Tentative d’intrusion : ce que dit et ne dit pas Lactalis

Le vendredi 26 février au soir, Lactalis a adressé à la rédaction une déclaration faisant état d’une « tentative d’intrusion sur [son] réseau informatique ». Dans celui-ci, on peut lire que les investigations engagées « établissent qu’un tiers malveillant chercher à s’introduire sur nos serveurs », mais également que les équipes du groupe ont « immédiatement pris des mesures pour circonscrire cette attaque » et « notifié les autorités compétentes ».

On apprend également que des « experts reconnus en cybersécurité » ont été sollicités pour accompagner Lactalis dans ce moment difficile. Le groupe assure en outre que « l’enquête menée avec eux n’a révélé aucune violation de données à ce stade ». Enfin, Lactalis indique avoir « restreint à [son] initiative, à titre préventif, [son] accès au réseau Internet public ».

Au-delà de ces éléments, plusieurs questions restent ouvertes. Et pour commencer, peut-on parler de cyberattaque ? Pour son sondage réalisé avec OpinionWay auprès de ses membres – parmi lesquels compte Lactalis –, le Cesin la définit ainsi : « la cyberattaque est le fait de subir un acte malveillant envers un dispositif informatique portant atteinte de manière significative à la confidentialité et/ou à l’intégrité de l’information de l’entreprise ou encore à la disponibilité du système d’information, entraînant des pertes financières significatives et/ou une atteinte à l’image de l’entreprise ». De fait, il n’est pas sûr que la tentative d’intrusion subie par Lactalis entre dans cette définition. Du moins à ce stade.

Ce qu’indique le groupe renvoie plus à la communication du groupement hospitalier de Dordogne, dont le prestataire informatique indiquait, début février, avoir détecté une menace et réussi à « déjouer à temps l’activation de virus déjà présents dans leur réseau », selon nos confrères de France 3 Nouvelle-Aquitaine.

Une telle situation peut également faire penser à l’opération de renouvellement massif de mots de passe lancée par Air France-KLM début décembre dernier, en raison d’un « risque élevé de cyberattaque ». Une opération signe d’une forte suspicion d’intrusion. Car une telle opération est essentiellement engagée en cas de compromission à tout le moins fortement crainte de l’annuaire du système d’information.

Mais la communication de Lactalis laisse plutôt à imaginer une opération détectée plus en amont dans sa progression – alors que des déplacements latéraux et des tentatives d’élévation de privilèges sont en cours – mais avant qu’un contrôleur de domaine ne soit pris par les assaillants, et qu’il ne soit utilisé pour déployer une charge ultime comme un rançongiciel. 

De tels signaux faibles ne sont pas aisés à détecter, mais peuvent l’être. De quoi permettre, par exemple, de couper l’herbe sous le pied d’assaillants peu après la pose d’une première tête de pont avec un cheval de Troie tel que Trickbot. Lequel semble être actuellement particulièrement observé, et dont la présence peut trahir une intrusion préalable au déploiement d’un ransomware tel que Ryuk.

Mais Lactalis ne précise pas à quelle étape de la killchain l’intrusion a été détectée et bloquée, ni sur la base de quels indicateurs. Sans cela, et même potentiellement avec ces éléments, il sera difficile de déterminer la nature réelle de l’assaut auquel les équipes du groupe sont confrontées. Pour autant, on ne peut que les féliciter d’avoir détecté des signaux faibles qui passent si souvent inaperçus et d’avoir su réagir. La preuve qu’avec les outils, les ressources humaines et les processus nécessaires en place, les cyberattaques ne constituent pas nécessairement une fatalité.