Un RSSI face au stress d’une cyberattaque : l’exemple de la Ville de Marseille
Outre ses conséquences pratiques, une cyberattaque est un moment de stress intense pour les dirigeants et les équipes de cybersécurité. Un moment dont le RSSI va se souvenir toute sa vie.
14 mars 2020, on est à la veille du premier tour des élections municipales, c’est le week-end qui précède le premier confinement de la période Covid-19. La ville de Marseille va connaître une crise cyber de très grande ampleur.
Il est 7h31 ce samedi matin quand le RSSI reçoit un appel du responsable réseau de la ville. Impossible pour lui de se connecter aux infrastructures. « Je fais quelques essais et je constate, moi aussi, que nous n’avons accès à rien. En me connectant à mon troisième point d’entrée, le secours du secours en quelque sorte, je découvre que le système d’information est en grande partie inaccessible », se souvient Jérôme Poggi, RSSI de la Ville de Marseille.
« À ce moment-là, il y a vraiment une phase de déni. Il a fallu à peu près trois heures pour réaliser ce qui s’est vraiment passé. »
Jérôme PoggiRSSI, Ville de Marseille
Très vite, l’hypothèse d’une panne de courant est écartée ; le SI est victime d’une cyberattaque. « À ce moment-là, il y a vraiment une phase de déni. Il a fallu à peu près trois heures pour réaliser ce qui s’est vraiment passé. Et à 10h37, c’est le pire moment de ma vie : c’est le moment où il a fallu accepter le fait que nous avons été compromis », relate-t-il.
Pour ce RSSI très technique et qui a beaucoup investi personnellement dans la sécurité de « son » SI, cette attaque est perçue comme un échec personnel : « quand on commence à écrire, sur notre messagerie interne, confirmation de compromission, j’ai vraiment eu du mal à appuyer sur le bouton valider ».
La ville de Marseille est victime du rançongiciel Mespinoza/Pysa comme le révélera plus tard le CERT-FR. Samuel Chabert, expert en cybersécurité à la ville de Marseille, raconte la suite des événements : « nous avons commencé à mesurer l’étendue des dégâts et à prendre les premières mesures pour contrer l’effet domino de l’attaque ». Une équipe de réponse à l’incident va rapidement intervenir pour prêter main-forte à la DSI de la ville. L’équipe de la ville de Marseille est partagée en deux : certains travaillaient sur l’enquête, le RSSI et son expert travaillent sur la reconstruction.
« Alors que nous n’avions plus d’annuaire, nous avons remonté une messagerie en 24 h pour les 4 000 agents de la ville, afin qu’ils soient moins isolés pendant le confinement. »
Samuel ChabertExpert Cybersécurité, ville de Marseille
Dès le dimanche, l’équipe s’active à rétablir la messagerie, la priorité absolue, alors que la France s’apprête à connaître son premier confinement. « Alors que nous n’avions plus d’annuaire, nous avons remonté une messagerie en 24 heures pour les 4 000 agents de la ville, afin qu’ils soient moins isolés pendant le confinement », explique Samuel Chabert.
Ce succès va être durement critiqué en interne, ce qui a profondément choqué le RSSI : « dès le lundi matin, ce que nous avons fait pendant le week-end est critiqué. On a beau être fiers, finalement, les personnes absentes du week-end reviennent et… » le choix d’une messagerie Open Source plutôt que Microsoft 365 fait débat…
Un RSSI assommé par le sentiment de culpabilité
Ce début de gestion de crise montre l’intense pression qui pèse sur les épaules du RSSI et de son équipe. Celui-ci est assailli par un sentiment de culpabilité, mais il doit aussi être totalement mobilisé sur la reconstruction du SI : « d’une certaine façon, nous avions vu arriver l’attaque 3 jours avant. Nous avions des éléments dans le registre d’incident. Nous avions commencé à investiguer, mais l’histoire a fait qu’on n’a pas pu aller plus loin, parce qu’il y avait le Covid ».
