Cet article fait partie de notre guide: Cyberattaque : comment faire face ?

Cyberattaque : face à un ransomware, l’association Coallia mise sur la transparence

L’association d’aide aux personnes les plus fragilisées a découvert le samedi 6 mars au matin le chiffrement en cours de son système d’information. Elle s’est immédiatement mise en ordre de bataille pour continuer à assurer ses missions, et répond aux principales questions.

Tout commence autour d’une heure du matin, dans la nuit de vendredi au samedi 6 mars. Les premières alertes tombent. C’est au réveil que le responsable infrastructure de Coallia les découvre. Il se connecte à ses systèmes de supervision et s’aperçoit que des serveurs sont en train d’être chiffrés, raconte Stéphane Rogulski, DSI de l’association : « il lance l’arrêt de l’ensemble des systèmes les uns après les autres pour stopper l’attaque en cours et en minimiser l’impact ». Le DSI est immédiatement averti.

La crise ne fait aucun doute ; l’évidence est là et la mobilisation s’engage. À 11 h, plusieurs membres du comité de direction sont réunis au siège de l’association à Paris, et décident de se faire accompagner par Orange Cyberdefense. « À midi, nous sommes en ordre de bataille, synchronisés avec la direction générale », résume Stéphane Rogulski.

En début d’après-midi, « nous sommes organisés en cellules de crise technique et organisationnelle, avec des navettes entre les deux pour assurer une communication cohérente et transparente, entre les opérations qui ont lieu au cœur de l’incident et la remontée au management de Coallia ». À 17 h, le premier comité de direction est réuni. Il y en aura trois durant le week-end pour préparer l’arrivée des équipes le lundi matin.

Jouer la transparence, pour assurer la confiance

Celle-ci aura tout de suite une première priorité : communiquer avec les tiers concernés. Arnaud Richard, directeur général de Coallia, en dresse la liste : « les préfectures, l’office français de l’intégration et de l’immigration, les agences régionales de santé, nos partenaires sociaux, nos administrateurs, et nos salariés ». Et pour ces derniers, environ 4 000 dans toute la France, la tâche n’est pas des moindres : « sans messagerie, il est difficile de joindre tout le monde ».

« Nous avons été assez sereins, mais également très offensifs pour être capables de réagir et de poursuivre nos missions avec un système d’information dégradé ».
Arnaud RichardDirecteur général de Coallia

Le déploiement de Microsoft Teams, engagé début 2020, aidera. Mais environ 1 500 SMS ont tout de même été envoyés, lundi matin à 8 h pour avertir les collaborateurs de l’association. Arnaud Richard retrace la chronologie de ce premier week-end d’une crise qui ne fait que commencer : « nous avons été assez sereins, mais également très offensifs pour être capables de réagir et de poursuivre nos missions avec un système d’information dégradé ». Et indignés, aussi.

Parce que Coallia est avant tout une association qui remplit des missions d’aide aux personnes parmi les plus fragiles. Elle a été créée en 1962 par Stéphane Hessel et André Postel-Vinay. À l’époque, il s’agissait de l’Association pour la formation technique de base des travailleurs africains et malgaches (Aftam).

Aujourd’hui, explique Arnaud Richard, elle articule ses missions autour de quelques métiers principaux. Il y a bien sûr le logement et l’hébergement, pour personnes au RSA ou à la rue, mais aussi et surtout le droit d’asile – « notre métier le plus important aujourd’hui » – de l’accueil des demandeurs d’asile, jusqu’au moment où ils ont le statut de réfugié. On se souviendra qu’en 1975, avec la chute de Phnom Penh et de Saïgon, la France accueille des réfugiés du Sud-Est asiatique. Celle qui s’appelle alors l’Aftam ouvre ses premières unités d’accueil pour réfugiés reconnus sous protection internationale.

Aujourd’hui, Coallia gère 106 centres d’accueil pour les demandeurs d’asile et 19 centres pour réfugiés politiques.

