Ransomware : le RSSI de l’Afnor raconte la cyberattaque de février 2021

Branle-bas de combat au siège de l’AFNOR

Tout le système d’information est arrêté et la cellule de gestion de crise s’organise rapidement. L’équipe informatique appelle ses contacts à l’aide et s’occupe du volet déclaratif de la cyberattaque. L’Agence nationale de la sécurité des systèmes d’information (Anssi) est prévenue, de même que l’assureur. Une plainte est déposée au commissariat de quartier et la déclaration obligatoire auprès de la CNIL est réalisée dans le délai des 72 heures.

Jean-Marc Aubert se tourne aussi vers l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) qui connaît bien ce type d’attaque contre les entreprises françaises. « Nous avions heureusement souscrit à une assurance cyber un an avant la cyberattaque. Un autre atout qui nous a été précieux fut le contrat d’assistance que nous avions signé avec Airbus Protect et qui nous a permis de démarrer très rapidement notre gestion de crise. Et si notre premier appel fut pour l’Anssi, le deuxième fut pour notre contact commercial chez Airbus Protect ».

Avoir déjà prévu et contractualisé le cadre d’intervention du prestataire va faire gagner du temps à l’AFNOR. « La première phase fut d’évaluer la gravité de l’attaque et estimer les moyens que nous allions devoir engager, d’évaluer ce dont on dispose en Forensic, de quels renseignements, et savoir à qui nous allions devoir faire face », raconte Nicolas Audiot, Deputy Head of SOC chez Airbus Protect. Le prestataire va engager une quinzaine de personnes sur les 3 premières semaines de la crise.

L’expert pointe un schéma d’attaque relativement classique. L’attaquant a commencé par rechercher toutes les adresses génériques mentionnées sur le site de l’Afnor, avant de mener une campagne de phishing sur toutes celles-ci. Il va s’avérer par la suite que le groupe UNC1878, à qui est attribuée l’attaque, a lancé une grosse vague de phishing dans laquelle l’AFNOR se retrouve piégée. « Personne ne connaît le montant de la rançon, pas même les attaquants, car nous n’avons pas été ciblés et nous n’avons pas activé le lien de demande de rançon », souligne le RSSI.

Un attaquant particulièrement chevronné et… patient

Nicolas Audiot précise les modalités de l’attaque : « le 16 février à 9h37, un utilisateur, au sein de l’organisation de l’AFNOR, a cliqué sur le message et le loader Bazar s’est exécuté. Il a téléchargé sa pièce jointe, puis a exécuté Cobalt Strike sur le premier poste compromis ».

Lors des 24 heures suivantes, les assaillants vont se déplacer latéralement jusqu’à trouver une entrée sur le réseau d’administration. « L’attaquant a pris la main sur un premier poste admin et a commencé à chercher toutes les ressources accessibles. C’est le 17 février qu’il s’empare d’un contrôleur de domaine ».

« Un clic suffit à mettre une entreprise à genoux en 2 jours. C’est vertigineux. »

Plutôt que d’exploiter à son avantage cette ressource stratégique, l’attaquant va se replier et ne plus agir du tout à partir de 13h00 (heure UTC). Cette prudence a été particulièrement judicieuse, puisqu’un des administrateurs disposait d’un tableau de bord sur son écran affichant toutes les connexions au contrôleur de domaine. Avec un peu de chance, cet administrateur aurait pu repérer l’attaquant dans sa progression.

Mais l’assaillant a préféré attendre 21h07 (heure française), et que tous les employés aient quitté le bureau pour engager la phase suivante de son attaque. « L’attaque ne sera pas aussi facile qu’attendu, car il fait une première tentative de déploiement du ransomware via GPO (Group Policy Object) d’Active Directory ; mais l’antivirus est toujours actif. Celui-ci va shooter le script de déploiement à chaque tentative. L’attaquant va alors réussir à désinstaller l’antivirus en quelques minutes, ce qui était extrêmement compliqué à faire il y a quelques années. Le 18 février nous retrouverons les dernières traces du contrôleur de domaine et, vers 5h00 du matin, le ransomware avait chiffré la quasi-totalité des serveurs ».

