'Nous ne savons finalement pas comment les pirates ont pénétré chez nous', déclare Marc Colman. 'Probablement au moyen d'un mail d'hameçonnage (phishing).' Colman est infrastructure manager chez le fabricant de métiers à tisser Picanol (un groupe assez important constitué de départements spécialisés en machines industrielles et en en agro-industrie). A un public de personnes du même bord présentes lors d'un événement Orange Cyberdefense fin octobre, il a expliqué comment on agit face à une attaque au rançongiciel et ce que son entreprise en a appris.

Phishing ou autre malware, toujours est-il que les agresseurs ont eu accès au réseau de Picanol. 'La première chose que nous avons vue, lorsque nous avons examiné les historiques, ce fut un mouvement latéral dans l'environnement des serveurs de Belgique vers la Roumanie le 12 décembre. Ensuite le calme plat. ar après, nous avons observé de nouvelles activités Powershell le 24 décembre et le 6 janvier.' L'attaque proprement dite a eu lieu le 13 janvier, le jour où tous les serveurs virtuels de l'entreprise ont redémarré en mode sécurité, avec un fichier texte exécuté sous la forme d'une commande Powershell. L'environnement de production fut paralysé.

Et Colman de signaler que diverses meilleures pratiques ont permis d'éviter le pire: 'Par segmentation du réseau, seuls nos systèmes de production furent impactés. Les machines, le département recherche, etc. ont été épargnés. Nos clients n'ont pas non plus été touchés. Voilà pourquoi nous avons fermé l'ensemble de nos sites et isolé tout le monde. Cette isolation signifie que la production fut un certain temps arrêtée, mais nous voulions ainsi minimiser l'impact de l'attaque.'

En pleine crise

En moyenne, une entreprise est mise hors ligne pendant 21 jours après une attaque au rançongiciel (ransomware). Beaucoup d'entre elles avant (250-300 jours) que tous les systèmes soient nettoyés et restaurés. Chez Picanol, il fallut deux semaines avant que la production puisse reprendre. 'Nous n'avons jamais payé', a insisté Colman. 'Nos backups n'étaient pas compromis. Si les fichiers de sauvegarde sont également cryptés, c'est fichu. Sans backup, on en est réduit à se demander comment payer. Mais tel ne fut pas le cas chez nous.'

Picanol recourt à un backup en trois phases: les sauvegardes locales, qui sont ensuite répliquées sur un serveur central, puis une fois encore mises hors ligne manuellement. 'Nous plaçons tout sur disque, car s'il faut restaurer tout au départ de bandes, on n'en a pas fini.' Ce système est aussi l'une des raisons pour lesquelles Picanol a pu retomber sur ses pattes, selon Colman. La plupart des entreprises conservent leurs backups trente jours durant. Colman: 'Nous avons observé les premiers signes le 12 décembre, et les pirates ont attendu trente jours, avant d'attaquer.'

Mais rien de tout cela chez Picanol, qui a donc tenté de contrer l'attaque par elle-même. L'équipe IT a examiné, avec l'aide de la firme de sécurité Cynet et du CERT, ses propres serveurs et y a découvert entre autres le rançongiciel Medusalocker, ainsi que du logiciel de la bande Empiremonkey. Elle passa ensuite en revue l'ensemble du réseau avec l'outil d'analyse Darktrace.

Communication

Mais durant toute cette recherche, le réseau demeura paralysé, afin d'empêcher toute propagation. 'Après l'attaque, nous avons fermé nos adresses mail, exception faite des plus importantes, afin de pouvoir continuer à communiquer', explique Colman. 'Puis, il faut restaurer les serveurs. Et pour chaque serveur qu'on réinitialise, il convient d'examiner qu'il est bien 'safe', avant de le remettre sur le réseau. Nous avons du reste procédé à pas mal de corrections supplémentaires, réinitialisé des serveurs d'instantanés préalables, avant de les scanner aussitôt à la recherche de malware.' Un travail de longue haleine, selon Colman: 'Votre personnel doit aussi pouvoir se reposer, car vous en aurez besoin quelques semaines encore.'

