Gestion de crise cyber chez Bouygues Construction

Thomas Dégardin. Bouygues Construction a été touchée par une cyberattaque de type “cryptolocker” dans la nuit du 29 au 30 janvier 2020. À l’époque, l’entreprise comptait un peu plus de 60 000 collaborateurs, 30 000 postes de travail et 3 000 serveurs. La première décision a été de couper l’alimentation électrique du système d’information, pour enrayer la propagation du virus. Imaginez un réseau déployé dans plus de 60 pays, plusieurs centaines d’applications majeures : tout cela à l’arrêt. Les équipes qui travaillaient sur ces systèmes ne pouvaient plus rien faire, ne pouvaient plus se connecter aux unités finances, traiter les fiches de salaires.

Nous avons basculé en mode crise. Le Comex de Bouygues Construction nous a donné immédiatement deux priorités : payer les salaires des collaborateurs (nous étions en fin de mois) et faire en sorte qu’aucun chantier ne s’arrête en permettant leur approvisionnement et le paiement des fournisseurs.

T. D. Une cellule de crise opérationnelle côté DSI s’est mise en place, avec une organisation, pour tenir 24/7 car au début de la crise, c’est du non-stop. Une cellule décisionnelle s’est également mise en place au niveau du comité de management de Bouygues Construction, avec des interactions fréquentes entre les deux. Le rôle de la cellule décisionnelle était de donner les priorités de redémarrage pour que l’entreprise surmonte cette difficulté et elle laissait la cellule opérationnelle s’occuper des problématiques techniques. La grande difficulté était l’ampleur de la crise. Quand tout commence, nous ne savons pas trop ce qui nous tombe dessus. Au début, nous sommes dans le flou, la première difficulté est de savoir ce qu’il se passe. Les autres difficultés apparaissent au fur et à mesure.

Il y a eu, de plus, une concomitance des crises. Six, sept semaines après le démarrage de cette crise informatique, la pandémie du Covid-19 a débuté. Il a fallu travailler à la résolution de la crise tout en étant confinés. Cela a ajouté des cellules de crise dans la crise.

T. D. Je ne peux pas vous donner une stratégie magique parce qu’il n’y en a pas. Ce serait trop simple, nous l’aurions déjà tous. Le point qui me semble primordial c’est d’enclencher des investigations, du forensic. Si la situation devait se représenter, nous referions sans hésiter ces analyses. Si nous ne savons pas ce qu’il s’est passé, c’est extrêmement compliqué, voire impossible, de redémarrer en toute confiance. Ne pas conduire ces investigations, c’est comme jouer à la roulette russe, prendre des décisions et croiser les doigts. Ça ne fonctionne pas. Il faut se faire aider.

Vous pouvez préparer tous les plans de réponse, la situation sera toujours un peu différente. Chaque attaque est différente et il faut surtout savoir s’organiser pour y faire face et s’adapter continuellement. À mesure que la crise se poursuit, l’enquête apporte de nouveaux éléments qui permettent d’ajuster les actions, on s’adapte au fur et à mesure. La stratégie repose donc sur l’enquête. L’échange d’informations entre les cellules est la clé.

T. D. Si l’entreprise ne communique pas, les hackeurs le feront. Ils ont des services de communication eux aussi. Si vous ne parlez pas en premier, il faudra traiter la parole de la partie adverse. Cela prend plus de temps de démontrer qu’un hackeur communique des informations incorrectes que d’annoncer, en premier, ce que vous savez ou ce que vous ne savez pas. Vous avez le droit de dire « pour l’instant on ne sait pas ».

T. D. À la suite de la cyberattaque, les trois mots souvent martelés par le DSI étaient : plus jamais ça. Plus jamais une crise avec une telle ampleur. Il est important de se reconstruire, de réorganiser. Cela a été une vraie prise de conscience et pas seulement du groupe, mais de moi aussi. La crise est une dose d’humilité XXL. Depuis cette crise, le sujet cyber a été saisi par la direction générale de façon encore plus précise, avec des suivis réguliers dans tous les métiers du groupe.

T. D. Le monde technique a bien sûr évolué, mais c’est finalement le rapport avec la menace qui a changé. C’est une course gendarme-voleur. Les attaquants étaient peut-être à une époque des adolescents en sweat à capuche dans un garage, mais ce sont maintenant de vraies organisations cybercriminelles très bien organisées, avec des processus de recrutement. Elles investissent du temps et de l’argent dans leurs attaques et doivent maximiser les résultats. Il faut vraiment prendre en compte cette évolution de la menace. De plus, l’approche traditionnelle qui consiste à se protéger tout seul ne suffit plus, il faut prendre en compte les fournisseurs et être dans une coopération étendue de toute la chaîne de production.

T. D. Je dirais qu’il ne faut pas rester seul. Il faut s’entourer, aller chercher des renforts, de l’aide, des bonnes pratiques. Il ne faut pas hésiter : des gens sont prêts à aider, ils sont bienveillants. Il faut d’ailleurs prendre soin des collaborateurs qui mènent un vrai combat. Il ne faut pas sous-estimer l’impact qu’une crise peut avoir sur le psychologique, ça laisse des marques. Il ne faut pas le négliger.

Nous avons été aidés à tous niveaux. C’est intéressant d’avoir des gens qui ont l’expertise de la gestion de crise avec des bonnes pratiques vues ailleurs qui peuvent être transposées. La gestion de crise est un système qui n’existe pas, qu’il faut créer. Il faut donc être accompagné pendant, mais aussi en amont, pour se préparer, s’entraîner, se tester, pour avoir les premiers réflexes. C’est comme la marche, le plus dur est de faire le premier pas, après ça fonctionne.

Article extrait du n° 600 de Face au Risque : « Ingénierie de sécurité incendie » (mars-avril 2024).