Interviews

Benoît Baudier, DSI du groupe Fraikin : « La sauvegarde est une assurance-vie face aux ransomwares »

Benoît Baudier, DSI du groupe Fraikin : « La sauvegarde est une assurance-vie face aux ransomwares »
Benoît Baudier, DSI du groupe Fraikin : « Les rançongiciels sont un fléau qui ne sera sans doute jamais totalement endigué, il faut s’y préparer toujours plus. »
Retrouvez cet article dans le CIO FOCUS n°194 !
De la résilience IT à la résilience business

De la résilience IT à la résilience business

Il est aisé de constater à quel point la crise sanitaire a ébranlé les entreprises. Si le business est indissoluble de l'IT depuis bien des années, le numérique a démontré une nouvelle fois son importance. En effet, partout, dans tous les secteurs et toutes les tailles d'entreprises, l'IT a joué un...

Découvrir

Le groupe de services aux entreprises Fraikin a été touché par une cyberattaque le 11 mai. Son DSI, Benoît Baudier, revient sur cet incident, depuis la détection jusqu'aux mesures de remédiation en cours.

PublicitéLe groupe Fraikin propose aux entreprises des services de location de véhicules (depuis les utilitaires de moins de 3,5 tonnes jusqu'aux poids lourds) ainsi que de la gestion de flotte. Il compte environ 2800 collaborateurs et 7000 clients, et loue près de 60 000 véhicules par an en Europe, dont la moitié en France. Le 11 mai, l'entreprise a malheureusement été victime d'une attaque par rançongiciel, que les équipes ont réussi à contenir. Dans cet entretien, Benoît Baudier, directeur des systèmes d'information du groupe Fraikin, revient sur cet incident, depuis la découverte de l'attaque jusqu'au déroulé du plan de remédiation.

CIO : Comment avez-vous découvert la cyberattaque et quelles ont été les premières mesures mises en oeuvre ?

Benoît Baudier : « Ce que nous sommes en train de vivre est malheureusement assez ordinaire en termes statistiques, même si pour nous c'est inédit. Aujourd'hui, nos infrastructures sont pour l'essentiel hébergées chez IBM, un partenaire de longue date. Ce sont leurs équipes qui nous ont alertés, car tôt dans la matinée du 11 mai, elles ont détecté une activité anormale sur nos serveurs, ne correspondant pas à la charge habituelle. Les serveurs tournaient à plein régime, essayant d'accéder aux applications et n'y parvenant pas.

Nous avons immédiatement monté une cellule de crise, sur pied en une heure, et nous avons rapidement constaté qu'il s'agissait d'une cyberattaque par ransomware. Nos systèmes étaient bloqués et les données chiffrées dans le but d'obtenir une rançon. La première chose que nous avons faite a été de vérifier qu'aucune donnée n'avait été perdue, volée, détruite ou compromise. Heureusement, le virus bloquait seulement l'accès à celles-ci, empêchant néanmoins les applications de fonctionner.

Nous avons rapidement activé le plan de continuité d'activité (PCA), qui a permis à nos collaborateurs de travailler en mode dégradé. Ensuite, nous avons mis au point le plan de remédiation pour rétablir les services en repartant de la dernière sauvegarde. »

CIO : Où en êtes-vous de ce plan ?

Benoît Baudier : « IBM réalise une sauvegarde quotidienne de nos données, hébergée dans un autre datacenter. C'est en quelque sorte notre assurance-vie face à de tels incidents. Nous sommes repartis de la sauvegarde de la veille pour restaurer les données sur des serveurs nettoyés, voire de nouveaux serveurs, de façon à avoir des environnements sains.