La grande majorité des systèmes sous Windows sont alors chiffrés. Seules les machines Linux et les sauvegardes échappent au couperet. Alors que l’AFNOR dispose de 2 sites informatiques en redondance de type actif/actif, le ransomware ne fait pas de quartier : les serveurs sont chiffrés des deux côtés. « Nous avons immédiatement pris des mesures et arrêté le SI afin de ne pas contaminer d’autres entreprises et de sauver ce qui pouvait encore l’être », explique Jean-Marc Aubert qui souligne : « la bonne pratique aurait été de seulement couper les connexions réseau pour maintenir en l’état les mémoires vives des machines pour le Forensic ». 

La grande chance de l’AFNOR est que les sauvegardes sont sauves : les normes françaises sont toujours à l’abri sur les serveurs de sauvegarde, mais nul n’en a encore la certitude. Il faudra une dizaine de jours pour que l’équipe Forensic d’Airbus Protect apporte la bonne nouvelle.

La cellule de crise entre en action

En dépit du confinement sanitaire pour cause de COVID, tous les membres de la DSI ont été priés de rejoindre leur poste en urgence. Les collaborateurs de l’AFNOR ne pouvaient plus accéder à leurs applications. « Nous avons interdit à tous nos collaborateurs d’utiliser leurs postes. La pandémie fut d’un côté un facteur aggravant, car les collaborateurs étaient à leur domicile et nous n’avions ni messagerie ni téléphonie pour les avertir. Le facteur facilitant, c’est que les collaborateurs étaient déjà en télétravail et, mis à part les membres de la DSI rapatriés d’urgence dans les locaux, tous les autres collaborateurs sont restés en travail à distance avec leurs propres accès Internet ».

La cellule de crise se réunissait 3 fois par jour dans un premier temps et en parallèle Jean-Marc Aubert devait rendre compte de l’avancement de la crise à son Comex… une situation particulièrement stressante pour le futur RSSI.

La priorité était d’assurer une continuité d’activité et permettre aux métiers de continuer à travailler. « En raison du Covid, nous avions mis en place un système d’envoi en masse de SMS aux collaborateurs et ce système s’est avéré précieux pour les avertir de la situation. En outre, une semaine avant l’attaque de Ryuk, le DSI avait sorti le site Web destiné à la communication interne hors de notre périmètre IT. Cela nous a aussi permis de garder le lien avec les collaborateurs ».

À J + 1, un SMS indiquait à tous les collaborateurs où ils pouvaient se connecter pour suivre la situation. Si l’AFNOR était une association très orientée on-premise, le virage vers le cloud va être immédiat : un nouveau système de messagerie est déployé chez un prestataire cloud à J+3. Le même jour, des routeurs 4G sont installés pour connecter à Internet les collaborateurs du siège.

Le lendemain, le système téléphonique est toujours hors service. Tous les appels clients sont transférés vers un centre d’appel. À J + 7, un système de partage de fichiers dans le cloud est activé pour permettre à tous les collaborateurs de travailler. Le nouvel Afnor.org était alors en place.

Avant toute tentative de relance du système d’information, la mise en sécurité de ce dernier est une phase cruciale pour ne pas réactiver le ransomware au moment de redémarrer les postes ou de recharger les sauvegardes. « Il est important de connaître le moment où l’attaquant est entré dans le système d’information afin de pouvoir restaurer celui-ci juste avant le t0 de l’attaque », explique Jean-Marc Aubert. « Tant que l’on ne dispose pas de cet élément, on ne peut pas démarrer la remédiation ».

