Cyberattaque contre la Collectivité européenne d’Alsace : le CISO raconte

C’est en septembre 2022 que la Collectivité européenne d’Alsace a été victime d’une cyberattaque. La nouvelle est presque passée inaperçue, car les usagers n’ont pas été directement affectés. Mais l’alerte a été chaude pour Jérémie Piazza, le CISO. 

L’offensive a heureusement pu être stoppée avant que l’attaquant ne lance le chiffrement des machines. Les conséquences auraient été tout autre. L’attaque a notamment été déjouée grâce à la solution XDR de Tehtris.

Nicolas Cote, Global Expert chez Tehtris, résume le mode opératoire observé : « cette attaque s’est déroulée sur plusieurs semaines, avec 3 moments forts. Il y a eu tout d’abord la première connexion de l’attaquant qui n’a pas déclenché de réaction. La deuxième étape a vu le déclenchement d’une charge BazarLoader qui a été détectée. La troisième phase a vu l’usage de Cobalt Strike pour scanner le réseau ».

Côté défense, le SOC de Capgemini, qui assure la surveillance du système d’information de la collectivité, a déclenché l’alerte. Rapidement, la décision est prise d’activer le plan de gestion de crise. 

L’équipe de sécurité a estimé qu’il ne s’agissait pas d’un événement fortuit, un simple malware, mais de quelque chose de probablement plus important, ce qui a entraîné la décision de déclencher le contrat de réponse à incident préalablement signé avec Advens.

Ancien CISO d’Alcatel Lucent Entreprise, Jérémie Piazza explique comment cette décision a été prise : « l’élément déclencheur pour nous fut la détection de l’implant Cobalt Strike, un outil aussi bien utilisé par les Blue Team, les Red Team que les attaquants eux-mêmes. Quand le SOC a appelé notre astreinte DSI et notifié le RSSI, le recours à Cobalt Strike était le premier avertissement qu’il s’agissait d’une attaque avancée. C’est l’élément qui a déclenché le scénario de crise et l’activation de notre contrat de réponse à incident auprès d’Advens ».

« La gestion de crise cyber comporte bien entendu un volet informatique, mais il y a une forte dimension métier. »

Cinq jours d’arrêt du SI sont décrétés pour investigation. Le périmètre de l’attaque s’avère alors être de l’ordre d’une centaine de machines seulement, alors que la DSI, fruit de la fusion des conseils départementaux du Bas-Rhin et du Haut-Rhin en 2021, gère 6 500 hôtes et 4 datacenters pour environ 300 applications informatiques. La DSI elle-même compte une centaine de personnes.

« Cette durée de 5 jours correspond globalement au temps qu’il nous a fallu pour comprendre ce qui nous est arrivé et isoler les actifs qui ont été touchés », ajoute le CISO : « par mesure de précaution, nous avons pris la responsabilité, avec notre direction, de couper les services. Peu importe l’attaque, il faut couper les systèmes pour comprendre ce qui se passe. Cela a potentiellement un impact côté client ou usager si le côté métier n’a pas été anticipé ».

« Les métiers doivent anticiper le fait qu’ils devront poursuivre leur activité sans informatique. [...] La gestion du mode dégradé est le plus difficile du point de vue métier s’il n’est pas préparé ».

Côté usagers, l’arrêt de production n’a pas eu d’impact, par contre en interne, le « plan B » du plan de continuité d’activité est activé et les processus internes ont été fortement perturbés par l’absence d’informatique. 

Nicolas Cote de Tehtris détaille les modalités de l’attaque : « pour reprendre les grandes étapes de l’attaque, il y a eu des connexions sur des comptes légitimes, puis une alerte sur la détection du BazarLoader, puis l’usage de Cobalt Strike et la découverte du réseau. L’équipe de réponse à incident a retrouvé les traces pour reconstituer cet historique à partir de points pivots et défini le périmètre. L’équipe utilise alors les systèmes centraux et des outils décentralisés. Il y a une complémentarité entre ce qui a été vu par l’équipe en charge de la réponse, ce qui a été vu par les outils centralisés et enfin ce qui a été vu dans les outils globaux utilisés. C’est cet ensemble qui a permis de dire au bout de 5 jours que l’on avait assez d’éléments pour avancer ».

