Toute ressemblance avec une histoire vraie que je vis aujourd’hui avec un client serait… voulue.

Dans mon rôle de directeur des systèmes d’information (DSI), je dois actuellement faire face à une cyberattaque assez violente pour un client que nous appellerons « l’école ».

Mais commençons par l’agenda :

– le 13 novembre 2018, un consulat français d’un pays du Maghreb se fait pirater. Une liste de noms, prénoms, mails, etc, se fait dérober. Dans le lot, les noms et prénoms des dirigeants de l’école pour laquelle je travaille comme conseil DSI. Cette école élabore des programmes de partenariat d’apprentissage francophones avec ces pays.

– Le lundi 17 décembre, l’école se fait pirater à son tour. Les systèmes identifient l’attaque le mercredi, sachant que l’école ferme ses portes pour cause de vacance de Noël le vendredi. Le serveur de comptabilité étant touché, il faut isoler, sécuriser et relancer au moins ce service pour réaliser les payes des salariés qui, sinon, ne seront pas virées en fin de mois, pendant les congés.

– fin du mois, tout le monde est en vacance, mais une entité proche, fédérant l’ensemble des écoles du même domaine de formation, se fait hacker à son tour.

On le sait, la tension dans le cybermonde est grande et la France est attaquée via le Maghreb. Mais le vivre rend les écrits de mes papiers hebdomadaires bien plus concrets. J’ai pu retrouver des « mines » informatiques sur les serveurs, un virus générant de la cryptomonnaie sur un serveur de comptabilité, des chevaux de troie dans tous les PC (plus de 200) et du spoofing DNS sur les accès Wan des routeurs (en gros, c’est quand les pirates frappent à votre porte, de tous les pays du monde grâce à des serveurs « zombie. J’ai « fermé la porte » à des pirates de Corée du Nord, du Japon, de la Chine, de la Russie, d’Algérie, du Maroc, du Brésil, du Canada, des USA, etc…). Et déjà une première conclusion : ce n’était pas une attaque d’un petit coréen de 12 ans, mais plutôt par une organisation qui maitrisait plusieurs typologies de techniques de hacking (firewalls professionnels, réseaux segmentés (vLan), services Windows (AD, DNS, etc), antivirus…)

Le Règlement Général sur la Protection des Données nous dit qu’il faut informer d’une attaque dans les 72 heures de sa découverte. Bien que dépassé par le nombre de choses à faire dans un temps imparti le plus court possible (fermer les « portes », déverroller les PC et serveurs, faire le constat de centaines de logs…) je me dis qu’en bon petit soldat, je vais réaliser la bonne pratique. Je tente désespérément de trouver un endroit ou déclarer mon incident. Le savez-vous : c’est compliqué.

Je tente le site de la CNIL qui me renvoie à un formulaire en ligne. Je tente le site de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information, qui gère la sécurité de tous les services publics et sociétés sensibles) : même formulaire en ligne. Je tente le CLUSIR Paca pour des contacts sans grand succès. Je change de méthode et recherche des sociétés « capables » en cyber-sécurité et tombe sur trois types de structures : des « vendeurs d’ordinateurs » qui ne sont pas au niveau pour ce genre d’intervention, des SSII qui me déboutent, car « ce n’est pas du conseil, mais de l’intervention curative et on ne fait pas » ou des sociétés capables, mais surbookées qui ne pourront pas intervenir. Désespéré, je reviens sur le site de l’ANSSI, je crée un compte, je suis les différents écrans pour au final me voir proposer une map de Marseille avec des sociétés qui se sont inscrites comme spécialistes cyber-sécurité.

Je suis surpris d’y voir des profils de type « dépan-ordi » ou des sociétés de conseil qui ne peuvent toujours rien à mon problème. Je contacte alors l’ANSII par téléphone, on me donne le mail exact de la cellule spécialisée, qui après deux échanges, me répond que mon école n’entre pas dans le champ de ses compétences, car elle est sous format associatif. Bon, elle délivre des diplômes d’état, a des données de centaines d’étudiants, et comme le nuage de Tchernobyl s’est arrêté aux frontières, nos hackers s’arrêtent eux aussi aux systèmes informatiques associatifs (et consulaires). Je me dis encore qu’on n’a rien compris en cyber sécurité. Énervé, je suis…

Laisser un commentaire