Cette information capitale, l’équipe d’Airbus Protect va réussir à la retrouver très rapidement : « en 48 heures, nous avons pu identifier le patient Zéro avec l’email de Phishing encore dans la boîte aux lettres de l’utilisateur », précise Nicolas Audiot. « Nous avons pu reconstituer la colonne vertébrale de l’attaque jusqu’au chiffrement des postes. Nous ne savions pas encore jusqu’où l’adversaire avait pu essaimer, explorer toutes les branches, mais nous avions une bonne idée des tactiques et des techniques utilisées par l’attaquant. Cela a permis de commencer à réfléchir sur le plan de remédiation pour sortir de la crise ».

Une autre conclusion de l’équipe Forensic s’avère comme une très bonne nouvelle pour l’AFNOR : aucune donnée n’a été exfiltrée lors de l’attaque.

La remédiation, une tâche particulièrement délicate

« Pour le gestionnaire de l’incident, [...] nous sommes face à toute l’organisation, donc la pression est maximale. »

Si l’équipe de gestion de crise peut désormais songer au redémarrage du système d’information, la pression interne est à son comble : « pour le gestionnaire de l’incident », explique Jean-Marc Aubert, « il y a un déséquilibre du rapport de force : il y a d’un côté le DSI et le RSSI et de l’autre, le ComEx, les directions métiers, les RH, le directeur financier qui devait payer les collaborateurs une dizaine de jours après l’attaque, la communication et évidemment les collaborateurs. Il faut apporter des réponses à tous ces acteurs et nous sommes les seuls à pouvoir les donner. Nous sommes face à toute l’organisation, donc la pression est maximale ».

Frédéric Leconte, le DSI de l’AFNOR, et Jean-Marc Aubert assument la gestion de la crise à deux, certainement une bonne formule, lorsque celle-ci s’étale sur plusieurs semaines, puis plusieurs mois pour le volet remédiation. Le rôle du gestionnaire de crise est complexe, car il doit manager les équipes, coordonner les actions, faire du reporting, motiver les gens, synthétiser pour la hiérarchie, traduire les éléments techniques, jouer ce rôle de tampon pour absorber la presse, etc. L’AFNOR a pu s’appuyer sur un PMO pour gérer les actions au quotidien. En outre, une personne à plein temps assistait à toutes les réunions afin de rédiger le Rex, un rapport interne qui compte aujourd’hui 70 pages.

Dans cette phase de remédiation, tous les services poussent pour un redémarrage aussi rapide que possible de leurs applications. L’équipe de gestion de crise doit être efficace et rapide. Mais si l’idée de départ était de remonter le système d’information brique par brique, tous les systèmes sont interconnectés. Ce qui a impliqué un gros travail sur la cartographie du SI, puis de redémarrage, de resynchronisation et de tests des systèmes qui étaient redémarrés. « Une de nos chances est que Olivier Peyrat, notre DG, était vraiment à nos côtés, car tous les métiers nous mettaient une pression de fou. Nous avons responsabilisé le ComEx. Nous allions remonter le SI, mais ce n’était pas à nous de décider par où il fallait commencer : c’était au ComEx d’arbitrer quelles applications devaient être priorisées par rapport aux autres ».

La remédiation va s’avérer plus longue qu’espérée. Par exemple, tous les postes doivent être inspectés un par un. Au moindre doute, la machine est totalement effacée. « La décontamination elle-même est cruciale en termes de sécurité », précise le RSSI. « Il ne faut pas laisser un seul poste avec Ryuk et que cela recommence. Il faut être extrêmement précis et vigilant : au moindre doute, on efface complètement le poste. Cela représente de 2 à 4 semaines pour vérifier 1 000 postes, car il fallait faire revenir les collaborateurs et analyser leurs postes 1 par 1, à l’aide d’un protocole de nettoyage des postes très précis, avec les outils d’Airbus et de l’ANSSI, cela représente une énorme logistique ».