Les fichiers laissés par les pirates indiquant la marche à suivre sont rapidement retrouvés. Le montant de la rançon n’est pas indiqué et l’affaire est transférée aux autorités. La BEFTI [Brigade de Lutte contre la cybercriminalité, aujourd’hui la BL2C, N.D.L.R.] s’est chargée de contacter les attaquants et le parquet de Nanterre s’est saisi de l’affaire. « Cela nous a permis de nous détacher de ces aspects. C’est important parce que ça enlève des tracas dans un moment où il y a énormément de choses à faire », relate Jérôme Poggi.
Autre source de stress : il a fallu une semaine avant d’être certain que les sauvegardes étaient intactes et allaient permettre de reconstituer le SI. Mais la DSI a pu continuer la reconstruction du SI, notamment remettre en place au bout de 3 jours le système de gestion des cimetières, critique en cette période…
Là encore, le RSSI déplore les procédures qui vont mettre des bâtons dans les roues des équipes : « c’était une période très importante, mais nous avons été ralentis par les audits, des entretiens avec des consultants pour préparer un nouveau SI. Là encore, c’est assez particulier, car nous devons passer beaucoup de temps dans une reconstruction alors que dans le même temps, on nous dit que ça ne sera pas le résultat final… Et ça, c’est aussi quelque chose de difficile à vivre ».
Une crise politique éclate en cette période de Covid
À cette crise purement cyber est venue s’ajouter une véritable crise politique à l’échelle nationale. Dans ce moment de crise sanitaire et d’élections municipales, les théories du complot sur les origines de l’attaque se multiplient.
Outre la théorie d’une attaque provoquée par l’équipe en place pour rester aux commandes malgré les élections, c’est l’absence des statistiques de mortalité à Marseille qui va déclencher une rumeur d’ampleur nationale. Les données d’état civil n’étant pas remontées à l’INSEE du fait de la cyberattaque, aucun mort n’était dénombré à Marseille dans les décomptes du ministère de la Santé… Du coup, d’aucuns imaginaient que « l’état voulait cacher le fait qu’un certain professeur soignait tous les Marseillais à l’hydroxychloroquine. La rumeur est remontée très rapidement dans l’appareil d’État et le ministre de l’intérieur lui-même, Christophe Castaner, a dû démentir cette théorie du complot lors d’une conférence de presse », raconte le RSSI.
Cinq ans après les faits, la crise a profondément marqué le RSSI et le souvenir reste intense : « pendant six mois, j’ai vraiment eu des black-out, des accès de colère, des moments de désespoir et de résignation. Un véritable yo-yo psychologique. En plus, je n’ai pas eu d’accompagnement psychologique. Il a fallu que je me débrouille par moi-même », confie-t-il.
« Ce fut le pire moment de ma vie parce que nous étions sur le sujet quasiment 24 heures sur 24 pendant plusieurs semaines. »
Samuel ChabertExpert Cybersécurité, ville de Marseille
Même constat pour Samuel Chabert : « ce fut le pire moment de ma vie parce que nous étions sur le sujet quasiment 24 heures sur 24 pendant plusieurs semaines. Il y avait aussi la dimension personnelle, car nous devions travailler enfermés à domicile à cause du confinement. Personnellement, je sentais que mes enfants souffraient de l’indisponibilité des parents et de l’isolement lié au Covid ».
Lorsque la phase de remédiation s’est achevée, Samuel Chabert a même quitté son poste à la Ville de Marseille pour travailler ailleurs pendant 2 ans… avant de revenir : « même aujourd’hui, il y a des choses qui me sont compliquées. Quand je travaille sur les éléments de sécurité pour essayer de détecter les attaques, je m’angoisse un peu de rater l’élément qui pourrait être fatal pour le système d’information ».
