Avec du recul, une cyberattaque « est un changement de paradigme, car on ne sait pas ce que doit faire. Les communications sont limitées et il est difficile d’avoir confiance y compris en interne », glisse Jérôme Marchandiau-Bruller, directeur des infrastructures IT Opérations chez Manutan. Le spécialiste du matériel de bureau a été victime du ransomware DoppelPaymer. « Tout a commencé le 21 février 2021, un dimanche matin en début de matinée par un appel des services généraux pour indiquer que le système de badge d’accès ne marchait plus. Puis le lundi à 10h, un développeur trouve un message bizarre sur un serveur, puis un deuxième développeur a le même message », se souvient le dirigeant. Inquiet, il demande alors à un administrateur système de vérifier les sauvegardes et la consommation d’I/O et constate une multiplication des alertes. Puis cela va très vite sur les 1 200 serveurs de la société, 800 sont cryptolockés, principalement ceux sous Windows, « à l’exception des versions 2000 et 2003 ». Les serveurs Linux sont épargnés.
Les premiers conseils
Le premier conseil dans ces cas-là est « de savoir où sont les pirates et s’ils sont toujours présents », poursuit le responsable. L’analyse forensique montrera que les cyberattaquants étaient sur le réseau depuis 3 mois déjà, « malgré un audit de sécurité que nous venions de terminer », assure-t-il. Le déclencheur a également été trouvé dans l’analyse post-mortem, « un mail de phishing ouvert par une personne de la société qui a permis l’installation d’un bot, puis d’un autre et ainsi de suite ». Pour autant, l’entreprise disposait d’outil de protection des mails comme Defender, Blue Vector Cortex et ATP de Microsoft.
Un autre conseil prodigué de la part de Jérôme Marchandiau-Bruller est de rapidement « couper les firewall et les accès » et de « vérifier les sauvegardes ». En l’espèce, Manutan disposait de plusieurs solutions « Veeam, Netbackup, mais qui étaient tous les deux sur des serveurs sous Windows, donc cryptolockés et Rubrik sur des appliances autonomes donc accessibles ». Enfin dernier conseil, les cyberattaquants ont bien évidemment demandé une rançon, « il ne faut surtout pas payer », précise le dirigeant mais il ajoute « il faut attendre au maximum avant de répondre, car à partir de ce moment-là, une course contre la montre s’engage »
Un bon accompagnement
Et dans ce court laps de temps, le directeur des infrastructures IT organisé en cellule de crise, a cherché de l’aide. « Ayant un contrat premium avec Microsoft, nous les avons sollicités dès le lundi matin », mais le dirigeant déchante « notre contrat se terminait le 28 février et il voulait que nous le renouvelions avant de nous venir en aide ». Une pratique qui exaspère Jérôme Marchandiau-Bruller, surtout que l’éditeur lui annonce pouvoir intervenir « dans deux ou trois semaines ». Devant l’urgence de la situation, le dirigeant demande conseil à l’assurance de Manutan qui lui recommande une société de conseil spécialisée en cybersécurité (dont le nom n’a pas été communiqué). Cette dernière est intervenue très rapidement.
« Dès le lundi, nous étions dans une stratégie de reconstruction avec notre partenaire », se rappelle le responsable. Bien évidemment, l’attaque a fait l’objet d’une notification à la Cnil et auprès de l’Anssi qui a suivi de près l’affaire. « Une des premières choses était de savoir si des données avaient été récupérées et quels étaient les risques en cas de non-paiement », observe-t-il. Au regard de cette analyse, « nous avons considéré qu’elles n’étaient pas critiques et que nous avions la capacité de remonter un SI fonctionnel ».
Un plan de restauration éclair
C’est donc sur cette base, qu’avec le partenaire, la stratégie de reconstruction a été menée. La direction générale avait deux exigences, « la première est d’avoir une date fixe pour la reprise des activités et la deuxième de réduire la surface d’attaques au maximum en cas de prochaines menaces », précise Jérôme Marchandiau-Bruller. Pendant la crise, les sites e-commerce de Manutan étaient fonctionnels, tout comme le WMS, mais impossible d’encaisser les commandes. Pour la restauration, le dirigeant s’est appuyé sur les sauvegardes de Rubrik, « avec leur appliance autonome, elles n’ont pas été touchées par le ransomware et nous avons pu restaurer l’ensemble des serveurs Windows ». Il a travaillé avec les équipes de Rubrik pour remonter les sauvegardes et vérifier que les données étaient saines et éventuellement déchiffrer certains documents sur des serveurs de fichiers, par exemple. La solution Rubrik comprend également une fonction d’immuabilité des sauvegardes, qui interdit toute modification pendant une durée déterminée.
Le travail de restauration a été mené rapidement, « en une dizaine de jours, nous avons remonté 80% de l’infrastructure de production », souligne le directeur des infrastructures IT de Manutan. « Nous avons redémarré les firewall, puis le datacenter principal, puis les serveurs ont été réactivés un par un », précise-t-il. Mais l’assureur a imposé la mise en place d’un EDR sur chaque serveur, en l’occurrence la solution de Sentinel One. Les EDR sont connus pour être verbeux, « cela nous a fortement perturbé, car ils consomment beaucoup de ressources et impactent les applications, un effort de tuning a donc été nécessaire », reconnait Jérôme Marchandiau-Bruller. Les premiers serveurs restaurés ont été l’Active Directory, pour reprendre rapidement les activités. A noter que Manutan s’est retrouvé avec un problème lié à la fonction d’immuabilité de Rubrik a eu un effet de bord, « les nouveaux serveurs étaient intégralement sauvegardés et les anciennes sauvegardes existaient toujours, les appliances se sont donc retrouvées pleines et nous avons été obligés de faire le ménage avec les équipes de Rubrik ». Au total, la restauration aura duré environ 3 mois.
Une stratégie de sécurité renforcée
Fort de cette expérience, « la direction générale a souhaité avoir une politique de sauvegarde cohérente d’ici la fin de l’année. Cela signifie la suppression des autres systèmes et ne garder que Rubrik notamment pour Office 365 », constate Jérôme Marchandiau-Bruller. Autre élément et non des moindres, « pour réduire la surface d’attaque, il était nécessaire de diminuer notre dépendance à Microsoft. 75% de nos bases de données et des applications reposent sur cet éditeur ». Un effort va donc être mené pour migrer vers du PostgreSQL ou du MariaDB.
Pour autant, le partenaire de Manutan, est formel : malgré l’ensemble des travaux de restructuration, le groupe n’est pas sûr de retrouver un SI propre. Seule solution envisagée, recréer une infrastructure. « Nous avons lancé ce chantier baptisé Horizon avec une échéance au premier trimestre 2023 ». Bien évidemment, la sécurité sera au cœur du dispositif avec du SIEM (Splunk), un SOC externalisé, des ruptures protocolaires pour les échanges inter-applicatifs, de l’isolation des réseaux, du security by design pour le développement, du MFA, des pentests . Au total, le groupe devrait engager plusieurs millions d’euros pour cette refonte.
MAJ: Suite à notre article, Veeam a apporté quelques précisions. "Veeam Software est désolé de découvrir que Manutan a subi une récente attaque de ransomware. Au moment de l'incident, ils n'étaient pas clients de Veeam. Ils avaient décidé de s'éloigner de Veeam en 2019, et leur contrat de maintenance a pris définitivement fin quelques mois plus tard, début 2020. Quoi qu'il en soit, avec le problème de ransomware qu'ils ont rencontré, s'ils nous avaient contactés, nous les aurions soutenus comme nous le faisons pour nos clients ou ex-clients. "