Cas Client

Intervention du CERT pour gérer une attaque par ransomware

Client

Activités

  • 438 435 habitants
  • 6 990 km²
  • 1 600 agents
  • 514 millions d’euros de budget en 2022

 

Défis

  • Faire face à une attaque par ransomware
  • Comprendre l’origine et l’ampleur de l’attaque
  • Gérer la crise Cyber sur les plans techniques et organisationnels
  • Réduire les impacts et les périodes d’indisponibilité
  • Reconstruire un système sain

Attaqués par un ransomware, les services d’une collectivité ont fait appel à Advens pour maîtriser l’assaut, limiter les impacts, récupérer les données… et se prémunir de nouvelles attaques.


Jeudi 21 janvier 2021. Tous les ordinateurs sont hors service et le réseau téléphonique est fortement perturbé… Les signes d’un piratage informatique sont clairs. Le temps est alors compté pour le conseil départemental de la Vienne : peu à peu un programme malveillant de type cryptolocker a chiffré les différents fichiers de la collectivité ! Pas de système de secours, sauvegardes corrompues, systèmes RH atteints, systèmes de gestion de voirie infectés… l’ANSSI est appelée à la rescousse.


Advens intervient alors par visioconférence, en plein week-end, et deux experts viennent sur place pour gérer la cyberattaque.

“Je tiens à souligner la réactivité des équipes Advens. J’ai pu contacter les équipes en quelques heures. Après une première intervention en visio durant le week-end, les équipes du CERT Advens sont arrivées le lundi sur site. Les choses se sont enclenchées très rapidement, de façon fluide.”

Luis Manuel Da Silva • Directeur de la Transition Numérique du département de la Vienne

Attaque par ransomware : enjeux et problématiques

La collectivité a eu besoin d‘une assistance rapide et efficace pour faire face à cette attaque, pour la maîtriser puis pour reconstruire un système d’information sain et reprendre le cours de son activité.


Un programme malveillant de type cryptolocker est un ransomware, un type de virus qui infecte particulièrement les systèmes informatiques des collectivités, des ministères mais aussi des entreprises privées. Pour mettre fin au chiffrement et rendre les données, les pirates réclament une rançon.

L’intervention de nos équipes

Les compromissions de systèmes par ransomware nécessitent une grande réactivité de la part des spécialistes en réponse à incidents. Les trois points forts de l’accompagnement Advens, selon Luis Manuel Da Silva, Directeur de la Transition Numérique du département de la Vienne ?

  • Qualité du pilotage et des opérations d’assistance et de réponse à incident.
  • Travail millimétré, rigoureux.
  • Disponibilité des équipes.

“Beaucoup de travail a été abattu, en présentiel et à distance. Même lorsqu’ils n’étaient pas sur site, il y avait toujours un canal de communication qui permettait d’interroger les experts et d’avoir des réponses rapides.”

Luis Manuel Da Silva • Directeur de la Transition Numérique du département de la Vienne

Les + Advens

Faire plus que les opérations techniques pour contenir l’infection virale et réparer le système d’information

Apporter de la sérénité auprès d’équipe en crise

Permettre de reconstruire sur des bases plus saines et plus solides

Après l’attaque et l’intervention : les résultats

À la suite de l’intervention du CERT d’Advens, le conseil départemental a pu reconstruire ses systèmes et repartir sur des bases plus saines.


Mais, bien plus que technique, l’accompagnement revêt dans ce genre d’intervention une dimension humaine très importante : une telle attaque par ransomware paralyse l’ensemble d’une collectivité et tous les services qui en dépendent… Le niveau de stress des équipes est alors substantiel. C’est le rôle de nos experts de les accompagner et de les rassurer, par leur professionnalisme mais aussi par leur empathie.

“Assez paradoxalement, je garde un bon souvenir de cette période durant laquelle l’adrénaline était à son paroxysme.”

Luis Manuel Da Silva • Directeur de la Transition Numérique du département de la Vienne

Ce qu’apportent les first-responders Advens, c’est beaucoup de sérénité et de maîtrise, une très grande connaissance des actions à entreprendre pour repartir de la façon la plus sécurisée possible, et ce, dans des délais raisonnables et acceptés par tous.

Attaque par ransomware : comment éviter la prochaine fois ?

Après avoir éteint l’incendie et récupéré les systèmes et les données, le plus important est de documenter l’attaque et sa réponse opérationnelle. Bilan, restitution formalisée, plan d’action à court et à moyen terme : tous ces éléments ont permis à la collectivité territoriale de se projeter vers une situation encore plus sécurisée que celle laissée par le CERT à l’issue de la mission.


C’est là que les consultants et experts Advens apportent un vrai plus. En documentant leur retour d’expérience, ils permettent de comprendre l’attaque, de mettre en lumière les vulnérabilités et d’analyser la qualité de la réponse apportée.


Et si, malheureusement, une prochaine crise survient malgré tout, la gestion en sera ainsi plus sereine et l’attaque aura moins d’impact.

Autres cas clients

Voir tout
Cas Client

Cybersécurité en santé avec le GCS e-santé Pays de la Loire

Risque & Stratégie
Cas Client

Advens accompagne Fives CortX dans l’homologation de sa solution CortX Alchemy Edge

Conformité Cyber
Cas Client

Malakoff Humanis s’appuie sur mySOC pour son SOC nouvelle génération

mySOCSee more. Stop more.