Le lundi 15 avril 2019 à 18h20, l’incendie de Notre-Dame de Paris se déclenche et va emporter avec lui un pan entier de l’Histoire de France. Mais pendant que les pompiers luttaient contre les flammes et tentaient de sauver l’édifice religieux, une autre bataille se mettait en place sur les dons pour réparer et restaurer Notre-Dame de Paris. L’évènement à l’impact planétaire a suscité un grand élan de solidarité, mais en même temps a aiguisé l’appétit des cybercriminels pour détourner les dons.
Victime de cet emballement, la Fondation du Patrimoine, pilote sur les dons, s’est retrouvée au cœur de la tempête. Le soir même de l’incendie, le site est victime d’une attaque par saturation et Jean Michel Livowski, directeur général du cabinet DPO Avocat, qui intervient en prestataire externe auprès de plusieurs associations dont la Fondation du Patrimoine, voit proliférer de faux sites et cagnottes, ainsi que des opérations de phishing. Débordé, il signale ces évènements à cybermalveillance.gouv.fr, qui sollicite Orange Cyberdéfense pour intervenir.
Une cellule de crise à actions rapides
« Nous avons reçu un appel à 20 heures et nous avons mis en place une gestion de crise », se souvient Nicolas Arpagian, directeur de la stratégie et des affaires publiques chez Orange Cyberdéfense. Le temps est effectivement un paramètre à prendre en compte, car les dons affluent et des sociétés comme Paypal et Amazon ont décidé d’intégrer sur leur plateforme un appel aux dons. Une aubaine pour les escrocs en tout genre.
Les premières mesures sont donc mises en place comme « la protection des sites de la Fondation et de Notre Dame de Paris ». Une page dédiée pour les dons, soutenue par une campagne de communication spécifique, est créée. La surveillance des noms de domaines, des applications mobiles, des profils sur les réseaux sociaux, des cagnottes est enclenchée. « Il était nécessaire de faire le tri entre les bonnes initiatives et celles malveillantes », explique Nicolas Arpagian. A titre d’exemple, pas moins de 400 cagnottes ont été recensées. Au total, 20 000 informations sont remontées à la cellule de crise qui ouvre un extranet pour les avocats et les autorités judiciaires. Le CERT de l’opérateur a été mis à contribution pour faire de la threat intelligence, une veille IT sur la fraude. Par ailleurs, les différents acteurs ont joué le jeu comme Apple qui a bloqué les apps de bienfaisance pendant cette période.
Les jours d’après
Avec du recul, Jean Michel Livowski le reconnaît, « nous étions humainement dépassés ». Lors de l’attaque en déni de service, la gestion des dons avait été prise en charge par le prestataire qui gère les campagnes de la Croix Rouge et de Médecin Sans Frontière. Mais face à la déferlante des faux sites, profils ou cagnottes, l’association a été vite submergée en ne disposant pas de ressources IT suffisantes. Le travail d’Orange Cyberdéfense s’est terminé en juillet dernier et la Fondation a repris la main.
« C’est très formateur et inédit », souligne le DPO externe en tirant le bilan de l’exercice. « Nous avons revu toutes nos procédures et tester notre PRA », indique Jean Michel Livowski. Ce dernier précise que maintenant il sait qui appeler en cas de problème.
Commentaire