1er accélérateur des entreprises

Cyberattaque : quand soudain, tout s’arrête…

Attaqué sur l’ensemble de ses sites en même temps, Fondouest, un bureau d’études géotechniques de l’ouest de la France, a dû faire face dans l’urgence à une cyberattaque avec demande de rançon. Témoignage d’une PME d’une soixantaine de personnes sur sa gestion de crise et sur les enseignements utiles qu’elle en retire. 

« La question n’est pas de savoir si l’on sera attaqué mais quand ! »

Carole Alves Saldanha, Directrice administrative et financière de Fondouest, bureau d’études géotechniques d’une soixantaine de salariés, en était déjà persuadée. La cyberattaque dont son entreprise a été victime le 1er février 2024 via l’intrusion d’un virus, a confirmé son intuition. 

« Black-out » total

Il était 14 h 22 ce 1er février. Toutes les imprimantes des cinq sites de l’entreprise répartis entre la Bretagne, la Normandie et les Pays-de-la Loire ont sorti un même message en anglais réclamant une rançon – bien évidemment ignorée par l’entreprise - pour la remise en service de l’informatique et de la téléphonie. Le logiciel d’extorsion « Lockbit 2.0 modifié » qui a verrouillé les ordinateurs de Fondouest a eu un effet immédiat : le « black-out » total des communications !

portrait-Carole-Alves-Saldanha-FondOuest
Carole Alves Saldanha,
Directrice administrative et financière de Fondouest

Les 8 serveurs répartis dans les différents sites de l’entreprise, les deux-tiers du parc informatique et la téléphonie étaient hors service. « C’était la première attaque que nous subissions. Le président de la société étant en déplacement, je ne me suis pas posée de question ; je me suis mise en mode machine de guerre » raconte la Directrice administrative et financière qui a décidé de garder la main pour le pilotage de la gestion de la crise. Épaulée par la seule assistante du président de l’entreprise, elle communiquait par sms aux équipes sur l’avancement de la résolution du problème.

Des sauvegardes régulières des données

De son côté, Dataouest la société de conseil informatique qui veille à la sécurité informatique de Fondouest, a immédiatement mobilisé une équipe d’informaticiens dédiés à 100 % à la résolution du problème. Dès le signalement de l’attaque, toute la nuit durant, le lendemain et une partie du week-end, ils se sont attelés à contenir les conséquences de l’agression avant de redémarrer de façon sécurisée et progressive les équipements. Résultat, moins d’une semaine après l’attaque, les premiers collaborateurs ont pu reprendre leur activité « en mode dégradé » cependant.

« On a eu beaucoup de chance : les dommages ont été limités car nos sauvegardes étaient faites très régulièrement et elles n’ont pas été corrompues ! ».

Le constat de la responsable de la PME est partagé par David Lefée, Délégué à la protection des Données des CCI de Normandie qui souligne lui aussi l’importance de cet enregistrement systématique des données. « L’entreprise a eu également le bon réflexe de signaler rapidement, dans le respect du délai maximum de trois jours, la cyberattaque à la CNIL. C’était d’ailleurs l’une des préconisations qui figuraient dans la restitution du diagnostic et de l’accompagnement RGPD/Cybersécurité que je venais d’effectuer quelques jours avant l’attaque chez Fondouest » explique David Lefée.

portrait-David-Lefée-CCI
David Lefée,
Délégué à la protection des Données des CCI de Normandie

Le Délégué à la Protection des données en est convaincu : il y a cohérence à examiner conjointement la conformité de l’entreprise à la règlementation européenne sur la protection des données et son niveau d’exposition aux menaces numériques.
« Le Règlement Général pour la Protection des Données est le meilleur instrument de protection contre le risque de cybersécurité comme le rappelle la CNIL, car il couvre de façon large et transversale tous les usages numériques et donc les menaces qu’ils peuvent générer sur les données à caractère personnel ».

Cela n’arrive pas qu’aux autres !

De la même façon, l’entreprise a aussi pris soin de prévenir, dès le lendemain de l’attaque, clients et fournisseurs. Cette prévenance, ses partenaires l’ont appréciée. « Ils ont d’ailleurs été heureusement surpris de constater que notre activité a pu reprendre quatre jours seulement après notre mise hors service » se souvient Carole Alves Saldanha.

