Cybersécurité : L’étude de cas d’une entreprise hackée.

Lorsque l’on nous pose la question de ce qu’est un audit de cybersécurité ? », il nous faut apporter une réponse adaptée et calibrée sur les besoins et moyens des PME et ETI !

Notre équipe pluridisciplinaire a pour objectif d’évaluer les risques afin de recommander des actions concrètes de sécurisation. Il est aussi primordial d’orienter et de conseiller notre client en matière de bonnes pratiques afin de corriger les faiblesses et vulnérabilités en interne.

Voici une étude de cas centrée sur une entreprise qui venait de subir une attaque en cybersécurité. Suite à cette agression, la structure (a pris contact avec nous via LinkedIn) a souhaité être accompagnée par Deuzzi afin de sécuriser ses éventuelles failles de sécurité résiduelles.

Voici les retours de notre équipe technique, qui vous indiquera comment l’entreprise a été piratée, et vous partagera ses conseils pour éviter qu’à votre tour vous subissiez des cyberattaques.

De simples failles de sécurité exploitées

L’entreprise avait beau disposer d’un pare-feu, tous les paramètres n’étaient pas à jour. Après un scan depuis internet en toute discrétion, les pirates ayant identifié la faille de sécurité, cela à été un jeu d’enfant pour eux de pénétrer au coeur du réseau local de l’entreprise. Une fois dans la place, ils se sont connectés sur le serveur avec le compte d’un utilisateur ayant des pouvoirs d’administrateur du domaine. En effet, le mot de passe n’étant pas suffisamment complexe, il leur a suffi par ingénierie sociale de déterminer qu’il était composer d’un prénom et d’une date de naissance.

 

Après une cyberattaque, reconstruire le Système d’Information du client

Dans un premier temps, suite à l’attaque subie par cette entreprise, nous avons dû reconstruire le Système d’Information tout en améliorant la cybersécurité par une meilleure configuration des systèmes existants.

logo anssi

Lors de nos interventions et accompagnements, nous mettons en place les bonnes pratiques de l’ANSSI, l’Autorité nationale en matière de sécurité et de défense des Systèmes d’Informations.

 

La première action a été de piloter un expert technique qui avait pour objectif de séparer les réseaux.

 

En quoi consiste la séparation de réseaux en cybersécurité ?

La mise en place de la séparation des réseaux consiste à les isoler entre eux, soit physiquement, soit logiquement. De plus il convient de segmenter chaque domaine afin de sécuriser les données.

Enfin, il était important aussi de mettre les sauvegardes hors lgine afin de les sécuriser, c’est-à dire de les rendre inaccessibles par les pirates.

 

Quels types de « hacking » avaient mis en place les cyberattaquants ?

hacking données

Les hackers avaient chiffré les données de l’entreprise puis supprimer les sauvegardes pour empêcher de les restaurer. Ensuite ils avaient demandé une rançon.

 

La première règle que nous recommandons est de ne pas payer la rançon car cela entretient le chantage et rien ne garantit que :

1. Votre système n’aura pas de dommages,

2. L’accès vous soit rendu,

3. Que les attaquants n’en profiteront pas dans les prochains mois pour réitérer une attaque.

 

Commentaire du Dirigeant du client :
« Nous n’étions pas loin de tout perdre suite à cette faille en cybersécurité. »

 

Heureusement, une sauvegarde de la veille avait été préservée, et a permis de restaurer manuellement une grande partie des données. Par contre, toute la configuration du système a été recréée.

Au final l’entreprise a perdu moins d’une journée de saisie, et 3 jours complets de travail, le temps de réinstaller les serveurs et remettre en état les différents dispositifs du SI (réseaux, systèmes et applications).

Dans les faits, la perte du Chiffre d’Affaires n’a été liée qu’aux 3 jours d’interruption totale de l’activité durant la reconstruction du SI. La paralysie de l’entreprise s’est terminée après la restauration des données. Les conséquences auraient été plus graves si aucune sauvegarde n’avait été préservée.

 

téléchargez notre modèle de plan d'action

 

Mieux vaut prévenir que guérir

En s’appuyant sur notre expertise, nous repérons les failles de sécurité avec un audit informatique. Le plan d’action qui est ensuite proposé se base sur les préconisations de l’ANSSI. Il permet de corriger les manquements et de sécuriser les sauvegardes.

Nos préconisations pour éviter les cyberattaques :

  • Faire effectuer des tests d’intrusion,
  • Vérifier la configuration des firewalls et appliquer régulièrement les mises à jour,
  • Avoir un plan de sauvegarde cohérent et régulièrement testé,
  • Souscrire à un abonnement de sauvegarde pour disposer d’une sauvegarde offline,
  • Effectuer des actions dites « quick-win » : mots de passe robustes, sensibilisation des collaborateurs au phishing et au hameçonnage.

En tant que garant du bon fonctionnement du SI, nous réalisons régulièrement des actions préventives, telles que : la surveillance et la mise à jour des systèmes, la mise à niveau des bonnes pratiques de sécurité, des campagnes de sensibilités au hameçonnage et au renforcement des mots de passe…

Nos équipes vérifient par le biais de nos technologies que les matériels et systèmes sont à jour et fonctionnent correctement. Dans notre contrat MCO (Maitient en Condition Opérationnelle), nous nous engageons régulièrement à :

  • Mettre à jour les équipements et systèmes afin de limiter les failles,
  • Faire des tests de restauration afin de nous assurer du bon fonctionnement des sauvegardes.

 

En cybersécurité, il est avant tout important de mesurer les conséquences d’une cyberattaque. Un piratage informatique pouvant mettre en danger toute une entreprise, il est primordial d’envisager les scénarios nécessaires pour palier à une telle situation.

 

téléchargez notre modèle de plan d'action