Le samedi 4 juillet 2020, Mark Hughes, Senior Vice President de la filiale du fournisseur IT DXC Technology en Grande-Bretagne, est sur le point de partir en vacances que toute sa famille attend avec impatience, lorsque le message suivant apparaît soudainement: 'We have your data. We've encrypted your files. If you want to negotiate, we can talk on a secure tool or chat session.' Ce message on ne peut plus clair est intégré à l'illustration d'un personnage de dessin animé bien connu, qui effectue un geste obscène de la main. Hughes comprend aussitôt que c'est fichu pour les vacances en famille.

'Une partie de mon travail chez DXC Technology, c'est de garder le contrôle sur l'ensemble des activités de sécurité. Cela signifie que je dois régulièrement affronter des attaques lancées contre nos clients, mais dans le cas présent, il s'agissait de Xchanging, l'une de nos filiales. Tous les voyants passèrent immédiatement au rouge', explique Mark Hughes à Data News.

'Le réseau utilisé par Xchanging est complètement indépendant de l'environnement IT nettement plus vaste de DXC, mais comme Xchanging fournit spécifiquement des services professionnels au secteur des assurances, les préoccupations n'étaient pas minces', se souvient encore Hughes. En fin de compte, le département IT a réussi à nettoyer en profondeur et à restaurer l'environnement touché le lendemain déjà, à savoir un dimanche. Et le lundi matin, Xchanging se remettait à traiter activement les polices d'assurance. 'Cela aurait pu se terminer nettement plus mal', déclare Hughes qui résume pour vous les cinq leçons qu'il a tirées de ce sérieux incident.

1. Connaissez votre infrastructure

'Le temps est le facteur le plus important lors d'une attaque au rançongiciel, comme nous l'avons-nous-mêmes expérimenté. La durée d'arrêt ('downtime') en est généralement l'effet économique le plus grave, comme l'ont démontré les récentes attaques contre Picanol en Belgique. Il convient évidemment de réagir dès que la cyber-attaque est décelée, mais ce qui est plus décisif encore, c'est que vous devez savoir rapidement si les agresseurs sont entrés pour la première fois dans vos systèmes. Dans le cas de cette attaque, les hackers avaient maîtrisé l'accès à peine 2 jours avant. Dans de très nombreuses autres attaques, les systèmes sont compromis depuis nettement plus longtemps déjà avant que l'attaque soit observée, souvent juste au moment où les pirates lancent leur attaque', selon Hughes.

'Cela devrait être une évidence, mais veillez à coup sûr à implémenter toujours et partout en temps voulu les tout derniers correctifs logiciels. Procurez-vous aussi les outils permettant de détecter aussi rapidement que possible tout comportement mal intentionné. Comme je l'ai déjà dit: la notion de temps est essentielle. L'impact est resté limité chez nous, parce que nous avons réussi à isoler et à neutraliser rapidement la menace. Cela ne peut se faire que si on connaît à fond son infrastructure. Nous n'avons certes pas pu contrer l'attaque, mais nous avons été avertis à temps qu'il y avait un problème. Nos outils et notre infrastructure nous ont aussi permis de découvrir rapidement ce qui était précisément compromis et où cela se passait exactement dans le réseau. Nous avons ainsi pu pour ainsi dire prendre les intrus sur le fait et nous assurer qu'ils ne progressent pas davantage dans les systèmes', précise Hughes.

Au cas où vous vous le demanderiez, les hackers sont en l'occurrence entrés via un outil de sécurité 'grayware' disponible publiquement, par lequel ils créèrent une porte dérobée dans le réseau, afin d'installer dans un environnement Windows une nouvelle variante de malware encore quasiment inconnue à ce moment-là.

2. Prévenez la haute direction

Pour Hughes, il clair aussi qu'un gain de vitesse a été enregistré, parce qu'il avait reçu du CEO Mike Salvino le mandat formel d'entreprendre les actions nécessaires. 'Impliquez dès le début la haute direction - et si possible même la direction à l'échelle mondiale. Cela permet de passer aussitôt à la vitesse supérieure. Dans mon cas, j'ai été forcé de déconnecter les systèmes internationaux de Xchanging, mais c'est moins évident qu'il n'y paraît, quand on sait par exemple que des équipes IT en Inde étaient également concernées. Un bon management est crucial pour - je sais que je me répète! - accélérer le mouvement', prétend encore Hughes.