Mobilisée entièrement pendant trois semaines par la gestion de cette crise, la Directrice administrative et financière a fait les comptes : 15 journées de travail en mode dégradé, soit une perte d’exploitation qui s’élève aux alentours de 75 000 euros, sans oublier le coût de la gestion de crise par ses prestataires informatiques qui se chiffre à 30 000 euros environ. Mais au-delà des chiffres, il reste le souvenir de la sidération qui l’a saisie sur le coup.

« On ne comprend pas pourquoi nous, pourquoi notre entreprise ! On se rend compte que ça n’arrive finalement pas qu’aux autres, tout simplement. »

Entreprise FondOues

Et pourtant le risque d’une cyberattaque, l’entreprise ne l’avait pas écarté. Information sur la nature et l’ampleur du risque cyber ainsi que des exercices de « phishing » (tentatives d’hameçonnage par mail) pour sensibiliser les collaborateurs, l’entreprise ne prenait pas l’éventualité d’une attaque à la légère. A tel point que dans le cadre de l’accompagnement RGPD de la CCI Normandie, de nombreuses actions ont été planifiées afin de renforcer encore sa sécurité informatique : migration des données sur un data center, renforcement des mots de passe, mise en place de la double authentification pour sécuriser les connexions, changement d’antivirus, contrat d’assistance avec un prestataire informatique, supervision des serveurs par un centre opérationnel de sécurité (SOC pour l’acronyme en anglais) pour détecter les activités suspectes… 

Et l’humain n’a pas non plus été oublié. La direction a eu le souci de communiquer auprès de l’ensemble du personnel pour les inciter à la plus grande vigilance. Le 22 mars, quelques semaines plus tard, l’ensemble du personnel travaillant dans les différents sites est venu participer à une après-midi de sensibilisation aux risques cyber animée par les prestataires informatiques de l’entreprise. Tout a été passé en revue - la sphère professionnelle mais aussi personnelle des collaborateurs - en se référant aux conseils de la plate-forme publique cybermalveillance.gouv.fr. Pour maintenir leur vigilance, l’entreprise a aussi multiplié les exercices d’hameçonnage par l’envoi de mails « test » et invité les collaborateurs « tombés dans le panneau » à suivre des sessions d’e-learning. 

Il n’y a pas d’immunité même pour les plus petites boites

« Certes tous ces investissements ont un coût mais on mesure aussi très bien le surcoût de cette attaque en temps perdu. Et les dommages auraient pu être plus importants si, par exemple, les données personnelles des collaborateurs ou des informations sur les contrats avec nos clients avaient été capturées… » se rassure la Directrice administrative et financière de Fondouest. 

L’épreuve passée, elle peut se confier sur son état personnel. « Je suis plus sereine maintenant. Mais le souvenir est toujours présent : les trois semaines qui ont suivi l’attaque ont été intenses, j’étais psychologiquement et physiquement épuisée, soupire-t-elle, il m’a fallu trois mois pour m’en remettre ».

De son expérience, elle retient quelques enseignements qui peuvent être utiles à d’autres petites structures. « Il n’y a pas d’immunité même pour les plus petites boites ! Les plus grandes entreprises sont de mieux en mieux armées, les hackers s’attaquent maintenant aux PME avant de s’en prendre aux TPE. Il faut s’y préparer en sauvegardant régulièrement et correctement les données de l’entreprise. Il ne faut pas non plus hésiter à souscrire une assurance cyber. Le coût est très raisonnable et sans commune mesure avec le montant des dommages occasionnés par une cyberattaque ! » encourage Carole Alves Saldanha qui ajoute :

« et puis, surtout, il ne faut pas cesser de sensibiliser les collaborateurs. Il ne faut jamais baisser la garde ! Et en cas d’intrusion d’un virus dans un équipement, exhortez vos collaborateurs à le signaler le plus vite possible car les dégâts sont rapides et vraiment très impressionnants… ».

block content
Mis à jour le 30 septembre 2024