Une fois le pire passé, le métier a lui aussi pu redémarrer peu à peu. C'est ainsi par exemple qu'une cinquantaine de boîtes mail VIP ont été ouvertes pour le mail externe et ce, en plus de celles réservées à la communication de crise. 'Même pas une heure plus tard, nous étions aux prises avec une première attaque de 'spearphishing'', dit-il en riant. 'On est clairement tenu à l'oeil, lorsqu'on redémarre.' Finalement, cela a pris des mois, avant que la plupart des collaborateurs puissent accéder de nouveau à internet sur leur lieu de travail.

'Ne gâchez jamais une bonne crise'

L'attaque provoqua donc des problèmes, mais en même temps, elle généra une prise de conscience. Une série de mesures furent aussitôt prises pour espérer éviter toute récidive ciblant surtout le réseau. 'Les appareils des utilisateurs non correctement sécurisés ne peuvent être connectés au réseau', affirme Colman. 'Cela vaut pour tous les appareils non gérés, dont par exemple aussi d'anciennes machines industrielles. Notre équipe IT a donc examiné physiquement toutes ces machines et si elles ne pouvaient pas être sécurisées, elles furent isolées du réseau.'

De plus, il convient de jouer aussi sur la sensibilisation des utilisateurs formés à l'identification des mails d'hameçonnage. 'Ils durent suivre ce cours, avant de récupérer leur boîte mail', poursuit Colman. 'Nous avons également intégré des règles plus strictes en matière de mots de passe. Le métier n'en fut pas vraiment heureux, car nous voulions instaurer une phrase et pas un mot.' La vérification à deux facteurs fut aussi introduite. 'Via une appli d'authentification, pas par mail', ajoute Colman. Les connexions internet entre les sites mêmes sont aujourd'hui plus rigoureusement contrôlées et pendant un certain temps après l'attaque, le nombre de connexions VPN fut fortement réduit, avant d'être réactivées par la suite en raison du covid.

Etapes suivantes

Depuis l'attaque, l'infrastructure est soumise à un examen strict. Les comptes supérieurs ('elevated') et de service ont été muselés, les partenaires externes sur le site se voient proposer un environnement séparément contrôlé sur le réseau, etc. 'Nous sommes à présent occupés à réduire nos systèmes hérités. Nous disposions par exemple encore de quelques systèmes intégrant Windows Server 2003. Nous avons également accéléré nos correctifs, même si dans ce cas, le problème pour un environnement industriel, c'est qu'on doive faire face à du temps d'arrêt.'

En gros, la feuille de route sécuritaire a été revue de fond en comble et est encore constamment actualisée, selon Colman: 'Nous disposons d'une équipe de sécurité interne dédiée. Elle est constituée de trois personnes, ce qui est bien nécessaire. La sécurité ne peut pas être prise en charge par quelqu'un qui s'acquitte en même temps d'une autre tâche. Notre équipe doit réagir vite, car les pirates sont encore plus rapides. Chez nous, l'équipe de sécurité suit quotidiennement les alertes, et on se réunit chaque semaine pour voir ce qu'il faut changer.' Plusieurs SOC externes assurent en outre la gestion automatique. 'S'ils voient quelque chose, ils la bloquent. Cela nous donne le temps d'envisager ce qu'il convient d'adapter. Il faut aussi prévoir le suivi et la remédiation automatiques. On ne trouve pas les gens pour ce faire, il faut donc l'automatiser.'

A long terme

Nous voici deux années plus tard. Que reste-t-il de tous ces changements? 'Ne gâchez jamais une bonne crise', affirme-t-il. 'Mais il faut pouvoir faire son travail. La limite est ténue entre la facilité d'emploi et la sécurité. C'est là un exercice difficile.'

La prise de conscience sécuritaire diminue aussi au fil du temps, selon Colman: 'En un an et demi, on constate que les gens ont retrouvé une certaine quiétude à propos de l'hameçonnage par exemple. Ce n'est plus un enjeu majeur. Tout le monde a suivi une formation en sécurité, mais lors d'un récent test, nous avons quand même constaté que quelques collaborateurs cliquaient sur un mail de phishing, et deux douzaines d'entre eux donnaient même des détails de login. Une heure de formation, c'est bien, mais donc insuffisant. Il convient d'effectuer des tests de phishing encore et encore.'

