La cyberattaque du groupe Stelliant au menu du congrès 2021 de la Compagnie des experts
La compagnie des experts (CEA) a organisé ce 8 octobre 2021 son congrès annuel. Au cours de la conférence sur le risque cyber, le groupe Stelliant a relaté la cyberattaque dont il a été victime.
Le risque cyber explose. Olivier Boniface, président de la CEA, entame la conférence avec deux chiffres éloquents :
- 4 fois plus d’attaques cyber enregistrées en 2020 ;
- 2e risque émergent le plus préoccupant selon l’étude 2021 d’Axa et Eurosia group effectuée sur un panel de 3 500 experts en gestion de risque provenant de 60 pays. Le risque cyber arrive juste après le risque climatique.
La cyberattaque du groupe Stelliant
Le groupe Stelliant, spécialisé dans les services à l’assurance, a été victime d’une cyberattaque en mai dernier. Son PDG, Christophe Arrebolle a témoigné de la façon dont il a géré la crise. Pour lui, il est important de partager ce que le groupe a vécu « même si, à chaque fois, la situation est particulière puisque ce ne sont jamais exactement les mêmes attaques ».
L’attaque a commencé en plein weekend de l’Ascension, le vendredi 14 mai 2021 autour de 21h. Il s’agissait non pas d’un virus mais d’une attaque ciblée.
Les équipes qui gèrent la surveillance informatique alertent Christophe Arrebolle. Avec la question : faut-il arrêter tout ? « Il faut décider dans les 30 secondes, prévient le PDG de Stelliant. Si je décide de continuer, je fais prendre un risque à la société mais également à tout l’écosystème puisque nous sommes tous interconnectés. Mais quand la graduation est majeure, il faut tout couper. »
Ceci fait d’ailleurs partie des préconisations de l’Anssi pour sécuriser le périmètre et éviter une propagation aux partenaires.
Chez Stelliant, tout couper signifie arrêter 600 serveurs – le groupe emploie 2 500 personnes réparties dans une vingtaine d’entités en France. « Toutes les interconnections avec l’extérieur s’arrêtent. Une lourdeur qu’on ne mesure pas sur les architectures. »
Les équipes informatiques commencent alors, dès le vendredi soir, à investiguer sur le périmètre impacté.
La gestion de crise
Dès le samedi matin, la gestion de crise se met en place avec son lot de démarches. D’abord faire les déclarations (Cnil, assurances…). Prévenir ensuite toutes les équipes internes. Pas simple quand il n’y a plus de messagerie… C’est par la téléphonie que cela s’est fait. Communiquer aussi envers les clients et leur expliquer la situation. La plupart ne se sont pas encore rendu compte de l’attaque car « on est dans un weekend où majoritairement, les gens sont partis. » Et communiquer à la presse qui appelle très vite pour connaître les détails de l’attaque et le planning de redémarrage, ce que personne n’est capable de fournir à ce stade.
Rester modeste et prudent
« Cette attaque nous force à être modestes et prudents, martelle Christophe Arrebolle. Il faut beaucoup de temps pour investiguer et déterminer par où sont entrés les hackeurs et jusqu’où ils sont allés. » Heureusement pour Stelliant, ce n’est pas la totalité du système qui a été attaquée. Certaines activités ont pu redémarrer assez vite car la détection a été rapide. « Nous n’avons, a priori, pas eu de cryptage de données, ni d’impact sur les sauvegardes. »
Peu à peu, des messageries alternatives ont été mises en place. Certaines activités ont redémarré très vite. D’autres ont été paralysées environ trois semaines. Cependant, pour sortir complètement de la crise, la reprise est progressive et certains secteurs ont mis près de deux mois pour retrouver une activité normale.
Il faut savoir que l’entreprise n’est pas seule décisionnaire pour pouvoir redémarrer. « Quand vous avez ce type d’attaque, un tiers certificateur vient garantir que ce que vous faites est dans les règles de l’art et que vous avez suffisamment sécurisé. Il va également donner des garanties à vos partenaires », explique Christophe Arrebolle.
Une rançon très élevée a été demandée – plusieurs millions d’euros – que Stelliant n’a pas payée.
Retour d’expérience
Après cette cyberattaque, le groupe Stelliant a pris plusieurs mesures parmi lesquelles :
- le renforcement des outils de contrôle et de surveillance des systèmes, déployés également au niveau de tous les PC partout en France ;
- la sécurisation de tous les réseaux VPN ;
- un système de double authentification.
Christophe Arrebolle tire deux leçons essentielles de cet incident : tout le monde est concerné et il faut se préparer à une cyberattaque pour limiter au maximum les impacts.
Martine Porez – Journaliste
Les plus lus…
Selon un rapport de février 2024 de l’Inspection générale de la police nationale (IGPN), de l’Inspection générale de l’administration…
Le Cesin (Club des experts de la sécurité de l'information et du numérique) appelle à une transposition stratégique et…
Pour la deuxième fois après l'édition de 2022, la cérémonie des Oscars de la FFMI 2024 se tenait au…
Le règlement d'exécution (UE) 2024/2835 de la Commission du 4 novembre 2024 établit des modèles en ce qui concerne…
À l'occasion de l’ouverture de la 29e édition du salon Expoprotection le mardi 5 novembre 2024, les Trophées ont…
Euralarm a lancé un nouveau projet visant à créer une base de données européenne complète dans laquelle les batteries…