jcpjr - Fotolia

#NotPetya met à l’épreuve les plans de reprise d’activité

Après avoir profité d’approches d’architecture favorables à sa propagation, le logiciel malveillant destructeur souligne les faiblesses des PRA de certaines entreprises.

Certaines entreprises sont loin d’être sorties d’affaire après la vaste propagation du vrai-faux ransomware NotPetya/ExPetr/Nyetya/EternalPetya. Il en va ainsi de TNT Express, filiale de FedEx, Dans un communiqué, ce dernier explique que « tous les dépôts, hubs et installations de TNT sont opérationnels, et la plupart de ses services sont disponibles. Mais les clients continuent de faire l’expérience de retards de facturation et de service répandus ». Et des processus manuels sont là pour palier l’indisponibilité de certaines services informatiques. Plus grave, FedEx assure ne pas pouvoir estimer quand les services de TNT reviendront à la normale, et même qu’il « est raisonnablement possible que TNT sera incapable de restaurer tous les systèmes affectés et de récupérer toutes les données métiers critiques qui ont été chiffrées par le virus ».

Et ce n’est pas un cas isolé. Le transporteur Maersk continue progressivement de rétablir des systèmes et services. Et d’indiquer ainsi que son application mobile pour Android doit être de nouveau fonctionnelle ce mardi 18 juillet. L’application iOS devrait suivre d’ici la fin de la semaine.

Mondelez International, fabricant des gâteaux Oreo et Cadbury, et Reckitt, producteur des antidouleurs Nurofen et des préservatifs Durex, s’attendent de leur côté à subir des pertes exceptionnelles liées à l’incident. Le premier les estime à trois points de pourcentage sur la croissance de ses ventes au second trimestre.

Nuance et ses clients dans plusieurs secteurs ont également été touchés. Le serveur d’activation de Dragon semble être de nouveau opérationnel depuis le 8 juillet. Le lendemain, l’éditeur assurait que « plusieurs grands clients avec des sites multiples sont pleinement fonctionnels et les docteurs dictent sur notre plateforme eScription LH ». Mais depuis cette dernière communication, Nuance est resté muet.

De la même manière, Merck a cessé de communiqué sur l’incident après le 1er juillet. Selon Kevin Beaumont, plus de 70 000 machines auraient été là affectées et seraient en cours de… remplacement pur et simple. 

La journaliste Kathryn Van Arendonk assurait en fin de semaine dernière que le travail de recherche de son époux se retrouvait ainsi retardé de plusieurs mois. Mais la situation ne semble pas isolée. Georg Skjæveland, de Digibloodonline.com, assure ainsi que l’implantation locale, à Sandnes en Norvège, d’une multinationale française, distribue de nouveaux PC « à toutes les personnes affectées ». On pourrait penser à Engie, implanté dans la région ainsi qu’en Ukraine où il a renforcé sa présence à l’automne dernier. Mais contacté par la rédaction, ce dernier assure qu’il ne s’agit pas de lui. Il semble en fait s’agir d’Optimera, filiale de Saint Gobain.

Mais le fait est que, dans certains cas, NotPetya peut avoir touché le contrôleur de domaine, rendant la reprise d’activité particulièrement délicate, même avec les sauvegardes fonctionnelles. Et rien ne garantit forcément qu’elles l’aient été : début mars, un utilisateur de Veeam partageait son expérience, avec le rançongiciel Samas. Et là, les sauvegardes réalisées sur des systèmes de stockage réseau Drobo avaient été effacées. 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close