Reminder

Appearance

Conférence cyber ADN Ouest/CCI Quimper

Conférence cybersécurité organisée par ADN Ouest et la Cci Quimper. Intervenants : ANSSI, Dsi Verlingue (Olivier Le Gall), Dsi SICA (Linlaud Stéphane) et la GACYB.

Introduction par intervenant ANSSI

En 2021, une entreprise sur six a subi une attaque, fraude etc. En Bretagne c'est en moyenne une attaque par semaine par les entreprises qui est déclarée.

Menaces existantes (les plus répandus sur le territoire Breton)

Rancongicielle (Ransonware)

Attaque consistant à chiffrer les données et demander une rançon en échange de la clé de déchiffrement. Les exemples d'attaques de ce type ne manquent pas et ne concerne pas uniquement que les entreprises du CAC40 ou sites institutionnel, mais aussi les TPEs et même les communautés de communes de seulement quelques centaines d'habitants. Prévention, Backup non numérique ou offline. Etude d'impact à faire en amont et création d'une cellule de crise afin d'être en mesure de gérer ce type de situation.

Espionnage

Du point de vue de l'ANSSI, une inquiétude forte existe autour de cette menace puisqu'elle est, par définition très difficile à repérer. Le risque encouru est une perte de développement/recherche...

Déni de service (DDOS)

Cette attaque est le plus souvent utilisée comme diversion afin de détourner l'attention des équipes it en plus de rendre provisoirement le service attaqué indisponible.

Malveillance interne

Comme pour l'espionnage, celle-ci est difficile à repérer. Elle peut provenir d'un (ex)collaborateur mécontent ou bien d'un client ayant au SI. C'est pourquoi il est indispensable de gérer correctement les authorisations aux sites physiques en plus des authentifications/authorizations au SI.

Fraudes au président et autres menaces par ingénierie sociale

Le pishing par mail est le canal le plus souvent utilisé. En cas de fraude de ce type, les authoritées compétentes sont la police ou la gendarmerie.

Retour cyberattaque Verlingue (groupe Adélaïde, Mutuelle Génération et Cocoon)

Retour rapporté par le DSI de l'entreprise Verlingue, Olivier Le Gall. Cette entreprise est constituée d'un SI de 200 personnes avec une infrastructure comportant 700 serveurs.

Le 28 novembre 2021, l'entreprise a subi une attaque par Ransonware avec le chiffrement d'une partie de leur données. Vers minuit, le DSI reçoit un message d'alerte du système lui signifiant la désactivation des antivirus et prend immédiatement la décision de se rendre sur site. Vingt minutes plus tard, les routeurs sont coupés physiquement afin de stopper l'attaque. A ce stade l'équipe sait juste qu'il s'agit d'une attaque, mais n'a pas encore idée de son ampleur ou type.

En cas d'attaque du SI, les premières 24 heures sont déterminantes. Le dsi décide l'activation d'une cellule de crise dans le but de gérer au mieux la situation. Une communication est faite auprès des collaborateurs et clients par la direction pour les informer du problème et de l'inactivité pour un temps non encore déterminé. Après la première réunion de crise, la direction donne 3 jours au DSI pour rétablir la situation et restart les premiers services critiques comme les remboursements santé des assurés (Mutuelle Génération) ou les renouvellements des contrats (mois de novembre). Celui-ci s'entoure des 'sachants' du SI et d'une entreprise spécialisée dans la gestion de crise (IntraSec PRIS auprès de la ANSSI).

