Comment Rabot-Dutilleul a surmonté une attaque massive à l'été 2020

Juillet 2020. En arrivant au travail, quelque chose ne va pas chez Rabot-Dutilleul : la messagerie est hors d'usage, les données sont chiffrées, y compris les sauvegardes. L'entreprise subit une attaque au rançongiciel : sans paiement d'une rançon (on parle de 8 M€), les pirates ne donneront pas la clé de déchiffrement. « On n'a plus accès à rien, ça fait un drôle d'effet », se souvient Carole Catry, secrétaire générale déléguée et directrice des services informatiques du groupe. « On se demande ce qu'ils ont détruit, s'ils peuvent publier des informations, lesquelles et avec quels enjeux pour nous ». En moins de trois jours, le groupe va pourtant être capable de rétablir une forme de messagerie interne, notamment par whatsapp sur téléphone, aucun chantier ne sera affecté, et en septembre, l'épisode n'est plus qu'un (très) mauvais souvenir. Heureusement, les pirates n'avaient pénétré le système que depuis peu de temps. Une intrusion générée par l'ouverture d'un mail qui a permis une usurpation d'identité.

Assurance cyber

L'attaque peut surprendre chez un groupe très préparé : « On avait déjà une vraie maturité, un comité des risques qui regarde les enjeux, les accès, les risques, notamment de pertes de données, un RSSI et des outils plutôt évolués par rapport au marché, et nous avions sensibilisé les utilisateurs sur la politique de sauvegarde », raconte Carole Catry. L'entreprise avait même souscrit, fait rare, une assurance cyber, qui s'est avérée précieuse pour réagir face à l'attaque : l'assureur a mis à disposition un chef de projet très rôdé à l'exercice.

Le premier enjeu a été d'empêcher la propagation complémentaire de l'attaque : interdiction à tous d'ouvrir son ordinateur professionnel, et mise en place d'une procédure de contournement. « On peut faire l'analogie avec la Covid : on confine, on vaccine ! » sourit Carole Catry. Il s'est agi ensuite de remettre en fonction tout le dispositif d'information. « Il faut redémarrer chaque élément l'un après l'autre, le plus proprement possible ». Coup de chance, si l'on peut dire, l'attaque ayant eu lieu au cœur de l'été, les conséquences ont été négligeables, grâce à une réponse ultra-rapide. « Il faut rendre hommage à la formidable mobilisation des collaborateurs pour trouver de nouvelles méthodes, et tous ceux qui n'ont pas pris de congés », souligne François Dutilleul, dirigeant du groupe éponyme. La décision est prise très vite de jouer la transparence sur cette crise, via un communiqué de presse. « On n'a pas hésité. Nous avons pris la décision d'informer très vite, de manière proactive, de par la taille de notre entreprise et le nombre de nos partenaires », souligne-t-il. Ce management de crise a généré un effet induit très positif, resserrant les liens avec les salariés et l'écosystème.