3. Prévenez les autorités et des experts

Immédiatement après la découverte de l'attaque, DXC en a informé les autorités. 'Cela nous a aidés. Cela s'est en effet traduit le samedi soir déjà en un mandat judiciaire afin de prendre le contrôle des domaines internet des agresseurs', explique Hughes. L'attaque avait été conçue de manière telle que tout le trafic de Xchanging soit dévié vers des domaines qui étaient aux mains des pirates. Pour déterminer avec une précision de 100% le point initial d'entrée des hackers DXC fit également appel à un acteur extérieur spécialisé. 'Faites pareil si vous avez le moindre doute. Cela peut éviter qu'après la restauration, vous soyez de nouveau touché, parce que toutes les portes ouvertes n'ont pas été refermées.' Cet acteur s'est chargé de ce qu'on appelle le volet investigation ('forensics').

4. Ne versez pas de rançon

Le débat portant sur le versement ou non de la rançon demandée est très animé. Si vous choisissez de payer, il se peut que dans certains, vous vous en tiriez à meilleur compte que si vous deviez opter pour un coûteux remède. Il se peut en effet qu'après paiement, vous soyez vraiment aidé. Les pirates travaillent souvent avec d'authentiques centres d'appels qui vous assistent: c'est une économie comme une autre. Revers de la médaille: si vous payez, vous soutenez le business model maintenant en vie le malware. C'est précisément pourquoi certains pays tels la Grande-Bretagne et les Etats-Unis tentent d'interdire le payement en espèces.

Mais dans le cas présent, les hackers voulaient négocier dans un premier temps. 'Nous savions qu'ils n'avaient pas pu mettre la main sur nos données et que nous disposions de backups complets. Voilà qui nous mettait dans une telle position de force que nous n'étions même pas forcés de négocier', précise Hughes.

5. A nouveau transparent

'C'est précisément la raison pour laquelle nous nous téléphonons à présent', ajoute Hughes en riant. 'Non il ne faut évidemment pas exposer tous les détails, mais la meilleure pratique devrait simplement être de communiquer de manière ouverte et transparente en cas de problème. Nous avons donc partagé avec des centaines de clients la façon dont les hackers s'y étaient pris et ce qui avait fait déclencher l'alarme chez nous, ce qu'on appelle dans notre jargon les Indicators of Compromise. Voilà comment on assure une protection immédiate chez les autres.'

L'attaque du 4 juillet aurait pu nettement plus mal se terminer. Il aura fallu aussi un peu de chance - le fait que le réseau de la filiale soit complètement indépendant -, comme le reconnaît Hughes: 'Mais c'est quand même surtout la vitesse de réaction qui nous a sauvés. Et qui a veillé à ce que je puisse par après profiter de mes vacances certes un peu retardées', conclut Mark Hughes en sur un ton badin.

