[Mise à jour] Attaqué par ransomware, Atalian a pu compter sur ses sauvegardes

[Mise à jour le 14 mai 2021 @16h20] Atalian a accepté de nous accorder un échange téléphonique afin de faire le point sur la situation. La détonation du ransomware est survenue plus tôt que ce que nous indiquions initialement : dans la nuit du 7 au 8 mai, autour de 23h. La famille de rançongiciel impliqué a été identifiée, mais le groupe ne souhaite pas, à ce stade, l’indiquer publiquement – par souci de confidentialité, explique Florian Aubin, directeur financier France et Benelux.

Il précise toutefois qu’il ne s’agit ni d’Avaddon, de Darkside ou de Sodinokibi, même s’il y a bien eu attaques DDoS contre ses sites Web. SunCrypt, RagnarLocker et Babuk lancent également des attaques DDoS dans le cadre de leurs efforts d’extorsion. Aucune discussion n’a été engagée avec les cybercriminels.

Les activités d’Atalian en France, au Luxembourg, en Pologne, en Hongrie et au Liban sont affectées – sans pour autant compromettre l’exécution de ses prestations. Des serveurs opérés en interne dans le centre de calcul du groupe, et sur AWS, ont été affectés par les activités malicieuses de chiffrement. Lesquelles ont également touché des serveurs de backup – trois plages du réseau interne ont été en fait concernées. Toutefois, les données touchées ont pu être restaurées à J-1. 

Atalian indique en outre que « les systèmes et applications clés pour les opérations ont été remis en marche et les dernières actions de redémarrage sont prévues avant le 15 mai. Atalian vise un retour complet à la normale sous 7 jours ». Épaulé par des experts externes, le groupe continue toutefois les analyses afin de pouvoir en retirer les éléments nécessaires à un renforcement de la posture de sécurité de son système d’information.

Prudemment, Atalian indique qu’aucun vol de données n’a été, à ce stade, identifié – sans exclure que l’enquête puisse venir ultérieurement contredire cette conclusion préliminaire. D’ailleurs, le groupe indique avoir notifié la CNIL et porté plainte auprès du Procureur de la République de Paris – « dans les autres pays concernés, Atalian a également effectué les démarches et les formalités nécessaires ».

[Article original] Atalian, groupe français de sous-traitance pour les entreprises, dans les domaines du nettoyage, de la sécurité, de l’accueil et de la maintenance des bâtiments, vient d’être lui aussi victime d’une cyberattaque. Celui qui s’appelait TFN jusqu’au rachat de Veolia Propreté Nettoyage et Multiservices et d’Eurogem, en 2009, semble actuellement essayer, laborieusement, de relancer ses sites principaux Web.

Joint précédemment par téléphone, un représentant syndical nous a initialement confirmé un incident informatique important, sans pouvoir nous fournir plus de détails, faute d’en disposer lui-même de la direction.

Un peu plus tard, un porte-parole du groupe nous a confirmé la cyberattaque et assuré que « tout est mis en œuvre pour remédier à la situation, notamment avec l’aide de partenaires externes ». Selon nos informations, la détonation du ransomware est survenue ce lundi 10 mai. La nature du rançongiciel impliqué ne nous a pas été précisée. L’accessibilité intermittente des sites Web laisse à craindre une attaque d’un groupe ajoutant le déni de service distribué (DDoS) au chiffrement et au vol de données. Les opérateurs de Darkside, Sodinokibi ou encore Avaddon utilisent cette méthode, mais le troisième semble être le plus agressif en la matière. 

Le porte-parole d’Atalian devait revenir vers nous rapidement avec des informations complémentaires, mais semble s’être trouvé dans l’impossibilité de le faire. Dès que ses éléments nous parviendront, nous mettrons à jour cet article. 

Cette attaque, sur les secteurs d’activité où est présent le groupe, en rappelle d’autres, l’an passé, à commencer par ISS World, en février 2020, et Elior, au mois de juin suivant. Le premier avait été frappé par Ryuk, et le second par Revil/Sodinokibi.