Une cyberattaque dans la pratique : tirer les leçons d'une crise
Par Fanny van Cappel - Director Claims Benelux • Claims EU
En avril 2023, nous avons été informés d'une cyberattaque survenue un dimanche. Fait exceptionnel, car généralement, ces attaques ne sont détectées que le lundi, lorsque les employés redémarrent leurs systèmes. Cette attaque était l'un des nombreux défis auxquels notre équipe chez Hiscox a dû faire face.
La cyberattaque et la phase préparatoire
Les pirates sont intelligents. Avant de lancer une attaque avec un rançongiciel, ils effectuent un travail préparatoire minutieux. Ils commencent par trouver un moyen de s'introduire dans le système et restent parfois indétectables pendant des mois. Ils observent les données stockées, les informations sensibles présentes, ainsi que le chiffre d'affaires et la structure de l'entreprise. Ce type de cybercriminalité s'apparente à un jeu de cache-cache dans un environnement informatique. À un moment donné, ils doivent sortir de leur cachette pour mener à bien leur attaque. C'est alors que les systèmes de sécurité peuvent intercepter l'activité suspecte et envoyer un signal.
Le moment parfait pour une attaque : le vendredi après-midi
Les cybercriminels choisissent généralement le vendredi après-midi pour mener leurs attaques. C'est à ce moment-là que les professionnels de l'informatique quittent leur poste pour le week-end, ce qui réduit le risque pour l'équipe de pirates d'être rapidement repérée ou arrêtée. Pendant le week-end, ils peuvent crypter des données, voler des informations et mettre leurs plans à exécution sans être dérangés. Le lundi, les employés découvrent souvent les demandes de rançon, le cryptage complet de leurs systèmes et la perte de leurs sauvegardes.
Dans ce cas, il s'agissait d'un parc de loisirs en Belgique. Pendant les vacances scolaires, le parc a ouvert le dimanche pour accueillir de nombreux enfants. Malheureusement, ils attendaient déjà lorsque les employés ont découvert que leur système de caisse avait été piraté et qu'une demande de rançon était affichée à l'écran.
Action directe : la première opération de sauvetage
L'équipe d'Hiscox a reçu une demande via notre hotline et a immédiatement commencé à évaluer la situation avec le client. La rapidité est un élément crucial de notre travail. Pour limiter les dégâts, il est essentiel d'agir rapidement. Nous avons formé une équipe d'experts informatiques, chacun ayant sa propre spécialité : un pour l'analyse des causes profondes afin d'identifier le maillon faible, un pour la restauration du système, un pour la sécurité et un négociateur expérimenté capable d'entrer en contact avec les pirates.
Cet expert a entamé des négociations avec une organisation de pirates professionnels. Ils ont exigé une rançon de plusieurs centaines d'euros. Ce montant était considérable, et notre objectif principal était donc de le réduire par la négociation, afin de gagner du temps pour restaurer le système informatique le plus rapidement possible.
Le processus de négociation complexe
Pendant que notre expert négociait une réduction du montant de la rançon afin de gagner du temps, notre équipe travaillait activement sur des solutions alternatives. Nous avons recherché des sauvegardes et d'autres possibilités de restauration.
Heureusement, nous avons trouvé une sauvegarde datant d'un jour avant l'attaque. Ce fut une chance incroyable, compte tenu du professionnalisme des pirates. En général, ils veillent à ce que même les sauvegardes soient cryptées.
Les coûts de la restauration après une cyberattaque
Bien que nous n'ayons pas eu à payer la rançon, les phases d'enquête et de restauration ont entraîné des coûts considérables. Les cyberattaques coûtent toujours énormément d'argent, même avec une restauration efficace.
Même si vous parvenez à récupérer vos données grâce à une sauvegarde, cela ne signifie pas pour autant que tout fonctionnera immédiatement normalement. La restauration implique de réorganiser les données, de réécrire les codes et de rendre les systèmes, tels que les systèmes de caisse, à nouveau pleinement opérationnels. Il s'agit là d'un aspect essentiel d'une cyberpolice : couvrir tous les frais nécessaires après une attaque.
L'aspect humain : négocier avec des pirates
Dans le domaine des cyberattaques, les interactions humaines sont cruciales. Tous les pirates ne sont pas identiques ; certains sont prêts à négocier, tandis que d'autres restent fermes sur leurs exigences. Notre expert informatique a réussi à gagner suffisamment de temps et à réduire considérablement le montant de la rançon.
Perte d’exploitation : reprise créative
Grâce à la réaction immédiate et à l'efficacité de notre équipe, nous avons pu limiter les coûts liés à l'arrêt de l'activité. Le parc a également maintenu des heures d'ouverture exceptionnelles afin de compenser la perte de chiffre d'affaires.
Conclusion :
Les coûts et la complexité liés à la reprise après une attaque réussie confirment la nécessité d'une bonne cyberassurance. Chez Hiscox, notre objectif n'est pas seulement de couvrir les coûts, mais surtout d'aider nos clients à aller de l'avant.