Points importants retenus dans la gestion de la crise :

  • Deux salles physiques (bah oui plus de réseau ni SI...) avec séparations des personels techniques et directions/business
  • Répartitions des rôles et droits des personnes
  • Savoir faire des points réguliers pour transmettre les informations
  • Avoir une stratégie de redémarrage des parties système d'information en fonction de leur criticité
  • Eviter la "pollution" provenant de l'extérieur, pour anecdote le DSI n'a pas décroché son téléphone pendant 3 jours, 150 appels de numéro inconnus (média, entreprise externes...)
  • Un seul collaborateur pour gérer la communication externe
  • Définir les 'bulles de confiance' lors du redémarrage progressif. Technique afin de s'assurer que ce que l'on restart n'est pas/plus touché par le Ranconware. Première bulle, l'active directory.
  • Pour la communication interne, ils ont mis en place sur une autre réseau un blog et une messagerie pour les collaborateurs.
  • Définition de CERT to CERT afin de rassurer les collaborateurs
  • La direction a su faire confiance au DSI et ses équipes afin de les laisser prendre les décisions et travailler sans les déranger et leur faire perdre du temps en en réunion ou discussion.

Point à améliorer avant et en cas de nouvelle crise :

  • La communication interne via des outils comme signal ou proton mail
  • La communication externe à gérer plus efficacement, cas d'un article dans la presse nationale avec de fausse information propagée. Donc perte de temps pour répondre et éviter les fausses interprétations.
  • Meilleure prévention auprès des collaborateurs (techniques et métiers)

Constat :

  • L'attaque à fait perdre plusieurs jours de production, mais grâce à une décision rapide de coupée les routeurs, l'attaque a été stoppé rapidement et un minimum de données ont été impactés.
  • La faille exploitée par les attaquants est dû à une négligence d'un collaborateur non technique.

Retour Cyber Attaque SICA

Retour rapporté par le DSI de SICA Saint Pol de Léon. Ils ont subi deux attaques : 01/2022 et 05/2022.

01/2022 déni de service

Des ralentissements sont constatés sur l'accès au service de la plateforme logistique. Au départ, il leur à été difficile de comprendre qu'il s'agissait d'une attaque et non pas d'un problème d'infrastructure du SI. Les serveurs DNS sont submergées d'appels provenants d'adresse non Européenne. Une fois le constat de l'attaque, la décision est prise de communiquer en interne au niveau de l'encadrement et du GIRAL (réseau de DSI du domaine agroalimentaire). Mesures prises :

  • Drop de toutes les requêtes sur le DNS ne provenant pas de France ou Belgique
  • Communication avec la gendarmerie et dépôt de plainte
  • Remise en question de du DNS et Firewall

05/2022 crypto mining, RCE (remote execution code)

Une utilisation des cpus serveurs importante sur la journée puis une saturation complète dès le lendemain. L'attaque est identifiée sur un ensemble de serveur qui sont tout de suite isolés (VMs). Un clonage des machines infectées est réalisée et une analyse par une entreprise spécialisée en cybersécurité est effectuée. Découverte d'un malware crypto qui exécute un process qui utilise du cpu afin de miner des cryptos et envoi ensuite ses résultats sur un serveur hors europe. Ce malware se propage également sur tous les postes clients qui se connecte sur le serveur via un fichier JS qui exécute un process sur le poste infecté. Mesures prises :

  • Blocage ips sortantes hors France, blocage de tous les postes clients infectés (y compris celui du président du groupe 😄).
  • Redémarrage/installation de nouvelle Vms pour rétablir la production

Suite aux attaques

Constat :

  • Les attaques ont fait perdre 8 jours de production (avec un potentiel CA de 1M€ par jour)
  • Suite à l'attaque pqr crypto mining, un audit est ensuite effectué. Résultat, c'est une mauvaise gestion des droits utilisateurs (accès root exposé à tous sur les serveurs) qui a permis à l'attaquant d'exécuter facilement son malware sur les serveurs. Cela est du a une mauvaise gestion au sein des équipes IT niveau régional (aucune gouvernance)

Point à améliorer avant et en cas de nouvelle crise :

  • Amélioration de la gestion des droits sur les serveurs
  • Mise en place d'une stratégie de maintenance de l'applicatif (mise a niveau des OS, des librairies et du code a tous les niveaux)