Autre personne directement concernée par l’attaque, l’administrateur dont l’identité a été usurpée par l’attaquant. Un compte d’administrateur a été utilisé lors de l’attaque. Si aucun doute ne plane sur l’innocence de l’administrateur dont le nom est apparu lors de l’analyse forensique, on imagine le choc pour lui d’apprendre que son compte a été compromis. Samuel Chabert souligne : « nous avons eu des managers très bienveillants qui ont protégé l’équipe technique et nous ont accompagnés tout au long de la crise. Et à la fin de celle-ci, ils ont organisé une sorte de séminaire où on a pu échanger, ce qui fut salutaire pour l’ensemble de l’équipe ».
« Nous avons eu des managers très bienveillants qui ont protégé l’équipe technique et nous ont accompagnés tout au long de la crise. »
Samuel ChabertExpert Cybersécurité, ville de Marseille
L’histoire ne s’arrête pas là, puisqu’en août 2020, plusieurs appels, dont celui de l’Agence nationale de la sécurité des systèmes d’information (Anssi), signalent au RSSI que les données exfiltrées viennent d’être publiées sur le Darkweb. « Nous nous sommes immédiatement connectés sur Tor et nous avons constaté qu’il y avait 20 Go de données compressées à disposition, avec un message remerciant leurs “partenaires” de la ville de Marseille… Nous avons vite récupéré les données pour voir ce qui avait fuité. Il y avait des données relatives aux utilisateurs, aux agents et citoyens ».
Les équipes DPO de la ville et de la métropole ont travaillé avec le service juridique pour effacer ces données au plus vite. En effet, les pirates ont publié les données sur Mega : « les données ont pu être supprimées dans l’heure. Elles ne sont donc pas restées très longtemps disponibles ». Ces données complémentaires ont été transmises à la CNIL pour compléter la pré-plainte déposée lors de l’attaque.
Psyber, une étude sur la dimension humaine et psycho d’une cyberattaque
L’impact d’une cyberattaque sur le RSSI est le sujet d’une étude initiée par l’Anssi et menée par Judith Ncogossian, anthropobiologiste et membre de l’Association Française d’Anthropologie de l’École de Grenoble.
Baptisée Psyber, cette étude porte plus particulièrement sur la dimension humaine et psychologique des cyberattaques. Les chercheurs se basent notamment sur le Five Factor Model, un framework déjà mis en œuvre par le Cesin et qui propose 5 facteurs sur lesquels la personnalité du RSSI va se positionner. On y retrouve le névrotisme, l’extraversion, l’ouverture, l’agréabilité et la conscience.
« Certains professionnels qui sont excellents en situation normale, s’effondrent ou se révèlent au moment de l’entrée en crise. »
Judith NcogossianAnthropobiologiste et membre de l’Association Française d’Anthropologie de l’École de Grenoble
La crise cyber va révéler la personnalité de chaque personne sur ce framework : « certains professionnels qui sont excellents en situation normale, s’effondrent ou se révèlent au moment de l’entrée en crise. Nous avons imaginé le profil du chevalier noir, celui qui claque des portes, incendie ses équipes, dégouline de stress et le fait ruisseler, ce qui fait rajouter du stress au stress », explique Judith Ncogossian.
D’autres profils sont bien plus préférables en gestion de crise, ce que la chercheuse appelle les forces tranquilles. Les managers de la ville de Marseille qui ont soutenu leur RSSI dans la tempête sont de ceux-ci. « Leur attitude a été vraiment utile, et de façon finalement assez naturelle, sans préparation peut-être a priori, mais ce sont des personnes qui rassemblent des qualités pour pouvoir prendre en charge ce volet managérial et organisationnel de la crise, entre la réparation des systèmes machines et du système humain », estime Judith Ncogossian.
Celle-ci évoque l’idée de développer une fonction de « Psyber Officer » qui n’aurait pas forcément un profit technique, mais qui permettrait d’optimiser la remédiation holistique entre les systèmes humains et les systèmes machines, une compétence interne ou externalisée, indépendamment des structures. L’anthropobiologiste milite aussi pour un changement de terminologie pour les patients zéro qui devraient plutôt être appelés des primo-victimes. Toujours pour protéger ceux qui sont indirectement impliqués dans l’attaque, leurs noms devraient être anonymisés dans les retours de la gestion de crise.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