Après le détournement d’un compte légitime, l’attaquant a pu exploiter une vulnérabilité interne pour infecter d’autres systèmes sur un périmètre plus vaste. Jérémie Piazza commente : « ceux qui pensent qu’on n’a pas à traiter les vulnérabilités en interne se trompent et nous avons revu notre copie sur ce plan ». À savoir, les vulnérabilités affectant des systèmes qui ne sont pas exposés directement sur Internet. 

Nicolas Cote ajoute : « il est nécessaire d’entrer dans une logique de défense en profondeur. À chaque élément du SI correspondent des outils de protection et des outils de gestion propres. Les XDR répondent à des besoins particuliers et des points particuliers d’une chaîne d’attaque, mais on ne peut pas répondre à une chaîne d’attaque dans sa globalité avec un seul outil : parfois, ce sont les briques d’identités, à d’autres moments les briques systèmes, applicatives ou réseau. C’est cet ensemble qui permet d’avoir une vue globale et reconstituer l’attaque et surtout anticiper la menace et avoir une remédiation automatisée ».

Fort heureusement, la Collectivité européenne d’Alsace avait déployé un EDR sur ses postes clients, ce qui lui a permis d’enrayer l’attaque avant qu’elle n’entre dans sa phase finale. « Le risque de ransomware faisait partie de notre Top 3 des risques et nous l’avions adressé au travers de Tehtris XDR », explique Jérémie Piazza. 

Dans ce cadre, « la mise en place de la partie EDR de Tehtris a duré 3 mois, avec une gestion du changement maîtrisée. Nous avons déployé la solution sur un périmètre restreint, puis nous avons élargi le périmètre. Dans un premier temps, nous l’avons déployée en mode écoute. Il y a une période d’apprentissage qui est nécessaire avant de passer en mode blocage. Ce passage au mode blocage sur un parc de 6 500 hôtes a généré un nombre d’incidents qui se comptent sur les doigts d’une main ».

Le risque de cyberattaque avait été clairement identifié en amont et, pour le CISO, avoir anticipé cette attaque, déployer les bonnes technologies et choisir ses partenaires avant qu’elle ne survienne fut un critère déterminant en matière d’impact, ainsi que dans la manière dont l’attaque a été gérée en interne. 

« La capacité à corréler des événements qui proviennent de multiples sources grâce à la partie SIEM de Tehtris nous a permis de recréer la Kill Chain [cinétique d’attaque, N.D.L.R.] dans des délais très courts. La première détection a eu lieu le 29 septembre, mais nous nous sommes aperçus que la compromission de compte et l’accès initial remontaient au début du mois. Nous étions clairement plus près de la fin de cette Kill Chain que du début ! », explique Jérémie Piazza. 

La détection ayant entraîné le lancement de la gestion de crise est survenue un mercredi en soirée. Pour le CISO, sans une réaction appropriée, « il y a de fortes chances pour que nous ayons été chiffrés durant le week-end ».

Propos recueillis lors du FIC 2023.

Note de la rédaction : le maliciel BazarLoader, de l’arsenal du groupe Ryuk/Conti, n’était déjà plus utilisé depuis de longs mois, en septembre 2022. Plusieurs sources nous suggèrent qu’il est possible que la détection ait en fait porté sur son successeur, BumbleBee, du fait de la réutilisation de code de l’un à l’autre. L’évolution du groupe Ryuk/Conti depuis le début de l’invasion de l’Ukraine par la Russie suggère qu’un ancien du groupe a été à l’œuvre contre la Collectivité européenne d’Alsace. Quantum, notamment, a été publiquement associé à BumbleBee.