Frédéric Leconte (Afnor) : « nous sommes sortis de la cyber-attaque par le haut »
Par Bertrand Lemaire | Le | Cas d’usage
La cyber-attaque subie par l’Afnor en février 2021 a été l’occasion d’une remise à plat et d’une certification ISO 27001. Frédéric Leconte, DSI de l’Afnor, nous explique ici toutes les leçons tirées.
En quelques mots, pouvez-vous nous présenter l’Afnor ?
Frédéric Leconte : L’Afnor (Association française de normalisation) est un groupe associatif dont les membres sont des grandes entreprises (mais aussi des plus petites), des associations et syndicats professionnels… Nous avons des activités dans la co-construction de normes volontaires, leur édition , la certification, la veille et la formation.
En fait, nous délivrons des services qui visent à développer durablement la confiance entre les acteurs de la société . Ceux-ci, d’ailleurs, co-construisent les normes volontaires. S’il doit y avoir un seul mot à retenir, ce serait bien celui-là : confiance.
Que s’est-il passé exactement le jeudi 18 février 2021 ?
Nous avons été victimes d’un rançongiciel, Ryuk. Un utilisateur a cliqué dans un mail et le ransomware a commencé à se propager. L’anti-virus l’a neutralisé mais Ruyk avait eu le temps d’installer une porte dérobée. Par ce moyen, les attaquants ont réussi à neutraliser l’anti-virus et réinstallé Ryuk qui s’est alors propagé.
Au matin, les équipes IT se sont aperçus de quelques problèmes. Quelques PC avaient déjà été attaqués. Nous avons alors stoppé totalement le SI et lancé la gestion de crise.
Plusieurs actions ont été menées en parallèle. D’abord, il s’agissait de réagir en empêchant une propagation plus importante. Pour cela, nous avons demandé à chacun de ne pas allumer son PC. Nous avons également fait appel à notre assistance et deux ingénieurs experts étaient présents sur site en soirée. Enfin, il a fallu pallier, d’un point de vue métier, la coupure du SI. Comment continuer à servir les clients ? Beaucoup de choses ordinaires deviennent très compliquées sans SI.
Concrètement, comment avez-vous procédé pour ce fonctionnement dégradé puis le retour à la normale ?
Il s’agissait d’abord de remettre en place un système de communication. Pour cela, nous avons utilisé une plate-forme d’envoi de SMS en masse et mis en place un service de partage de fichiers. Il nous a fallu retrouver l’adresse des clients, les prévenir et voir ce que l’on pouvait continuer de faire ou non. Par exemple, un auditeur peut continuer à auditer mais, à l’inverse, vendre des normes est plus compliqué.
D’un point de vue SI, il fallait lutter contre l’infection et commencer la reconstruction. Cela a commencé par comprendre exactement ce qu’il s’était passé. Nous avions les informations nécessaires dès le samedi. Heureusement, nos sauvegardes n’ont pas été attaquées et seulement une partie des serveurs a été infectée.
Pour éviter tout risque de retour via des backdoors qui n’auraient pas été repérées par nos experts, nous avons décidé de modifier le schéma de notre infrastructure. Nous avons donc remonté de nouvelles infrastructures avant de réinstaller les applications.
Parallèlement, nous avons nettoyé les PC. Nous avons installé des chaînes industrielles dans des salles de réunion où nous avons fait défiler, sur six lignes, les collaborateurs avec leurs machines. Si le poste était infecté, nous le réinitialisions par remastering complet, entraînant une destruction de tout le contenu local.
Pourquoi avez-vous alors engagé une démarche de certification ISO 27001 ?
En fait, le projet de réaliser cette certification datait de 2019 et nous avions alors réalisé un audit à blanc. La crise sanitaire avait mis en sommeil la démarche. Après la cyber-attaque, nous avons relancé le projet. Nous avons voulu sortir de la cyber-attaque par le haut avec un objectif : montrer, tant aux clients qu’aux collaborateurs, que les processus de cybersécurité étaient au niveau des meilleures pratiques.
Cela dit, en 2019, il n’y avait pas beaucoup de manques même si quelques opérations correctives avaient été repérées comme nécessaires. Bien entendu, être certifié ne protège pas d’une cyber-attaque. C’est plus un travail qui tend vers un objectif. Lorsque le SI s’est écroulé, nous nous sommes dit que c’était le bon moment pour mettre en place les meilleures pratiques. Quitte à tout reconstruire, autant le faire le mieux possible. Nous nous sommes fixé des échéances pour mener le chantier. L’audit final a eu lieu en mars 2022 et la certification a été officiellement obtenue le 4 juillet 2022.
Afnor Certification peut-elle certifier l’Afnor ?
Non ! C’est donc une société portugaise qui nous a certifié afin de garantir l’impartialité de la certification. Les 70 collaborateurs salariés et prestataires de la DSI ont été mobilisés pour réécrire nos procédures et vérifier qu’elles étaient bien appliquées.
La certification en ISO 27001 concerne la sécurité de l’information, pas seulement celle de l’informatique. Par conséquent, de nombreuses autres directions ont été impliquées. Le service immobilier a ainsi travaillé sur le contrôle d’accès à nos locaux, la DRH au contrôle de signature de la charte numérique, etc. Nous avons également une politique dite du « bureau vide ». Lorsqu’un collaborateur quitte les locaux, son bureau ne doit comporter aucun document afin que nulle personne « passant » dans les locaux ne puisse savoir sur quoi l’on travaille. Travailler à obtenir cette certification a été un véritable projet transverse d’entreprise.
Outre votre communication sur votre propre cas, ce qui reste encore malheureusement assez rare chez les victimes de cyber-attaques, quels autres retours avez-vous opéré à la communauté ?
AFNOR a une mission d’intérêt général et nous nous devions de nous engager plus loin, après l’épisode de la cyber attaque, au service de toutes les organisations françaises
Tout d’abord, nous travaillons sur une « Afnor-Spec », avec le groupe Orange notamment et d’autres organisations. Ce document prénormatif présentera les bonnes pratiques pour concevoir un PCA et adopter les bons réflexes en cas de cyber-attaque. Une première version devrait être disponible en janvier 2023.
Par ailleurs, Cybermalveillance.gouv.fr, en collaboration avec le groupe AFNOR, le Campus régional de Cybersécurité et de Confiance numérique Nouvelle-Aquitaine (C3NA) et le Centre de formation de l’ANSSI (CFSSI) viennent d’annoncer la création d’un référentiel de compétences pour les prestataires en Cybersécurité. Et enfin, nous sommes membres actifs du Cyber Campus, le lieu totem de la cybersécurité en France.
Ces trois leviers d’action nous permettent de poursuivre le combat contre les cyber-menaces. Il faut être conscient que les outils et les méthodes nécessaires existent et qu’il ne faut jamais cesser de dialoguer entre acteurs pour trouver collectivement les solutions, c’est une démarche propre à l’ADN d’AFNOR
Pour terminer, avez-vous un conseil à donner à toutes les organisations souhaitant se lancer dans une certification ISO 27001 ?
La toute première chose à faire est un premier bilan. Il faut connaître la situation d’ensemble de départ, savoir d’où l’on part, pour tracer efficacement le chemin vers la destination, la certification.
La cybersécurité est votre sujet ? Rendez-vous à la Cyber Night !