Témoignage d’une entreprise québécoise victime d’une cyberattaque : « Une perte de plus de 250 000 $ »
7 juin 2019
Simon Fontaine, président fondateur d’ARS, présente, dans sa chronique du jour, l’étude de cas d’une entreprise québécoise touchée en début d’année par une cyberattaque. Aussi instructif qu’effrayant.
Une entreprise de 350 employés s’est récemment fait voler certaines informations clé importantes par une firme d’envergure internationale dont le modèle d’affaires repose sur le vol de données. La firme lui demandait un équivalent d’un quart de millions de dollars en Bitcoins!
Le problème a été détecté le samedi 9 mars vers 5 h du matin, lorsqu’un employé est rentré travailler. Tous les ordinateurs étaient bloqués et affichaient un message de rançon. Le directeur TI a commencé à diagnostiquer le virus à distance afin de voir s’il pouvait rétablir la situation, mais en vain.
J’ai banalisé la situation à ce moment-là , car avoir des interruptions de systèmes à cause d’un virus, c’est chose courante », avoue le vice-président en charge des TI qui a préféré garder l’anonymat.
Des conséquences financières importantes
L’équipe en place s’est rapidement retrouvée dépassée par les événements. L’ensemble des données opérationnelles de l’entreprise était crypté : serveur Exchange, documents, copies de sécurité, etc. Toutes les succursales étaient touchées. Aucun employé ne pouvait recevoir ou même envoyer de courriels. Ils devaient communiquer par texto, mais n’avaient pas les coordonnées de tous.
J’évalue nos pertes financières à au moins 250 000 $ », mentionne le vice-président qui espère obtenir un montant de 125 000 $ de sa compagnie d’assurance. « On a peut-être perdu des clients au profit de la compétition, je dois terminer mon analyse » ajoute-t-il. Heureusement, les données critiques financières n’ont pas été impactées parce qu’elles sont hébergées à l’externe et protégées par les systèmes et la sécurité du fournisseur« .
Après plusieurs recherches, l’entreprise victime découvre que la firme responsable est en fait un organisme sérieux d’envergure international, bien organisé, et dont le modèle d’affaires repose sur le vol de données.
On avait 2 options : embaucher un médiateur pour négocier la rançon pour nous sur le Dark Web ou rebâtir notre infrastructure à partir de nos copies de sécurité. On a fait le choix de mener les deux options en parallèle afin de se garder une porte de sortie pour récupérer les données cryptées en payant la rançon advenant le cas où récupération des backups ne soit pas optimale », souligne le vice-président.
Un mois pour se remettre en fonction
On a été en gestion de crise pendant 2 semaines. Après 5 jours, 80 % de nos opérations étaient en place pour se dépanner. 4 semaines de stress intense. Tu ne peux pas faire ton travail de gestionnaire pendant ce temps-là » se confie le vice-président. « On a fonctionné sur le café et mon directeur TI est parti en « burn out ». On ne peut pas tenir trop longtemps à ce rythme, surtout pour une grande organisation comme la nôtre », ajoute le vice-président qui n’a pas l’intention de revivre cette situation.
En tant que gestionnaire, on doit comprendre ce qui se passe dans nos TI, connaître notre infrastructure et la documenter pour savoir ce qu’on a en place. », mentionne le vice-président qui vise maintenant l’impartition.
De plus, l’entreprise n’avait rien planifié en cas de situation d’urgence et savait les capacités de son équipe TI limitées. Les informations sur lesquelles la direction s’est basée pour décider de rebâtir l’infrastructure étaient erronées. Les copies de sécurité récupérables n’avaient pas bien été gérées ni entretenues. Plusieurs mois de données ont été perdus.
On doit se poser la question si ça vaut la peine d’avoir une équipe et un directeur TI à l’interne parce que, souvent, ces gens ne sont pas bien formés. Pour moi, il y a 4 volets importants : la sécurité, l’infrastructure, le support aux usagers et la stratégie. À mon sens, ils peuvent tous être impartis pour que les gestionnaires se concentrent à la bonne place. », partage le vice-président qui considère également important de faire de la prévention auprès de ses employés. « Ils sont responsables de 99 % des failles, courriels d’hameçonnage, installation d’un logiciel malveillant, etc. »
Ce dernier a bien l’intention de réaliser une campagne de prévention auprès de ses employés avec des tests de phishing ciblés ainsi que des tests d’intrusion. Et finalement, l’entreprise a décidé de tout reformater et repartir de zéro plutôt que de payer la rançon.
Vous avez aimé cette publication? Cliquez ici pour d’autres articles de Simon Fontaine
Sur le même thème
Cybersécurité • Simon Fontaine