Cyberattaque : prudent, le groupe Stelliant indique n’avoir pas encore d’indice de vol de données

Ce mardi 18 mai, nos confrères de News Assurances Pro, révélaient que Stelliant avait été frappé par une cyberattaque impliquant un ransomware. Ce qui l’avait conduit notamment à « couper ses 200 serveurs pour faire un état des lieux de la situation » et à interrompre ses échanges EDI avec ses partenaires et ses clients.

Joint par téléphone, Christophe Arrebole, PDG de Stelliant, explique que le chiffrement a commencé le 14 mai vers 21h. Il revendique une détection rapide et une priorité donnée à « sécuriser le périmètre » et éviter une propagation aux partenaires. Ensuite, « durant le week-end, il s’est agi de savoir si nous avions des pertes de données. À date, je reste prudent, il ne semble pas que ce soit le cas ». Mais l’autre sujet était les sauvegardes, tout particulièrement pour être sûr qu’elles avaient bien rempli leurs fonctions – « ce qui était le cas ».

Le groupe, qui emploie environ 2 500 personnes réparties dans une vingtaine d’entités, n’est pas complètement affecté. C’est le pôle expertise qui est aujourd’hui le plus touché. Le pôle solutions ne l’est que très modérément : l’activité InQuest n’est pas impactée, et l’activité délégation a pu être relancée.

En fait, leur point crucial est aujourd’hui l’annuaire avec l’infrastructure Active Directory, ce qui n’affecte pas toutes les entités du groupe de la même manière, du fait de segmentations. Mais les outils de communication ne sont pas tous disponibles, à commencer par la messagerie… du fait de l’adhérence de l’environnement Microsoft 365 à l’annuaire interne. La téléphonie est fonctionnelle, précise Christophe Arrebole. À ce stade, le PDG de Stelliant espère que l’Active Directory puisse être redémarré vendredi.

La source de l’intrusion ne nous a pas été précisée. Mais si Stelliant a repéré les activités malicieuses sur l’Active Directory, il ne semble pas avoir réussi, encore, à reconstruire plus avant la chaîne d’attaque. Tout juste Christophe Arrebole avance-t-il, toujours avec prudence, que les assaillants semblent être entrés dans le système d’information peu de temps avant qu’ils ne trahissent leur présence, et auraient simplement eu le temps de cartographier l’environnement.

Le PDG de Stelliant ne s’avance pas sur la famille de rançongiciel impliqué. De sources concordantes, il semble toutefois s’agir de l’une de celles dont les affidés pratiquent la double extorsion, volant des données avant de chiffrer des systèmes, et menaçant de les divulguer si la victime ne cède pas à leurs exigences.

Confronté à cette question, Christophe Arrebole l’assure : « à ce jour, nous n’avons pas trouvé de trace de vol de données ». Mais il souligne la prudence avec laquelle il formule cette affirmation, compte tenu de l’état d’avancement de l’enquête : « dans le cas contraire, je vous l’aurais dit. […] On a un peu d’expérience sur le sujet, pour accompagner nos clients. Malheureusement, on n’est jamais certain, jusqu’au bout, qu’il n’y ait pas eu de vol ou de transfert de données ».