En préambule, José Diz, rappelle que lors d’une attaque avéré les personnels sont tout d’abord en été de stupeur puis commencent à faire un état des lieux ? D’après vous faut-il payer la rançon en cas d’attaque ?

Thierry Gourdin, Head Of Presales France, North and West Africa chez Kaspersky considère qu’il ne faut pas payer en cas de demande de rançon car souvent on ne récupère pas la clé, de plus on est repéré comme bon payeur et troisième point on peut se faire réattaquer puisque l’on est un bon payer… Pour Yoann Castillo, responsable Ingénierie Systèmes France et Afrique francophone chez Veeam, une entreprise sur 4 ne retrouve as ses données suite à une attaque par ransomwares. De plus la France comme les États-Unis conseillent fermement de ne pas payer. Mountaha Ndiaye, EMEA Director Ecosystem sales & programs chez Hyland explique que souvent les entreprises attaquées sont des PME et préfèrent souvent payer en Bitcoint car le chiffrement est couplé avec du chantage sur les dirigeants... Pour lui, les entreprises paient aussi par rapport à la réputation, les secrets... d’ailleurs, il y a de plus en plus de sociétés qui servent de négociateurs qui mène un travail parfois un peu trouble. Philippe Charpentier, directeur technique chez NetApp rappelle que le premier critère pour payer reste la nécessité d’assurer la continuité d’activité et le fait que la rançon est souvent inférieure à la perte d’exploitation.

Selon Mountaha Ndiaye d’Hyland il est aussi important de mettre en œuvre un plan de communication, faire du forensic pour comprendre ce qui s’est passé. Il rappelle que les assureurs incitent souvent à payer les rançons car au final cela leur revient moins cher.

José Diz : Que se passe-t-il en cas d’attaque dans une entreprise ?

Philippe Charpentier considère qu’en premier lieu il y a un arrêt de service. De plus en amont souvent il y a eu des actions menées par les attaquants avec chiffrement des sauvegardes, exfiltration de données...

Guillaume Cazenave, ingénieur avant-vente chez Zerto rappelle qu’il a été chez un client qui venait de subir une attaque, sur tous les écrans étaient indiqués le montant de la rançon. Il n’y avait aucun employé sur le site. Cette attaque a durée trois mois. Il s’est assuré que les sauvegardes étaient intactes.

Yoann Castillo de Veeam rappelle qu’il a été appelé par un client qui avait été lui aussi attaqué. Il avait mis en place des processus pour rétablir au plus vite la situation. Par contre, malgré cela la restauration pris du temps environ quelques semaines. Par contre, pour un client non préparé la restauration peut durer plusieurs mois voire année. En 2023, 85% des entreprises interviewées ont été attaquées pour le dernier rapport Veeam.

Selon Gabriel Ferreira, directeur technique chez Pure Storage, il y aurait pour certaines entreprises plus de 10.000 attaques par heure. Il a été impliqué dans plusieurs cas d’attaques avec cryptolocker pour une entreprise du CAC 40, la reprise partielle dure environ 6 mois. Avec DORA les établissements financiers vont devoir communiquer sur les attaques subies. De même dans le domaine de l’alimentaire, du transport... souvent les attaques se déroulent le week-end et on s’en aperçoit souvent grâce aux vigiles ou aux collaborateurs qui viennent travailler durant le week-end et dont les badges ne fonctionnent plus.

Yoann Castillo de Veeam, explique qu’en cas d’attaque, il est souvent difficile de communiquer avec les collaborateurs car il n’y a plus de mail, plus de SI... donc on utilise les mails et les téléphones personnels pour joindre les employers.

Pour les sauvegardes, Guillaume Cazenave rappelle qu’avec Zerto, les clients font du CDP donc de la sauvegarde en continu. Ainsi, si on a été attaqué il est possible de restaurer très rapidement à J - 1 seconde mais bien sûr cette restauration doit se faire sur une base propre. C’est pourquoi il est nécessaire d’avoir un site de PRA sécurisé.

Mountaha Ndiaye d’Hyland ajoute que pour les entreprises qui ont les moyens, la technologie permet des rétablissements rapides.

José Diz si souvent le SI existant n’est pas sécurisé du fait de son ancienneté, le Cloud qui est plus récent est sans doute mieux protéger même s’il est attaqué régulièrement comme dans le cas récent de Microsoft Azur.

Chez Veeam rappelle Yoann Castillo, il y a beaucoup de petits clients et dont la réputation n’a pas beaucoup d’importance. Toutefois un certain nombre de PME attaquée ne se relève pas après une attaque en ransomwares. C’est pour cela que chez Veeam on applique les mêmes processus pour les PME que pour les grands comptes.

Mountaha Ndiaye d’Hyland rapporte que l’enquête AGF montre que 50% des clients paient pour des questions de réputation.

José Diz : Quelles actions menées après une attaque ? Comment se remettre en route ?

