» Le 18 février 2021, toute l’activité de l’Afnor était immobilisée par une attaque informatique. Le ransomware Ryuk venait de faire une nouvelle victime. Jean-Marc Aubert, RSSI de l’Afnor raconte dans le détail cette gestion de crise sur la durée.

Pour l’extérieur, le 18 février 2021 dans l’après-midi, l’Association française de normalisation (AFNOR) parle pudiquement de « problème technique » avec ses sites Web. Son service de presse, heureusement plus transparent, mentionne le rançongiciel Ryuk. En coulisses, tout a commencé quelques heures plus tôt.

À 8h02, un message de l’équipe technique signale au DSI de l’Afnor un « petit » souci : l’apparition soudaine de fichiers .RYK sur le réseau de l’entreprise. Celui-ci interrompt immédiatement ses congés et appelle Jean-Marc Aubert, actuel RSSI de l’Afnor, alors chargé de la sécurité. C’est le début d’une course contre la montre pour bloquer l’attaque, puis de mois de travail pour remettre le système d’information en production.

18 minutes seulement après le début d’alerte, le DSI et le ComEx décident d’arrêter le système d’information dans sa totalité. « Tous les ordinateurs sont éteints et c’est le retour au papier/crayon pour tout le monde », explique Jean-Marc Aubert. « Nous sommes alors en pleine phase de Covid et tous les collaborateurs sont en confinement. Nous rappelons tous les collaborateurs de la DSI, nous mettons en place une salle de gestion de crise. »

Branle-bas de combat au siège de l’AFNOR

Tout le système d’information est arrêté et la cellule de gestion de crise s’organise rapidement. L’équipe informatique appelle ses contacts à l’aide et s’occupe du volet déclaratif de la cyberattaque. L’Agence nationale de la sécurité des systèmes d’information (Anssi) est prévenue, de même que l’assureur. Une plainte est déposée au commissariat de quartier et la déclaration obligatoire auprès de la CNIL est réalisée dans le délai des 72 heures.Jean-Marc Aubert se tourne aussi vers l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) qui connaît bien ce type d’attaque contre les entreprises françaises. « Nous avions heureusement souscrit à une assurance cyber un an avant la cyberattaque. Un autre atout qui nous a été précieux fut le contrat d’assistance que nous avions signé avec Airbus Protect et qui nous a permis de démarrer très rapidement notre gestion de crise. Et si notre premier appel fut pour l’Anssi, le deuxième fut pour notre contact commercial chez Airbus Protect ». « 

 

https://www.lemagit.fr/etude/Ransomware-le-RSSI-de-lAfnor-raconte-la-cyberattaque-de-fevrier-2021

Crédit : Alain Clapaud – LeMagIT