Cyberattaque de ransomware : une facture entre 10 M€ et 20 M€ pour Sopra Steria

SopraSteria a diffusé, le mercredi 25 novembre, un communiqué de presse en forme de bilan de la cyberattaque ayant conduit au déclenchement du ransomware Ryuk dans la nuit du 20 au 21 octobre derniers.

Dans ce communiqué, l’ESN explique que « le plan de remédiation sécurisé, engagé depuis le 26 octobre, arrive à son terme. Les postes de travail, les serveurs de production et de R&D ainsi que les outils et applications internes ont été progressivement relancés. Les connexions clients ont également été progressivement rétablies ». À cette date, Sopra Steria promettait un retour à la normale dans « quelques semaines ». Aujourd’hui, l’ESN assure en outre ne pas avoir « constaté de fuite de données ou de dommages causés aux systèmes d’information de ses clients ».

Dans son communiqué de presse, Sopra Steria campe sur sa ligne de communication, revendiquant une attaque « rapidement bloquée » et ayant utilisé « une version jusque-là inconnue du rançongiciel Ryuk ». Las, le mode opératoire des opérateurs de ce maliciel et l’examen des échantillons tempèrent ces affirmations.

Il apparaît ainsi plus qu’audacieux d’affirmer que l’attaque a été bloquée : elle est en fait allée jusqu’à sa phase ultime, à savoir le chiffrement des machines, moment où elle a été constatée. Toutes les étapes intermédiaires depuis la compromission initiale – avec un premier contact le 15 octobre, selon nos informations – jusqu’à la détonation du ransomware, en passant par l’exploration de l’environnement et la compromission du contrôleur de domaine, ont pu passer inaperçues, notamment le trafic réseau lié à Cobalt Strike.

Dans son communiqué, Sopra Steria n’entre toujours pas le détail de l’environnement – limité – qui a été affecté. Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), a précédemment évoqué « quelques dizaines de machines », estimant que l’attaque a été « déjouée ». Il aurait probablement été plus difficile d’en dire autant s’il s’était agi de cyberdélinquants pratiquant la double extorsion, avec donc, vol de données, comme cela a été le cas pour Umanis. Pour ce dernier, les assaillants menacent de divulguer les données volées à partir du lundi 7 décembre. 

Dans son communiqué, Sopra Steria explique que « la remédiation et l’indisponibilité plus ou moins importante des différents systèmes depuis le 21 octobre devraient avoir un impact brut négatif sur la marge opérationnelle compris entre 40 M€ et 50 M€ ». Elle précise toutefois disposer d’assurances dédiées qui devraient couvrir le sinistre à hauteur de 30 M€. Dès lors, « l’impact financier brut de la cyberattaque est donc évalué entre 10 M€ et 20 M€ après indemnisation », précise l’ESN dans un e-mail à la rédaction.