Le samedi 4 juillet 2020, Mark Hughes, Senior Vice President de la filiale du fournisseur IT DXC Technology en Grande-Bretagne, est sur le point de partir en vacances que toute sa famille attend avec impatience, lorsque le message suivant apparaît soudainement: 'We have your data. We've encrypted your files. If you want to negotiate, we can talk on a secure tool or chat session.' Ce message on ne peut plus clair est intégré à l'illustration d'un personnage de dessin animé bien connu, qui effectue un geste obscène de la main. Hughes comprend aussitôt que c'est fichu pour les vacances en famille.'Une partie de mon travail chez DXC Technology, c'est de garder le contrôle sur l'ensemble des activités de sécurité. Cela signifie que je dois régulièrement affronter des attaques lancées contre nos clients, mais dans le cas présent, il s'agissait de Xchanging, l'une de nos filiales. Tous les voyants passèrent immédiatement au rouge', explique Mark Hughes à Data News.'Le réseau utilisé par Xchanging est complètement indépendant de l'environnement IT nettement plus vaste de DXC, mais comme Xchanging fournit spécifiquement des services professionnels au secteur des assurances, les préoccupations n'étaient pas minces', se souvient encore Hughes. En fin de compte, le département IT a réussi à nettoyer en profondeur et à restaurer l'environnement touché le lendemain déjà, à savoir un dimanche. Et le lundi matin, Xchanging se remettait à traiter activement les polices d'assurance. 'Cela aurait pu se terminer nettement plus mal', déclare Hughes qui résume pour vous les cinq leçons qu'il a tirées de ce sérieux incident.'Le temps est le facteur le plus important lors d'une attaque au rançongiciel, comme nous l'avons-nous-mêmes expérimenté. La durée d'arrêt ('downtime') en est généralement l'effet économique le plus grave, comme l'ont démontré les récentes attaques contre Picanol en Belgique. Il convient évidemment de réagir dès que la cyber-attaque est décelée, mais ce qui est plus décisif encore, c'est que vous devez savoir rapidement si les agresseurs sont entrés pour la première fois dans vos systèmes. Dans le cas de cette attaque, les hackers avaient maîtrisé l'accès à peine 2 jours avant. Dans de très nombreuses autres attaques, les systèmes sont compromis depuis nettement plus longtemps déjà avant que l'attaque soit observée, souvent juste au moment où les pirates lancent leur attaque', selon Hughes.'Cela devrait être une évidence, mais veillez à coup sûr à implémenter toujours et partout en temps voulu les tout derniers correctifs logiciels. Procurez-vous aussi les outils permettant de détecter aussi rapidement que possible tout comportement mal intentionné. Comme je l'ai déjà dit: la notion de temps est essentielle. L'impact est resté limité chez nous, parce que nous avons réussi à isoler et à neutraliser rapidement la menace. Cela ne peut se faire que si on connaît à fond son infrastructure. Nous n'avons certes pas pu contrer l'attaque, mais nous avons été avertis à temps qu'il y avait un problème. Nos outils et notre infrastructure nous ont aussi permis de découvrir rapidement ce qui était précisément compromis et où cela se passait exactement dans le réseau. Nous avons ainsi pu pour ainsi dire prendre les intrus sur le fait et nous assurer qu'ils ne progressent pas davantage dans les systèmes', précise Hughes.Au cas où vous vous le demanderiez, les hackers sont en l'occurrence entrés via un outil de sécurité 'grayware' disponible publiquement, par lequel ils créèrent une porte dérobée dans le réseau, afin d'installer dans un environnement Windows une nouvelle variante de malware encore quasiment inconnue à ce moment-là.Pour Hughes, il clair aussi qu'un gain de vitesse a été enregistré, parce qu'il avait reçu du CEO Mike Salvino le mandat formel d'entreprendre les actions nécessaires. 'Impliquez dès le début la haute direction - et si possible même la direction à l'échelle mondiale. Cela permet de passer aussitôt à la vitesse supérieure. Dans mon cas, j'ai été forcé de déconnecter les systèmes internationaux de Xchanging, mais c'est moins évident qu'il n'y paraît, quand on sait par exemple que des équipes IT en Inde étaient également concernées. Un bon management est crucial pour - je sais que je me répète! - accélérer le mouvement', prétend encore Hughes.Immédiatement après la découverte de l'attaque, DXC en a informé les autorités. 'Cela nous a aidés. Cela s'est en effet traduit le samedi soir déjà en un mandat judiciaire afin de prendre le contrôle des domaines internet des agresseurs', explique Hughes. L'attaque avait été conçue de manière telle que tout le trafic de Xchanging soit dévié vers des domaines qui étaient aux mains des pirates. Pour déterminer avec une précision de 100% le point initial d'entrée des hackers DXC fit également appel à un acteur extérieur spécialisé. 'Faites pareil si vous avez le moindre doute. Cela peut éviter qu'après la restauration, vous soyez de nouveau touché, parce que toutes les portes ouvertes n'ont pas été refermées.' Cet acteur s'est chargé de ce qu'on appelle le volet investigation ('forensics').Le débat portant sur le versement ou non de la rançon demandée est très animé. Si vous choisissez de payer, il se peut que dans certains, vous vous en tiriez à meilleur compte que si vous deviez opter pour un coûteux remède. Il se peut en effet qu'après paiement, vous soyez vraiment aidé. Les pirates travaillent souvent avec d'authentiques centres d'appels qui vous assistent: c'est une économie comme une autre. Revers de la médaille: si vous payez, vous soutenez le business model maintenant en vie le malware. C'est précisément pourquoi certains pays tels la Grande-Bretagne et les Etats-Unis tentent d'interdire le payement en espèces.Mais dans le cas présent, les hackers voulaient négocier dans un premier temps. 'Nous savions qu'ils n'avaient pas pu mettre la main sur nos données et que nous disposions de backups complets. Voilà qui nous mettait dans une telle position de force que nous n'étions même pas forcés de négocier', précise Hughes.'C'est précisément la raison pour laquelle nous nous téléphonons à présent', ajoute Hughes en riant. 'Non il ne faut évidemment pas exposer tous les détails, mais la meilleure pratique devrait simplement être de communiquer de manière ouverte et transparente en cas de problème. Nous avons donc partagé avec des centaines de clients la façon dont les hackers s'y étaient pris et ce qui avait fait déclencher l'alarme chez nous, ce qu'on appelle dans notre jargon les Indicators of Compromise. Voilà comment on assure une protection immédiate chez les autres.'L'attaque du 4 juillet aurait pu nettement plus mal se terminer. Il aura fallu aussi un peu de chance - le fait que le réseau de la filiale soit complètement indépendant -, comme le reconnaît Hughes: 'Mais c'est quand même surtout la vitesse de réaction qui nous a sauvés. Et qui a veillé à ce que je puisse par après profiter de mes vacances certes un peu retardées', conclut Mark Hughes en sur un ton badin.