La cyberattaque du groupe Stelliant au menu du congrès 2021 de la Compagnie des experts
La compagnie des experts (CEA) a organisé ce 8 octobre 2021 son congrès annuel. Au cours de la conférence sur le risque cyber, le groupe Stelliant a relaté la cyberattaque dont il a été victime.
Le risque cyber explose. Olivier Boniface, président de la CEA, entame la conférence avec deux chiffres éloquents :
- 4 fois plus d’attaques cyber enregistrées en 2020 ;
- 2e risque émergent le plus préoccupant selon l’étude 2021 d’Axa et Eurosia group effectuée sur un panel de 3 500 experts en gestion de risque provenant de 60 pays. Le risque cyber arrive juste après le risque climatique.
La cyberattaque du groupe Stelliant
Le groupe Stelliant, spécialisé dans les services à l’assurance, a été victime d’une cyberattaque en mai dernier. Son PDG, Christophe Arrebolle a témoigné de la façon dont il a géré la crise. Pour lui, il est important de partager ce que le groupe a vécu « même si, à chaque fois, la situation est particulière puisque ce ne sont jamais exactement les mêmes attaques ».
L’attaque a commencé en plein weekend de l’Ascension, le vendredi 14 mai 2021 autour de 21h. Il s’agissait non pas d’un virus mais d’une attaque ciblée.
Les équipes qui gèrent la surveillance informatique alertent Christophe Arrebolle. Avec la question : faut-il arrêter tout ? « Il faut décider dans les 30 secondes, prévient le PDG de Stelliant. Si je décide de continuer, je fais prendre un risque à la société mais également à tout l’écosystème puisque nous sommes tous interconnectés. Mais quand la graduation est majeure, il faut tout couper. »
Ceci fait d’ailleurs partie des préconisations de l’Anssi pour sécuriser le périmètre et éviter une propagation aux partenaires.
Chez Stelliant, tout couper signifie arrêter 600 serveurs – le groupe emploie 2 500 personnes réparties dans une vingtaine d’entités en France. « Toutes les interconnections avec l’extérieur s’arrêtent. Une lourdeur qu’on ne mesure pas sur les architectures. »
Les équipes informatiques commencent alors, dès le vendredi soir, à investiguer sur le périmètre impacté.
La gestion de crise
Dès le samedi matin, la gestion de crise se met en place avec son lot de démarches. D’abord faire les déclarations (Cnil, assurances…). Prévenir ensuite toutes les équipes internes. Pas simple quand il n’y a plus de messagerie… C’est par la téléphonie que cela s’est fait. Communiquer aussi envers les clients et leur expliquer la situation. La plupart ne se sont pas encore rendu compte de l’attaque car « on est dans un weekend où majoritairement, les gens sont partis. » Et communiquer à la presse qui appelle très vite pour connaître les détails de l’attaque et le planning de redémarrage, ce que personne n’est capable de fournir à ce stade.
Rester modeste et prudent
« Cette attaque nous force à être modestes et prudents, martelle Christophe Arrebolle. Il faut beaucoup de temps pour investiguer et déterminer par où sont entrés les hackeurs et jusqu’où ils sont allés. » Heureusement pour Stelliant, ce n’est pas la totalité du système qui a été attaquée. Certaines activités ont pu redémarrer assez vite car la détection a été rapide. « Nous n’avons, a priori, pas eu de cryptage de données, ni d’impact sur les sauvegardes. »
Peu à peu, des messageries alternatives ont été mises en place. Certaines activités ont redémarré très vite. D’autres ont été paralysées environ trois semaines. Cependant, pour sortir complètement de la crise, la reprise est progressive et certains secteurs ont mis près de deux mois pour retrouver une activité normale.
Il faut savoir que l’entreprise n’est pas seule décisionnaire pour pouvoir redémarrer. « Quand vous avez ce type d’attaque, un tiers certificateur vient garantir que ce que vous faites est dans les règles de l’art et que vous avez suffisamment sécurisé. Il va également donner des garanties à vos partenaires », explique Christophe Arrebolle.
Une rançon très élevée a été demandée – plusieurs millions d’euros – que Stelliant n’a pas payée.
Retour d’expérience
Après cette cyberattaque, le groupe Stelliant a pris plusieurs mesures parmi lesquelles :
- le renforcement des outils de contrôle et de surveillance des systèmes, déployés également au niveau de tous les PC partout en France ;
- la sécurisation de tous les réseaux VPN ;
- un système de double authentification.
Christophe Arrebolle tire deux leçons essentielles de cet incident : tout le monde est concerné et il faut se préparer à une cyberattaque pour limiter au maximum les impacts.
Martine Porez – Journaliste
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…