Après un billet sur la situation plutôt critique de l’hôpital, un autre sur la situation critique des entreprises qui peut renvoyer à (encore) un autre billet traitant de l’apprentissage à partir de ses erreurs lequel évoquait déjà NotPetya.

L’année dernière, j’avais écrit un billet sur TV5 monde. Cette année, passons à une entreprise privée. Comme d’autres, Saint-Gobain a été touchée par NotPetya, mais l’entreprise n’a pas occulté le problème, elle l’a affronté et nous en propose un retex.

Source

Le retex est toujours une affaire difficile, car reconnaître avoir été victime d’une attaque revient à (potentiellement) altérer son image de marque. Pourtant, certaines entreprises telles Saint-Gobain communiquent, et il est utile de les écouter pour connaître l’enchaînement des faits, les vulnérabilités exploitées, mais aussi les failles dans l’organisation. Car beaucoup pensent que la sécurité informatique est une affaire purement technique, alors que l’organisation est également importante.

Mais une bonne technique mal organisée ne donnera que des résultats médiocres…

Saint-Gobain reconnaît que « Il y a un avant et un après l’attaque NotPetya », c’est avec ces mots que Claude Imauven, numéro 2 du groupe français, est revenu sur  la cyberattaque, subie au début de l’été dernier, par Saint Gobain. Le 27 juin 2017 l’entreprise française est attaquée depuis sa filiale en Ukraine. « Le virus NotPetya a contaminé les ordinateurs via un logiciel de l’administration fiscale ukrainienne auquel les entreprises doivent se connecter », raconte le dirigeant. En quelques minutes, des milliers de données sont cryptées, impossible à récupérer. (…) Les réseaux de distribution du groupe, Point P et Lapeyre, ont du revenir au stylo et au papier pour rédiger les bons de commande et les transmettre manuellement. Quatre jours de gestion de crise, 10 pour que l’activité reprenne totalement. (…) Dans les mois qui ont suivi, Saint Gobain s’est donc attelé au renforcement de sa politique de cyberdéfense avec un plan d’action en quatre points : identification des risques, détection des failles, réaction et résilience. (…) Aujourd’hui, l’entreprise organise régulièrement des tests grandeur nature pour sensibiliser les collaborateurs aux différentes menaces. Et les fournisseurs ne sont pas en reste puisque Saint Gobain exige désormais que ceux qui se connectent directement au système du groupe soient cyber-vertueux « une condition sine-qua-non aujourd’hui pour nous » confie le chief operation officer.

L’attaque a eu des vertus cachées : Suite à NotPetya, nous avons fait le choix d’être transparent et les marchés ont apprécié puisque cela n’a pas eu d’incidence boursière. Toute l’entreprise a fait corps et nous avons remis l’activité en route en 10 jours et réussi à publier nos comptes en temps et en heure le mois qui a suivi. Nous avons eu la chance de bénéficier de l’aide exceptionnelle de l’Etat via l’Anssi (agence nationale de la sécurité des systèmes d’information) afin d’identifier nos risques. Une première étape clé avant de prendre des mesures de protection et présenter un état des lieux aux assureurs permettant de déterminer le niveau du transfert du risque. Nous avons mis 4 mois pour bâtir notre cyber-défense. (…) Nous n’étions pas assurés et NotPetya nous a coûté 220 M€ de chiffre d’affaires et 80 M€ de résultats. Des millions de PC et de serveurs étaient infectés. La résilience est, pour moi, l’aspect le plus compliqué et le plus important. Aujourd’hui, nous savons et pouvons travailler en mode dégradé pour éviter l’interruption d’activité. (…) Nous avons aussi augmenté la fragmentation de notre réseau informatique par zone géographique pour que l’ensemble du système ne puisse plus être touché.

Quelques enseignements peuvent être tirés de cette confession :

• il faut savoir revenir au stade pré-informatique, à moins d’arrêter entièrement l’entreprise ;
• élaborer des plans n’est pas inutile ;
• les tester encore moins ;
• en temps de crise, la communication ne doit pas occulter la vérité ;
• bâtir une cyberdéfense prend du temps ;
• il est possible d’évaluer le coût (minimum) d’une cyberattaque.

Le plus rageant dans tout cela est de constater qu’il n’y a rien de nouveau, et que tout ce que l’entreprise a découvert était déjà à sa disposition via plusieurs documents.

Mais il n’est pire sourd que celui qui ne veut entendre…