Mountaha Ndiaye d’Hyland considère que suite à une attaque sur un banque polonaise. Il y a eu deux phases la reprise d’activité et le risque c’est à dire de déterminer quelles sont les données volées, l’impact sur la réputation...

Pour Guillaume Cazenave de Zerto le mieux est de restaurer rapidement sans impacter le reste de l’activité. Il faut restaurer en premier lieu s’occuper de l’AD. Toutefois, il est nécessaire au préalable de procéder à une cartographie avant afin de pouvoir restaurer au plus vite les applications critiques. Dans les grands groupes souvent entre les services tout est cloisonné donc il est difficile de savoir ce qui est important.

Yoann Castillo de Veeam explique qu’il est important de comprendre le déroulement de l’attaque afin d’éviter la réinfection. Il faut donc à chaque fois vérifier que tout est sain avant de restaurer. Chez Veeam on commence à introduire de l’IA pour mieux automatiser les processus. L’IA permet d’analyser le comportement afin de définir les comportements déviants. Effectivement rappelle Thierry Gourdin de Kaspersky il y a souvent une deuxième vague d’attaque.

Chez Netapp nous avons conçu un petit moteur d’IA pour apprendre les comportements normaux et donc de repérer les comportements déviants ajoute Philippe Charpentier. Nous aussi chez Zerto nous proposons de la détection en temps réel pour analyser les contenus sauvegardés explique Guillaume Cazenave. Dès qu’il y a des comportements suspects les clients sont avertis.

Selon Gabriel Ferreira de Pure Storage tous les éditeurs ont mis ce genre d’outils à base d’IA pour analyser les comportements suspects. Chez Pure Storage, le stockage est fait en temps réel. Dès que l’on repère une activité suspecte on envoie une alerte chez le client. Dans tous les cas, il faut qu’il y ait un humain pour décider s’il faut couper les services. Lors de la signature d’un contrat, il y a un accord de confidentialité qui est signé pour éviter de communiquer même à l’intérieur de l’entreprise.

Chez Hyland les bases documentaires Sharepoint,... nous proposons une couche logicielle permet de chiffrer la donnée avant qu’elle soit mis dans le coffre-fort. Pour la déchiffrer il faut avoir des mots de passe, par base et qui ne sont accessibles qu’aux personnes autorisées explique Mountaha Ndiaye. Chez Pure Storage on recommande depuis des années de tout chiffrer pour éviter les problèmes rappelle Gabriel Ferreira. Thierry Gourdin de Kaspersky considère que lorsqu’une partie du réseau est chiffrée il va falloir comprendre si on est la cible ou une victime collatérale ou la cible réelle. Il faut par la suite coordonner les équipes dans les grands groupes.

Guillaume Cazenave de Zerto insiste sur ce l’importance de tester régulièrement son PRA afin de mesurer le temps que l’on va mettre pour repartir. Malgré ses conseils très peu testé leur PRA faute de temps le plus souvent. Effectivement, reprend Philippe Charpentier, c’est pour cela que nous travaillons chez NetApp avec nos intégrateurs afin de durcir les environnements et tester ces PRA. Selon lui, il faut que tous les éditeurs travaillent sur la notion de simplicité pour faciliter le travail des clients. Bien sûr reprend Yoann Castillo de Veeam il faut que les éditeurs et intégrateurs travaillent de concerts chez les clients.

José Diz : Est-ce que les clients prennent conscience des ces problèmes ?

Tous les éditeurs présents considère qu’il y a une prise de consciences des clients des dangers de telles attaques. Toutefois c’est l’action qui pèche le plus souvent par manque de budget. Ainsi, Mountaha Ndiaye d’Hyland, les clients sont conscients mais ils réfléchissent avant d’agir au rapport coût et risque. Par contre, si les clients ont des données sur internet et un risque de réputation ils seront plus sensibles aux problèmes. Il y a aussi un effet taille de l’entreprise qui entre en jeu.

Yoann Castillo de Veeam considère que dans les PME TPE, il y a une prise de conscience mais aussi dans les grands groupes. Pour une entreprise attaquée des budgets sont débloqués. De plus l’actualité pousse à prendre conscience par contre comment avancer le plus rapidement possible tout est une question de budget. Pour Thierry Gourdin de Kaspersky effectivement les entreprises tirent des enseignements à chaud et débloquent des budgets... par contre au fur à mesure du temps elles oublient et les anciennes habitudes reprennent... Guillaume Cazenave de Zerto explique que suite à une cyberattaque il est contacté par des clients pour mieux sauvegarder les données. Par contre, pour les entreprises pas encore attaquées mais qui lisent la presse les impacts d’attaque sur le business, demandent des cotations puis passent autre chose car la peur est passée.

En conclusion Mountaha Ndiaye d’Hyland rappelle qu’il y a parfois des cas où le RSSI ou le DSI démissionne car il se sente responsable.