Comment une entreprise familiale a-t-elle rebondi après une cyberattaque ?
En juin dernier, le groupe Cadiou Industrie a été victime d’une cyberattaque. Antoine Perret, DSI, revient sur ce piratage informatique.
Antoine PERRET, DSI Que s’est-il passé le 17 juin dernier ?
A 21 heures, notre technicien d’astreinte m’a averti que nous étions victime d’un ransomware* et qu’au minimum un serveur était touché. Immédiatement, nous avons coupé les accès internet et débranché le réseau informatique. Nous avons constaté que les attaquants avaient, avant de lancer le cryptage du serveur, supprimé nos 4 types de sauvegarde.
Nous avons alors remonté une infrastructure de zéro, dans une salle dédiée, sur laquelle nous avons réinstallé une version de l’ERP** datant de 4 jours. Cela nous a permis de poursuivre les expéditions à nos clients.
Afin de ne prendre aucun risque, nous avons fonctionné en boucle fermée, sans connexion internet. Pour communiquer avec nos clients, nous utilisions des PC dédiés connectés à des clés 4G et à notre environnement Google Suite. Nous avons continué à produire, au ralenti, des produits simples ne nécessitant pas d’informatique. Un suivi manuel a été mis en place pour régulariser les informations dans le système.
Progressivement, nous avons rétabli les outils prioritaires à l’alimentation de la production pour réduire au maximum l’impact client. Nous avons retrouvé un fonctionnement normal trois semaines plus tard pour le flux de valeur, six semaines pour le SI interne. Nos outils exposés sur le web ont été rouverts après l’été.
Suite à cette attaque, quelles solutions avez-vous mises en place ?
En premier lieu, nous avons mis en place un nouveau pare-feu capable de filtrer le trafic entrant, sortant sur internet et le trafic interne.
Tous les postes et serveurs ont été mis à jour. Deux antivirus différents ont été installés, l’un sur le pare feu, l’autre sur les postes. La gestion des droits a été revue pour restreindre au maximum les accès à l’administration réseau. Notre personnel sera prochainement formé aux bonnes pratiques car la faille est souvent humaine et involontaire.
Etiez-vous conscient que Cadiou pouvait devenir une cible ?
Nous n’imaginions pas intéresser des hackeurs : nous ne sommes pas la Nasa ! Le système d’attaque à priori utilisé est le phishing, c’est à dire un mail contenant un lien ou une pièce jointe qui crée une porte d’entrée dans le SI pour l’attaquant. Le mail est très utilisé dans l’entreprise, en particulier avec nos clients. Les campagnes de phishing sont automatisées et pas forcément ciblées. Tout le monde peut être touché, une fois la porte créée un hackeur prend la main sur notre système.
Que conseillerez-vous aux chefs d’entreprises Cornouaillais ?
Il faut vérifier que les règles de base de la gestion de l’infrastructure sont en place. Réaliser un audit par un prestataire spécialisé permet de découvrir d’éventuelles failles, de contrôler les sauvegardes externalisées / détachées, d’entraîner les utilisateurs aux attaques et de valider un Plan de Reprise d’Activité adapté.>>>CONTACT
Cadiou
> www.cadiou.bzh
Antoine PERRET, DSI
> 02 98 91 73 01
> aperret@cadiou.bzh