'Nous ne savons finalement pas comment les pirates ont pénétré chez nous', déclare Marc Colman. 'Probablement au moyen d'un mail d'hameçonnage (phishing).' Colman est infrastructure manager chez le fabricant de métiers à tisser Picanol (un groupe assez important constitué de départements spécialisés en machines industrielles et en en agro-industrie). A un public de personnes du même bord présentes lors d'un événement Orange Cyberdefense fin octobre, il a expliqué comment on agit face à une attaque au rançongiciel et ce que son entreprise en a appris. Phishing ou autre malware, toujours est-il que les agresseurs ont eu accès au réseau de Picanol. 'La première chose que nous avons vue, lorsque nous avons examiné les historiques, ce fut un mouvement latéral dans l'environnement des serveurs de Belgique vers la Roumanie le 12 décembre. Ensuite le calme plat. ar après, nous avons observé de nouvelles activités Powershell le 24 décembre et le 6 janvier.' L'attaque proprement dite a eu lieu le 13 janvier, le jour où tous les serveurs virtuels de l'entreprise ont redémarré en mode sécurité, avec un fichier texte exécuté sous la forme d'une commande Powershell. L'environnement de production fut paralysé. Et Colman de signaler que diverses meilleures pratiques ont permis d'éviter le pire: 'Par segmentation du réseau, seuls nos systèmes de production furent impactés. Les machines, le département recherche, etc. ont été épargnés. Nos clients n'ont pas non plus été touchés. Voilà pourquoi nous avons fermé l'ensemble de nos sites et isolé tout le monde. Cette isolation signifie que la production fut un certain temps arrêtée, mais nous voulions ainsi minimiser l'impact de l'attaque.'En moyenne, une entreprise est mise hors ligne pendant 21 jours après une attaque au rançongiciel (ransomware). Beaucoup d'entre elles avant (250-300 jours) que tous les systèmes soient nettoyés et restaurés. Chez Picanol, il fallut deux semaines avant que la production puisse reprendre. 'Nous n'avons jamais payé', a insisté Colman. 'Nos backups n'étaient pas compromis. Si les fichiers de sauvegarde sont également cryptés, c'est fichu. Sans backup, on en est réduit à se demander comment payer. Mais tel ne fut pas le cas chez nous.'Picanol recourt à un backup en trois phases: les sauvegardes locales, qui sont ensuite répliquées sur un serveur central, puis une fois encore mises hors ligne manuellement. 'Nous plaçons tout sur disque, car s'il faut restaurer tout au départ de bandes, on n'en a pas fini.' Ce système est aussi l'une des raisons pour lesquelles Picanol a pu retomber sur ses pattes, selon Colman. La plupart des entreprises conservent leurs backups trente jours durant. Colman: 'Nous avons observé les premiers signes le 12 décembre, et les pirates ont attendu trente jours, avant d'attaquer.' Mais rien de tout cela chez Picanol, qui a donc tenté de contrer l'attaque par elle-même. L'équipe IT a examiné, avec l'aide de la firme de sécurité Cynet et du CERT, ses propres serveurs et y a découvert entre autres le rançongiciel Medusalocker, ainsi que du logiciel de la bande Empiremonkey. Elle passa ensuite en revue l'ensemble du réseau avec l'outil d'analyse Darktrace.Mais durant toute cette recherche, le réseau demeura paralysé, afin d'empêcher toute propagation. 'Après l'attaque, nous avons fermé nos adresses mail, exception faite des plus importantes, afin de pouvoir continuer à communiquer', explique Colman. 'Puis, il faut restaurer les serveurs. Et pour chaque serveur qu'on réinitialise, il convient d'examiner qu'il est bien 'safe', avant de le remettre sur le réseau. Nous avons du reste procédé à pas mal de corrections supplémentaires, réinitialisé des serveurs d'instantanés préalables, avant de les scanner aussitôt à la recherche de malware.' Un travail de longue haleine, selon Colman: 'Votre personnel doit aussi pouvoir se reposer, car vous en aurez besoin quelques semaines encore.'Une fois le pire passé, le métier a lui aussi pu redémarrer peu à peu. C'est ainsi par exemple qu'une cinquantaine de boîtes mail VIP ont été ouvertes pour le mail externe et ce, en plus de celles réservées à la communication de crise. 