Le ransomware qu’Essilor n’a vu que trop tard

Comme tant d’autres, Essilor a découvert être victime d’une intrusion dans son système d’information lorsqu’un de ses utilisateurs s’est retrouvé face à une demande de rançon. Trop tard. C’était ce week-end du 21 mars. Selon L’Express, ce sont « les prises de commandes pour préparer la livraison de ses produits » qui sont aujourd’hui affectées. À nos confrères, l’entreprise a indiqué que « certains serveurs et des ordinateurs ont été infectés par un nouveau virus. Nos équipes ont tout de suite réagi afin d’isoler les machines contaminées et d’éviter une propagation du logiciel malveillant. Un redémarrage progressif a débuté ».

De son côté, Essilor n’a pas donné suite à notre demande de commentaires à l’heure où sont publiées ces lignes. Mais selon les premiers éléments apportés par nos sources, l’incident pourrait n’avoir qu’une portée relativement limitée. Certes, ces éléments font ressortir une phase de reconnaissance et d’exploration de l’environnement en profondeur, comme c’est aujourd’hui généralement le cas avec les attaques de ransomware. Mais certains choix d’architecture semblent avoir permis de limiter l’étendue de la compromission.

Début octobre, aux Assises de la Sécurité, Jamal Dahmane, RSSI groupe d’Essilor, témoignait de son déploiement de la solution d’analyse du trafic réseau (NTA, Network Traffic Analysis) et de découverte d’anomalies comportementales de Vectra. Il expliquait gagner ainsi en visibilité et que ce projet d’inscrivait dans une stratégie visant à la mise en place d’un centre opérationnel de sécurité mondial (SOC), avec notamment un objectif à terme de surveillance 24 h/24.
Car historiquement, la fonction RSSI était relativement distribuée chez Essilor. Et les SOCs existants avaient été mis en place à des fins de conformité plus que de sécurité. Pour autant le système d’information d’Essilor est notamment riche en propriétés intellectuelles. Un capital précieux qu’il convient de surveiller et de protéger.

Mais en creux du témoignage de Jamaj Dahmane, on pouvait également comprendre que le périmètre surveillé avec Vectra était encore très restreint à l’automne dernier. Selon nos informations, l’outil a toutefois repéré l’incident. Mais les processus internes n’ont pas permis de tirer pleinement profit de cette découverte, en amont, avant le déclenchement du ransomware. En revanche, l’outil aurait déjà aidé à remonter la chaîne d’attaque et, dès lors, à engager la remédiation.

Nos confrères de L’Express expliquent qu’Essilor a informé l’Agence nationale pour la sécurité des systèmes d’information (Anssi) ainsi que la CNIL, et devrait porter plainte prochainement. Et de préciser que le groupe dispose d’une assurance contre le risque cyber.