C’est ce qui est arrivé en mars dernier à une entreprise française localisée en région Rhône-Alpes.

Retour sur un épisode traumatique… qui finit toutefois bien grâce à Vectra AI.

Il est 8h40, en ce mardi du mois de mars 2023. Les uns après les autres, les collaborateurs franchissent la grille d’entrée de l’entreprise S.J, située non loin de Lyon, en région Rhône-Alpes. Philippe (le prénom a été changé) vient d’arriver lui aussi. Depuis qu’il a été recruté il y a deux ans, le Directeur des Systèmes d’Information (DSI) s’est attaqué frontalement à la question de la sécurité informatique de l’organisation. « Ce n’était pas une priorité lorsque je suis arrivé, alors même que la société avait été visée par plusieurs CryptoLockers par le passé. » Conscient des dangers potentiels qui menacent son nouvel employeur, Philippe fait rapidement de la cybersécurité l’axe prioritaire de la mission qu’il mène avec son équipe de 15 ingénieurs informatiques. Qu’une entreprise de plus de 1 000 personnes soit équipée d’un outil de protection puissant lui semble un prérequis, et il a très vite opté pour la plateforme Vectra AI.

De multiples alertes émises par Vectra AI

À 8h40 en ce mardi de mars, un employé de la société consulte un site Internet qui n’est pas bloqué par le proxy. Les configurations de ce dernier sont encore un peu légères, et les mails personnels ne sont pas bloqués (ce n’est plus le cas depuis). L’employé ne le sait pas mais une cyberattaque se prépare et il en est le maillon faible. Insouciant, il divulgue ses identifiants, livrant ainsi de précieuses informations à un ou plusieurs cybercriminels. Instantanément, dans les bureaux de la DSI, la plateforme Vectra AI lance deux alertes. L’attaquant est en train d’utiliser le compte dérobé pour se connecter sur le tenant M365 de l’entreprise S. et créer des règles dans Outlook visant à déplacer les mails de la hotline afin que l’employé victime ne puisse pas découvrir les messages d’alerte qui lui sont adressés par cette dernière. Première alerte Vectra. En parallèle, un mail de phishing est envoyé depuis la boite de la victime à l’attention de l’intégralité des collaborateurs de l’entreprise. Seconde alerte.

L’équipe de la DSI se mobilise instantanément. Il est 8h49 lorsque la hotline informe l’ensemble des utilisateurs internes qu’une attaque est en train d’avoir lieu. Au cours des 9 minutes qui viennent de s’écouler, 3 personnes ont cliqué sur le lien infecté. De nouvelles alarmes Vectra l’ont signalé à la DSI, permettant aux ingénieurs informatiques de repérer les adresses IP depuis lesquelles l’attaquant se connecte. Ni une ni deux : tous les sites et les adresses concernés sont bloqués. Concentrée, l’équipe de Philippe est dans l’action et elle est inquiète. Que se passe-t-il exactement ? « En fait, il s’agit alors d’une attaque Office 365 typique », se remémore Philippe. « Elle va être stoppée avant que la partie réseau ne soit touchée. » Il est dix heures lorsque l’attaque est maîtrisée…

Une sérieuse montée d’adrénaline

Pour le DSI, le coup est passé près mais ce jour-là l’essentiel le pire a pu être évité. Plusieurs mois après, il se remémore chaque étape de l’agression, le stress de son équipe et de lui-même, les alertes successives de la plateforme Vectra AI. « Le regard que je porte aujourd’hui sur cet épisode est très positif : outre le stress ressenti, nous avons eu 100% de réussite pour contrecarrer l’attaque ». Il y en a eu d’autres depuis, moins importantes il est vrai. Philippe et ses collègues en sont quittes pour une sérieuse montée d’adrénaline. « Le week-end qui a suivi, nous n’étions pas tranquilles. L’attaquant avait-il pu laisser quelques traces sur Office 365, qui allaient déclencher une nouvelle attaque ? Fort heureusement, cela n’a pas été le cas. »