L’importance du facteur humain au cœur de la crise

Comme dans toute crise, les personnalités de chacun sont exacerbées et l’équipe de gestion de crise va privilégier les profils les plus efficaces sous la pression, l’idée étant que la compétence prime sur le grade. « Un graphe de l’Institut Montaigne illustre parfaitement les phases successives de notre attaque, avec les 3 jours de sidération, les 3 semaines de crise, puis les 3 mois pour la remédiation. Ces délais ont correspondu très exactement à ce qui s’est passé chez nous. Ce graphe est d’ailleurs inversement proportionnel au niveau de la pression qui pesait sur nous ! »

Plus la crise dure, plus les membres de l’équipe de gestion de crise fatiguent. « On travaille le week-end et on est focalisé 24h/24 sur l’attaque. La fatigue et l’énervement s’installent, c’est humain. La pression est extrêmement forte sur la DSI. Notre position avec le DSI a été de ne pas faire redescendre cette pression sur les équipes techniques. Celles-ci ont déjà tellement de choses à gérer, car leur SI a littéralement été détruit par l’attaquant. Il n’y a pas eu de chasse aux sorcières et nous avons tâché de les préserver de la pression qui pesait sur la DSI ».

Olivier Peyrat, le directeur général de l’AFNOR est venu s’installer à l’étage de la DSI, pour être au plus près des équipes techniques, et les membres du Comex sont régulièrement venus voir le travail des équipes, afin de montrer leur soutien.

L’autre aspect important de cette gestion de crise que va découvrir le RSSI, c’est le besoin de communiquer tant en interne qu’en externe. Dans les 24 premières heures, la nouvelle d’une cyberattaque fuite sur les réseaux sociaux, avec des tweets plutôt critiques vis-à-vis de l’AFNOR, chantre de la certification ISO 27001…

L’organisation doit rapidement donner sa position officielle. Ce sera chose faite dans les 72 heures, mais Jean-Marc Aubert souligne le talent du Community Manager de l’AFNOR : « nous avons essayé de le faire le plus rapidement possible, mais avouer ce genre de chose n’a rien d’évident. Notre Community Manager a été très bon en tournant l’information avec humour. Il a littéralement retourné Twitter, avec finalement des messages de soutien après la première vague des critiques reçues ».

« Assumer et rester humble, c’est ce qui marche le mieux. Les partenaires nous ont remerciés de notre transparence et cela participe à maintenir la relation de confiance avec l’écosystème. »

En interne, la communication a été rapide afin de ne pas laisser les collaborateurs en situation de confinement sans aucune nouvelle et sans possibilité de se connecter à leur employeur. « Même en communiquant très régulièrement auprès d’eux, ils se sont sentis un peu laissés en retrait. Nous avons essayé de les intégrer aux opérations, fait venir sur site tous ceux qui le souhaitaient pour coller les étiquettes, lancer les scripts, nettoyer les postes. Cela a permis de faire naître un esprit de village gaulois contre l’agresseur Ryuk, qui a mis de la cohésion dans les équipes. Les salaires étaient bien sûr assurés ».

Vis-à-vis de ses clients et partenaires, l’objectif numéro 1 de l’équipe de gestion de crise était de n’en infecter aucun. « Nous avons pris le parti d’être transparents sur ce qui s’était passé et j’ai fourni énormément de détails techniques. Dès que nous avons eu la signature de Ryuk, nous l’avons transmise. Il s’agissait d’une nouvelle signature pour Ruyk, nous l’avons donc transmise à l’Anssi qui a publié un nouvel avis suite à cette communication. Assumer et rester humble, c’est ce qui marche le mieux. Les partenaires nous ont remerciés de notre transparence et cela participe à maintenir la relation de confiance avec l’écosystème ».

L’expérience de l’AFNOR a montré que, même si le risque de ransomware figurait en première place dans l’analyse de risque de la conformité ISO 27001 de l’association, avec des mesures de sensibilisation menées auprès du personnel, ce type d’action n’est jamais suffisante et ne suffit pas à contenir ce risque. Le RSSI conclut : « nous avons fait en 3 mois ce que nous avions prévu de faire en 3 ans et ma conclusion est qu’une crise est toujours plus rude que ce à quoi on s’attend. »

Propos recueillis à l’occasion de l’édition 2022 des Assises de la Sécurité.