ITS Group confronté à une cyberattaque avec ransomware

[Mise à jour, le 21 septembre 2022 @14h45] Dans un échange téléphonique avec la rédaction, Jean-Michel Bénard, fondateur et président d’ITS Group, explique que l’entreprise de services numériques (ESN) est confrontée, depuis hier, à une cyberattaque impliquant un ransomware. À ce stade, si la famille du rançongiciel a été identifiée, elle ne nous a pas été précisée. 

Jean-Michel Bénard précise que seuls les serveurs de gestion d’ITS Group ont été affectés, à savoir ceux supportant les applications liées à la compatibilité, la paie ou encore la facturation. La filiale BlueTrusty du groupe, spécialisée dans la cybersécurité, intervient aux côtés des équipes propres au groupe.

Un plan de gestion de crise a été activé avec pour objectif de relancer graduellement les systèmes affectés. Une grande partie des équipes concernées avait déjà été migrée sous Microsoft 365, ce qui doit contribuer à limiter l’impact opérationnel de la cyberattaque. La messagerie électronique est d’ailleurs déjà à nouveau disponible. 

Les autorités compétentes ont été informées, à commencer par la CNIL, et une plainte a été déposée. 

[Article original, le 20 septembre 2022 @17h] En milieu d’après-midi, ITS Group a commencé à informer ses partenaires de la détection d’une « anomalie de sécurité ». Sa direction a pris la décision d’éteindre les serveurs du groupe et de couper ses liens avec l’extérieur de manière préventive.

Joint par téléphone, Jean-Michel Bénard, fondateur et président de l’entreprise de services numériques (ESN), a confirmé l’information, précisant qu’une investigation approfondie a été engagée, mais se refusant à préciser la nature de l’anomalie détectée.

À la question consistant à savoir si l’ESN est victime d’une cyberattaque avec ransomware, Jean-Michel Bénard a répondu ne pas être en position de nous apporter de réponse pour le moment. Il nous a invités à réitérer notre appel demain 21 septembre. Nous ne manquerons pas de mettre à jour cet article lorsque des éléments additionnels nous seront apportés.

Fin juillet dernier, Trellix soulignait la menace pesant sur les ESN. Deux semaines plus tôt, l’Américain SHI International confirmait avoir été touché par une cyberattaque « professionnelle avec maliciel », sans fournir plus de détails. Avant cela, des attaques contre Integrate Informatik AG, Adapt IT, Syredis, ou encore Datalit, avaient été revendiquées sur les sites vitrine de diverses franchises de ransomware.  

Au premier trimestre, l’Agence nationale de la sécurité des systèmes d’information (Anssi) disait avoir « traité 18 compromissions » ayant affecté des ESN l’an dernier, contre 4 en 2020.

Et l’Anssi de souligner « un risque de propagation rapide d’une attaque qui peut parfois concerner un secteur d’activité entier, ou une zone géographique précise, notamment lorsque l’attaque cible une entreprise de service numérique locale ou spécialisée dans un secteur d’activité particulier ».

Huit cas sont connus publiquement pour 2021, Infovista, Berger-Levrault, Solware, LinkOffice, Maitrex, Idline, un prestataire de la ville du Cannet des Maures – Inetum –, ou encore Xefi – du moins selon l’un de ses clients et les allégations d’Everest – et comme le suggèrent les données divulguées par le groupe début octobre dernier.

Fin mai, Akka Technologies – racheté par Adecco et désormais rebaptisé Akkodis – avait été victime d’une cyberattaque impliquant le ransomware Alphv/BlackCat, à l’instar d’Inetum. Aucune de ces deux attaques n’a été revendiquée sur le site vitrine de la franchise mafieuse correspondante.