Le rétablissement des activités est toujours en cours à l'heure actuelle. Nous avons déjà rétabli plusieurs systèmes, dont le système central qui permet à nos agences de fonctionner, assurant le service et l'encaissement des clients ainsi que le règlement des fournisseurs. Il reste cependant plusieurs jours de travail pour rétablir l'ensemble des services, mais cela reste supportable. Nous établissons des priorités et ordonnançons les actions en fonction des besoins métier. Il faudra également prévoir des actions à plus long terme pour traiter certains sujets moins visibles et d'impact moindre dans l'immédiat. »

PublicitéCIO : Et où en êtes-vous de l'investigation ?

Benoît Baudier : « Les investigations sont elles aussi toujours en cours. Nous avons identifié le patient zéro, un collaborateur du groupe, mais nous cherchons à comprendre le déroulé exact du chemin d'attaque. Nous avons également identifié le ransomware, il s'agit d'un variant de Ryuk pas encore connu. Nous avons mis à jour les signatures dans nos antivirus.

Nous avons également rempli nos obligations de déclaration auprès de la CNIL et de nos partenaires et clients. L'ANSSI a été informée de l'attaque, mais nous n'avons pas eu besoin de les solliciter, car le plan de remédiation mis en place a suffi. »

CIO : Combien de personnes constituent la cellule de crise ?

Benoît Baudier : « Au total, la cellule de crise compte environ une dizaine de personnes : le RSSI de Fraikin et moi-même, trois collaborateurs d'IBM ainsi que deux autres qui viennent d'une filiale d'IBM spécialisée dans la réponse aux incidents, qui intervient à l'échelle mondiale et travaille 24*7. Enfin, nous avons également un cabinet qui nous accompagne sur notre feuille de route cybersécurité. »

CIO : Aviez-vous déjà mis en place certaines mesures pour vous prémunir face à de telles attaques ?

Benoît Baudier : « Nous nous étions déjà préparés à des attaques de type ransomware, un certain nombre de mesures avaient été prises pour renforcer notre système d'information : mise en place de protections techniques, segmentation de nos environnements, sauvegardes quotidiennes des données, gestion des failles de sécurité avec traitement des vulnérabilités identifiées lors de tests d'intrusion... Malgré ces défenses renforcées, qui ont sans doute permis d'éviter plusieurs attaques, l'une d'entre elles a réussi à passer.

Nous étions prêts au niveau organisationnel, ce qui nous a permis d'être réactifs et de contenir l'incident. Nous avions également une cyberassurance, un dispositif indispensable pour les entreprises comme la nôtre. Notre cyberassureur nous a d'ailleurs lui aussi proposé une aide technique. »

CIO : Comment vous et vos équipes avez vécu cette cyberattaque ?

Benoît Baudier : « Sur le plan personnel, c'est une épreuve à vivre, tant sur le plan intellectuel que physique. Les équipes IT ont vécu des week-ends perturbés, mais elles ont fait preuve d'une grande responsabilité, tout le monde était conscient des enjeux. Le point essentiel pour nous était de s'assurer de l'intégrité des données de nos collaborateurs et de nos clients. À ma connaissance, il n'y a pas eu d'impact pour ces derniers, qui ont pu continuer à louer et faire entretenir des véhicules. Une fois rassurés sur ces points, nous avons pu dérouler le plan de rétablissement. Cette épreuve a également permis de ressouder les équipes, de les remobiliser après avoir traversé la crise sanitaire. J'ai été bluffé par le bon esprit et la mobilisation des différents acteurs de l'entreprise, aussi bien côté IT que de la part des utilisateurs, qui ont encouragé la DSI, ainsi que du comité exécutif, qui a soutenu les équipes gérant cet épisode inédit.

Une fois l'incident complètement résolu, nous prévoyons de faire une analyse post-mortem et un retour d'expérience formalisé et partagé. Vivre ce type d'épisode permet de tirer des enseignements : peut-être qu'il y aura des actions spécifiques qui s'ensuivront, pour adapter notre processus de gestion d'incident et peaufiner notre PCA. Les rançongiciels sont un fléau qui ne sera sans doute jamais totalement endigué, il faut s'y préparer toujours plus. »

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis