefense, spécialisé dans les prestations de services en cybersécurité.
Orange Cyberdefense nous met à disposition une équipe d’experts dédiée, en quelques heures et un samedi !
A midi, nous avons à nos côtés, un chef de projet et les compétences humaines nécessaires pour procéder à l’audit d’intrusion en cours, aux investigations en profondeur dans les différentes couches du système d’information, et nous accompagner dans le pilotage des actions de remédiation associées. Tout est fait à distance par la mise en place de toute une infrastructure qui nous permet de communiquer avec l’extérieur. Je pars même à Orléans le dimanche pour aller chercher l’un de nos serveurs physiques hébergé sur site, afin de le rapatrier et permettre une analyse plus rapide.
En début d’après-midi, nous sommes organisés en cellules de crise technique et organisationnelle, avec des navettes entre les deux pour assurer une communication cohérente et transparente, entre les opérations qui ont lieu au cœur de l’incident et la remontée au management de Coallia. À 17 heures, le premier Comité de Direction est réuni. Il y en aura trois durant le week-end pour préparer l’arrivée des collaborateurs le lundi matin.
Aujourd’hui, je fais le récit de cet événement comme un film d’actions en accéléré mais qui est bien une réalité d’entreprise exceptionnelle vécue dans l’urgence d’une crise. Ce que nous avons vécu n’est pas un incident critique informatique, c’est une attaque inédite de tout le système d’information de Coallia. C’est un acte de malveillance informatique.
En termes de tactique d’attaques, ces attaques ont souvent lieu le vendredi soir, veille de week-end, car la surveillance est moindre et parce que les sauvegardes sont généralement remontées offline le week-end.
Quels sont les impacts de la cyberattaque, après l’investigation pour comprendre ?
Le diagnostic des impacts et l’audit d’intrusion vont se dérouler du samedi midi jusqu’au mardi, avec un rapport final produit le vendredi suivant.
Le scénario du film, qui est en train de se jouer, n’est pas une petite attaque informatique pilotée par un amateur depuis son garage mais bien une intrusion par un professionnel, vraisemblablement , à l’origine, par du phishing (l’hameçonnage) alors qu’une communication préventive avait été faite moins de 3 semaines avant avecdes tentatives d’intrusion en amont.
Je dois avouer que durant cette période, nous avons alterné entre le désespoir et l’euphorie au fur et à mesure des découvertes. Savoir garder la tête froide et le calme fait toute la différence.
Le verdict tombe donc 3 jours après, mardi nous savons : 90% de nos serveurs sont cryptés, nous identifions vite une attaque en deux temps : une intrusion le jeudi, un mot de passe et un login usurpés via un utilisateur, la porte d’entrée est le VPN. Par la corruption des droits d’accès d’utilisateur, l’attaquant fait l’installation d’un logiciel de cryptage sur tous les serveurs. D’autre part, la fonctionnalité de Microsoft BitLocker a été activée et a provoqué le blocage d’environ 200 postes utilisateurs qui n’étaient pas éteints. Dans ce cas ici, force est de constater que les consignes de fermeture des PC pour activer la protection n’ont pas été respectées.
Le premier point positif et crucial du diagnostic est qu’il n’y a aucune trace de fuite de données vers l’extérieur.
Nos systèmes déjà sécurisés comportent donc des fragilités.
Quelles sont vos premières actions pour assurer la continuité de l’activité ?
Le temps est un élément clé en cybersécurité. Nous avons eu un temps de réponse efficace.
Une fois validée que l’attaque n’est plus en propagation, le plus important est de rétablir les liens de communication.
Dès le dimanche soir, nous redonnons l’accès internet et aux messageries aux 300 sites, crucial pour communiquer en interne comme en externe.
Notre priorité d’action est au service de l’ensemble des collaborateurs des sites opérationnels, plus de 750 établissements et services qui interagissent auprès de notre écosystème d’acteurs dans les territoires et au service de nos populations bénéficiaires en matière d’accompagnement social, d’hébergement ou d’accueil ou en structures spécialisées.
Nous reconstruisons notre réseau de manière agile, nous redémarrons les applications majeures d’infrastructure et les plus critiques pour le bon fonctionnement de notre organisation. La bonne nouvelle est que nous n’avons pas subi de vol de données.
Les logiciels stratégiques de la paie des salariés, de la finance et de la trésorerie n’ont pas cessé de fonctionner car ils sont hébergés en dehors de notre réseau.
95% des applications sont remontées et opérationnelles en 3 semaines et les pertes de données sont très limitées, nous comptabilisons 5 jours de perte sur les serveurs de fichiers.
Nous mettons en œuvre notre Plan de reprise d’activité informatique (PRAI). C’est un travail d’équipe, coordonné avec la Direction Qualité. En cellule de crise technique et métier, nous tenons des réunions tous les jours pendant 3 semaines
Nous avons de nombreux systèmes de sauvegardes différents (sur bande, offline, cloud) mais pour valider leur utilisation, il a fallu remonter des parties d’infrastructure nous laissant par moment dans une grande incertitude. Nous avons travaillé parfois jusque 4 heures du matin ! Nous ne voulions pas lâcher les pistes de solutions techniques de récupération des données. Durant la première semaine, nous vivons sur l’adréaline en passant par des bas et des hauts très éprouvants.
Sur le plan de la communication, comment avez-vous géré ce temps très sensible de crise ?
Nous avons fait le choix de la transparence pour assurer la confiance et rassurer les tiers de notre écosystème (agences régionales de santé, les préfectures, les ministères, …), nos partenaires sociaux, nos administrateurs et nos salariés. Une communication de crise auprès de l’ensemble des collaborateurs dès le lundi matin à 8 heures été faite par sms.
Nous avons aussi communiqué auprès des medias ce que nous vivions, pour sensibiliser à ce risque et partager notre expérience.
C’est un message responsable de sensibilisation et de prévention que nous souhaitons porter auprès des opérateurs de projets sociaux comme nous le sommes et plus largement auprès des organisations.
Nous partageons notre expérience pour qu’elle soit utile, par anticipation.
Que retenez-vous de l’expérience de cette cyberattaque ?
Le contexte de crise sanitaire est une opportunité d’attaque auprès des entreprises, lié au recours massif au télétravail et l’intensification des usages numériques.
Les moyens d’intrusion les plus fréquents sont aujourd’hui la pénétration dans le réseau de l’organisation victime par ses accès externes, suite à l’exploitation notamment d’une faille de sécurité non corrigée.
Nos organisations sont des systèmes davantage ouverts et attaquables, avec le travail à distance et le recours au VPN. Les VPN sont des fenêtres qui s’ouvrent et qui peuvent être cassées.
En termes de comportements préventifs, notre première ligne de défense, ce sont nos collaborateurs, dans les bonnes pratiques de sécurité informatique et l’usage que nous faisons de manière responsable de nos ordinateurs de bureau ou portables, téléphones mobiles, … d’où l’importance des actions de sensiblisation et de formation du personnel.
En termes de sécurité informatique, pour des structures comme la nôtre, les solutions sont dans les sauvegardes régulières et sécurisées des données, et notamment offline, des actions de sécurisation d’accès, une stratégie de surveillance renforcée et surtout un PRAI formalisé et rôdé..
La pertinence de notre stratégie hybride d’hébergement interne et externe des applications s’est confirmée. Ne pas avoir fait le choix d’une externalisation excessive de nos applications est sécuritaire. Je rappelle que l’incendie accidentel de l’un des centres de données de l’entreprise française OVH, survenu le 10 mars dernier, a occasionné chez des entreprises clientes des pertes définitives de leurs données.
En termes de politique de sécurité informatique, nous avons pris conscience que notre système n’était pas assez sécurisé et que nous devons être plus forts. Nous mobilisons les moyens techniques et humains nécessaires pour être en amélioration continue : l’importance des sauvegardes régulières, le besoin de compétences en sécurité informatique.
Le risque zéro n’existe pas. De grandes entreprises mobilisent des investissements conséquents et elles peuvent toutefois demain être la cible d’une cyberattaque.
Notre objectif est de développer une sécurité informatique à la fois disuasive et offensive. Nous sommes dans une stratégie de sécurité renforcée et de prévention du risque.
Je retiens aussi la solidarité interne et l’esprit d’équipe en situation de crise. Beaucoup de solidarité humaine dans la manière de travailler ensemble et dans les réponses à apporter.
Cette expérience de cyberciminalité est un apprentissage collectif.
Près de 3 mois après la crise, où en êtes-vous ?
Trois mois après l’épreuve collective de la cyberattaque, nous poursuivons notre reconstruction.
Nous subissons encore actuellement les impacts opérationnels de l’attaque. Et cela va perdurer des mois. Nous sommes également en mode dégradé sur des sites en région et cela jusqu’en octobre, ettoujours dans la phase des actions de remédiation.
Prenez l’exemple de Office Français de l’Immigration et de l’intégration (OFII) qui a subi une cyberattaque en septembre 2020 et qui, en mars 2021, est toujours dans le temps du retour à la normale.
Dans la phase d’après crise, 80% de notre temps est encore dédié à intervenir sur les conséquences de l’attaque avec des ressources mobilisées sur cette priorité, tout en restant engagés sur les besoins opérationnels de l’activité courante.
L’ensemble des collaborateurs de Coallia demeurent mobilisés, notre engagement au quotiden est notre force. Nous en sortons collectivement renforcés.