août 2024

Autopsie d'une Brèche Informatique en PME : Une leçon de négligence

Il est tôt un matin d’août, et mon téléphone sonne. À l’autre bout du fil, une amie avocate, paniquée, me demande si je peux aider un de ses clients. Ses données viennent d’être cryptées par des hackers, mettant toutes ses opérations et sa production à l’arrêt complet. 

Autopsie d'une Brèche Informatique en PME : Une leçon de négligence

 

Habituellement, j’aurais poliment décliné une telle demande, conscient que ce type d’intervention offre une belle opportunité financière, ces interventions mobilisent des ressources considérables. Ce client, inconnu de mon entreprise, mérite-t-il que nous détournions notre attention de nos clients réguliers pour lui venir en aide?

Pour une fois, j’accepte. Je mobilise immédiatement mes équipes, je récolte quelques informations sur la nature de l’attaque avant de partir et commence à élaborer un plan d’action.

En route, je briefe rapidement notre chef technique sur la situation afin qu’il sache dans quoi nous nous lançons. À mon arrivée, je suis accueilli par les membres de la direction. Un topo rapide me révèle l’ampleur du désastre : le réseau est hors service et il n’existe aucun backup utilisable. Plus de quarante serveurs sont encryptés, paralysant les activités de quelque 500 usagers.

Pendant que mon équipe s'efforce de remettre ce client sur pied, je me tourne vers la direction pour comprendre comment une telle catastrophe a pu se produire. Est-ce un problème de budget? Les demandes de l’équipe TI ont-elles été refusées? On me dit que le budget n’a jamais été un problème. Pourtant, ce que je découvre sur le terrain raconte une toute autre histoire. Les serveurs n’ont pas été mis à jour depuis des années. Les firewalls sont obsolètes, certains n'étant plus supportés depuis longtemps. Aucune authentification multifactorielle (MFA), aucune politique de mot de passe, et j'en passe. L'infrastructure TI était un champ de mines bien avant que les hackers ne s'y introduisent.

Suite à l'attaque de ransomware, nous avons d'abord collecté les journaux (logs) pour analyser en profondeur l'incident et tenter de déterminer l'origine et l'étendue de l'attaque. Pour assurer la sécurité des systèmes compromis, nous avons réimagé les postes de travail touchés, garantissant ainsi un environnement propre et sécurisé. Par la suite, nous avons installé les outils de sécurité nécessaires, mis en place les meilleures pratiques, et changé tous les mots de passe à travers toute l'entreprise pour renforcer la protection contre d'éventuelles futures attaques.

La leçon à tirer de cette histoire est claire : si vous êtes un dirigeant d’entreprise avec un département informatique interne, remettez en question votre équipe, même si vous leur faites confiance à 100 %. Un audit externe ne coûte pas grand-chose comparé aux conséquences d'une cyberattaque et peut vous offrir l’assurance que les bonnes pratiques sont non seulement en place, mais également suivies.

 

Par Eric Rivest

Natrix Technologies inc

 

Retour