L’association est en outre un opérateur de 50 établissements et services pour personnes âgées et handicapées. Elle emploie 4 000 personnes, réparties sur 300 implantations, dans 42 départements. Pour résumer, Arnaud Richard paraphrase le président de Coallia, Jean-François Carenco : « nous sommes un acteur de la fraternité républicaine, une association discrète, qui se concentre sur la réalisation de ses missions ».

Assurer la continuité de l’activité

Pour autant, l’association a décidé de communiquer de manière transparente très vite sur l’épreuve qu’elle traverse. Arnaud Richard souhaite faire passer un message : « face à ce que l’on vit, on ne doit pas se laisser impressionner ni démissionner. On doit être capable d’affronter ce genre de phénomène qui va à l’encontre de la concorde générale ».

Mais la situation n’a rien de trivial : « tout s’est retrouvé à l’arrêt, sans Internet sur aucun de nos 300 sites, sans service DNS, ni contrôleur de domaine… », résume Stéphane Rogulski. Heureusement, de nombreux sites utilisent des applications Web des pouvoirs publics : « notre première priorité a donc été de leur permettre d’y accéder à nouveau ». Cette connectivité a été rétablie dès le dimanche soir, pour que les plateformes d’accueil de demandeurs d’asile puissent, dès lundi matin, poursuivre leurs activités « quasi normalement ».

Les investigations n’ont pour autant pas été négligées, ne serait-ce que pour retracer le cheminement de l’attaquant et identifier ce qu’il n’aurait pas compromis et pourrait aider à rebondir. Et justement, rapidement, il a été établi que le déclenchement du chiffrement a été précédé par des étapes d’intrusion, de déplacement latéral et d’élévation de privilèges.

En fait, l’accès initial s’est fait à partir d’un VPN, jeudi 4 mars dans l’après-midi. L’attaquant a réussi à prendre en main le contrôleur de domaine dans la nuit du vendredi au samedi. De là, il a activé Bitlocker pour chiffrer les hôtes raccordés au contrôleur de domaine. Un modus operandi dont nous avions déjà parlé à l’automne dernier. Une relative bonne nouvelle : cela laisse à penser qu’il n’y a pas eu vol de données et que cette cyberattaque ne s’inscrit pas dans une tentative de double extorsion. Et ce n’est pas la seule.

Un examen prudent

Une partie de l’infrastructure de Coallia n’est pas hébergée en interne. Et cela vaut justement pour un contrôleur de domaine qui n’a pas été chiffré lors de la cyberattaque. Là, si une réplication ne vaut pas une sauvegarde, l’association va au moins pouvoir disposer d’une base sur laquelle travailler, après s’être assurée qu’elle est saine, afin de reconstruire.

« Nous ne sommes pas encore dans la phase de reconstruction. Nous relançons chaque serveur, un par un, en salle blanche, pour l’analyser ».
Stéphane RogulskyDSI, Coallia

Bien sûr, précise Stéphane Rogulski, « nous ne sommes pas encore dans la phase de reconstruction. Nous relançons chaque serveur, un par un, en salle blanche, pour l’analyser ». De fait, seulement quelques jours après l’attaque, l’heure reste à la prudence.

Dans l’immédiat, une plainte va être déposée. Ce n’est malheureusement pas toujours le cas, mais c’est une étape indispensable pour permettre aux autorités d’engager des poursuites et « ne pas laisser ce genre d’attaquants dans l’impunité », relève Arnaud Richard.

Quant au choix de communiquer en transparence, il porte déjà ses premiers fruits : « je ne compte pas les messages de soutien que nous avons déjà reçus », explique le directeur général de Coallia. S’il dit se sentir « moins seul » ainsi, répondre par anticipation à toutes les questions qui peuvent se poser aura un autre avantage : ses équipes vont pouvoir se concentrer sur les objectifs de la gestion de cette crise. Arnaud Richard les résume simplement : « en sortir le plus vite possible, et surtout en sortir renforcés ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close