Comment Rabot-Dutilleul a surmonté une attaque massive à l'été 2020

Le groupe familial de BTP a subi une violente attaque au rançongiciel en juillet 2020. Sa très bonne préparation lui a permis de s'en sortir sans dommage. Témoignage. 

 

 

Juillet 2020. En arrivant au travail, quelque chose ne va pas chez Rabot-Dutilleul : la messagerie est hors d'usage, les données sont chiffrées, y compris les sauvegardes. L'entreprise subit une attaque au rançongiciel : sans paiement d'une rançon (on parle de 8 M€), les pirates ne donneront pas la clé de déchiffrement. « On n'a plus accès à rien, ça fait un drôle d'effet », se souvient Carole Catry, secrétaire générale déléguée et directrice des services informatiques du groupe. « On se demande ce qu'ils ont détruit, s'ils peuvent publier des informations, lesquelles et avec quels enjeux pour nous ». En moins de trois jours, le groupe va pourtant être capable de rétablir une forme de messagerie interne, notamment par whatsapp sur téléphone, aucun chantier ne sera affecté, et en septembre, l'épisode n'est plus qu'un (très) mauvais souvenir. Heureusement, les pirates n'avaient pénétré le système que depuis peu de temps. Une intrusion générée par l'ouverture d'un mail qui a permis une usurpation d'identité.

Assurance cyber

L'attaque peut surprendre chez un groupe très préparé : « On avait déjà une vraie maturité, un comité des risques qui regarde les enjeux, les accès, les risques, notamment de pertes de données, un RSSI et des outils plutôt évolués par rapport au marché, et nous avions sensibilisé les utilisateurs sur la politique de sauvegarde », raconte Carole Catry. L'entreprise avait même souscrit, fait rare, une assurance cyber, qui s'est avérée précieuse pour réagir face à l'attaque : l'assureur a mis à disposition un chef de projet très rôdé à l'exercice.

Le premier enjeu a été d'empêcher la propagation complémentaire de l'attaque : interdiction à tous d'ouvrir son ordinateur professionnel, et mise en place d'une procédure de contournement. « On peut faire l'analogie avec la Covid : on confine, on vaccine ! » sourit Carole Catry. Il s'est agi ensuite de remettre en fonction tout le dispositif d'information. « Il faut redémarrer chaque élément l'un après l'autre, le plus proprement possible ». Coup de chance, si l'on peut dire, l'attaque ayant eu lieu au cœur de l'été, les conséquences ont été négligeables, grâce à une réponse ultra-rapide. « Il faut rendre hommage à la formidable mobilisation des collaborateurs pour trouver de nouvelles méthodes, et tous ceux qui n'ont pas pris de congés », souligne François Dutilleul, dirigeant du groupe éponyme. La décision est prise très vite de jouer la transparence sur cette crise, via un communiqué de presse. « On n'a pas hésité. Nous avons pris la décision d'informer très vite, de manière proactive, de par la taille de notre entreprise et le nombre de nos partenaires », souligne-t-il. Ce management de crise a généré un effet induit très positif, resserrant les liens avec les salariés et l'écosystème.

Et demain ?

Quels enseignements le groupe de BTP a-t-il tirés de cet événement critique ? « On a renforcé encore les couches d'outils, de logiciels de protection, pour surveiller les comportements des machines 24 h/24h, 7 jours sur 7. Il faut aussi penser à opérer les mises à jour des systèmes», explique Carole Catry, « et nous avons renforcé les modalités d'accès avec une double identification. C'était déjà dans les tuyaux, il n'y a pas eu de questions à se poser ! » « On fait encore plus de sensibilisation qu'avant car on sait que c'est par le comportement humain que va se faire la différence. Le poste de travail par lequel un hacker a pu entrer, ça peut être vous ou moi ! », insiste François Dutilleul, pour qui le mot clé est « an-ti-ci-per », identifier les points sensibles, les ressources les plus prioritaires. Avec un message à l'attention des autres chefs d'entreprise : la sécurité des systèmes d'information est un sujet majeur qui doit être porté fortement par la direction.

 

A lire aussi 

Cybersécurité : attention, urgence !

Ludovic Delaire (CITC) : "On est dans un état d'urgence" 

Cybersécurité : deux exemples de start up nordistes, Allistic et Whispeak