'Même pas une heure plus tard, nous étions aux prises avec une première attaque de 'spearphishing'', dit-il en riant. 'On est clairement tenu à l'oeil, lorsqu'on redémarre.' Finalement, cela a pris des mois, avant que la plupart des collaborateurs puissent accéder de nouveau à internet sur leur lieu de travail.L'attaque provoqua donc des problèmes, mais en même temps, elle généra une prise de conscience. Une série de mesures furent aussitôt prises pour espérer éviter toute récidive ciblant surtout le réseau. 'Les appareils des utilisateurs non correctement sécurisés ne peuvent être connectés au réseau', affirme Colman. 'Cela vaut pour tous les appareils non gérés, dont par exemple aussi d'anciennes machines industrielles. Notre équipe IT a donc examiné physiquement toutes ces machines et si elles ne pouvaient pas être sécurisées, elles furent isolées du réseau.'De plus, il convient de jouer aussi sur la sensibilisation des utilisateurs formés à l'identification des mails d'hameçonnage. 'Ils durent suivre ce cours, avant de récupérer leur boîte mail', poursuit Colman. 'Nous avons également intégré des règles plus strictes en matière de mots de passe. Le métier n'en fut pas vraiment heureux, car nous voulions instaurer une phrase et pas un mot.' La vérification à deux facteurs fut aussi introduite. 'Via une appli d'authentification, pas par mail', ajoute Colman. Les connexions internet entre les sites mêmes sont aujourd'hui plus rigoureusement contrôlées et pendant un certain temps après l'attaque, le nombre de connexions VPN fut fortement réduit, avant d'être réactivées par la suite en raison du covid.Depuis l'attaque, l'infrastructure est soumise à un examen strict. Les comptes supérieurs ('elevated') et de service ont été muselés, les partenaires externes sur le site se voient proposer un environnement séparément contrôlé sur le réseau, etc. 'Nous sommes à présent occupés à réduire nos systèmes hérités. Nous disposions par exemple encore de quelques systèmes intégrant Windows Server 2003. Nous avons également accéléré nos correctifs, même si dans ce cas, le problème pour un environnement industriel, c'est qu'on doive faire face à du temps d'arrêt.'En gros, la feuille de route sécuritaire a été revue de fond en comble et est encore constamment actualisée, selon Colman: 'Nous disposons d'une équipe de sécurité interne dédiée. Elle est constituée de trois personnes, ce qui est bien nécessaire. La sécurité ne peut pas être prise en charge par quelqu'un qui s'acquitte en même temps d'une autre tâche. Notre équipe doit réagir vite, car les pirates sont encore plus rapides. Chez nous, l'équipe de sécurité suit quotidiennement les alertes, et on se réunit chaque semaine pour voir ce qu'il faut changer.' Plusieurs SOC externes assurent en outre la gestion automatique. 'S'ils voient quelque chose, ils la bloquent. Cela nous donne le temps d'envisager ce qu'il convient d'adapter. Il faut aussi prévoir le suivi et la remédiation automatiques. On ne trouve pas les gens pour ce faire, il faut donc l'automatiser.'Nous voici deux années plus tard. Que reste-t-il de tous ces changements? 'Ne gâchez jamais une bonne crise', affirme-t-il. 'Mais il faut pouvoir faire son travail. La limite est ténue entre la facilité d'emploi et la sécurité. C'est là un exercice difficile.' La prise de conscience sécuritaire diminue aussi au fil du temps, selon Colman: 'En un an et demi, on constate que les gens ont retrouvé une certaine quiétude à propos de l'hameçonnage par exemple. Ce n'est plus un enjeu majeur. Tout le monde a suivi une formation en sécurité, mais lors d'un récent test, nous avons quand même constaté que quelques collaborateurs cliquaient sur un mail de phishing, et deux douzaines d'entre eux donnaient même des détails de login. Une heure de formation, c'est bien, mais donc insuffisant. Il convient d'effectuer des tests de phishing encore et encore.'