Surtout, le DSI peut se féliciter d’avoir très tôt orienté sa stratégie vers la cyberdéfense. « J’ai eu d’autres expériences professionnelles par le passé, et je dois dire qu’elles m’ont servi à poser d’emblée quelques jalons lorsque je suis arrivé sur mon nouveau poste, qui a coïncidé le renforcement de la DSI. » Quelques semaines après son arrivée, le nouveau directeur des systèmes informatiques effectue un test de pénétration. C’est lui qui va déclencher le plan d’action. « Je connaissais déjà Vectra, et j’avais notamment repéré que cette solution est ‘plug and play’. Mes équipes n’étant pas encore sensibilisées et formées à la cyberdéfense, il m’a semblé opportun de choisir la plateforme Vectra AI. Je savais qu’elle fonctionnait et je n’avais pas beaucoup de temps ! »

Une infrastructure hétéroclite

D’autant que l’infrastructure sur laquelle la DSI travaille se révèle assez hétéroclite. En partie orientée cloud, elle comporte également du On Premise, voire de l’IaaS (Infrastructure-as-a-Service) dans certains contrats. « Nous recensons également pas mal d’équipements industriels, et cette grande multiplicité nous amène à avoir une stratégie assez globale. En tant que DSI nous n’avons pas la main sur tout… » Requérant lors de sa mise en œuvre un minimum d’intervention de la part des équipes internes, la plateforme Vectra AI permet de veiller sur une grande partie de l’infrastructure. Un ingénieur de l’équipe de Philippe est spécifiquement en charge de la surveillance des alarmes qui sont émises par la plateforme de cyberdéfense, et Philippe est en copie de chaque rapport comme de chaque alerte. « Dans la plupart des cas, nous avons affaire à des comportements intéressants mais légitimes… La solution est vraiment simple à utiliser, il faut simplement connaître les principes et les mécanismes de ce qu’elle remonte comme données. Dans d’autres cas, comme cela s’est passé en mars, nous devons agir vite et bien… Je réfléchis d’ailleurs à ce que nous puissions bénéficier d’un accompagnement Vectra plus important dans ce type de cas, avec des ingénieurs véritablement formés pour les cas extrêmes. »

Soudaine et sérieuse, l’attaque de mars dernier a-t-elle servi Philippe dans la sensibilisation qu’il poursuit en interne ? « Oui et non », conclut ce dernier. « L’attaque ayant été déjouée, le sujet a finalement été traité de manière assez quotidienne par notre Codir. En revanche, à la DSI cela nous ont a montré qu’une cyberattaque n’arrivait pas qu’aux autres. Désormais, dès que Vectra AI nous signale une alerte nous ressentons un peu de stress… Pour ma part j’en ai profité pour communiquer dans notre journal interne et je vais régulièrement sur le terrain afin de parler de la sécurité informatique et du maniement des mails. Ceux qui pensent que l’on ne risque jamais rien peuvent voir combien nous sommes tous potentiellement concernés, et que les données clients que nous avons sont susceptibles d’être manipulées par des cybercriminels clairement malveillants. »

À bons entendeurs…

À propos de Vectra

Vectra® est un leader dans le domaine de la détection et de la réponse aux menaces pour les entreprises hybrides et multi-cloud. La plateforme Vectra s’appuie sur l’Intelligence Artificielle (IA) pour détecter rapidement les menaces dans le cloud public, les identités, les applications SaaS et les centres de données. Seule Vectra optimise l’IA pour détecter les méthodes des attaquants – grâce aux TTP, au cœur de toutes les attaques – plutôt que d’alerter sur une simple « particularité ». Les entreprises du monde entier font confiance à Vectra pour leur capacité de résilience face aux cybermenaces et pour empêcher les ransomwares, la compromission de la Supply Chain, les usurpations d’identité et autres cyberattaques d’avoir un impact sur leurs activités.