Ce que le groupe Amag a appris du cyberincident de 2020
Fin janvier 2020, des pirates informatiques s'en sont pris aux systèmes ITde l'importateur automobile Amag. Roger Mattman, CISO du groupe Amag, revient sur ce qui s'est exactement passé. Il explique comment le groupe a réagi à l'attaque et les leçons qui peuvent être tirées de cet incident.
Comment avez-vous vécu la cyberattaque contre le groupe Amag?
Comme je n'ai commencé à travailler chez Amag qu'en avril 2020, soit deux mois après l'attaque, mais la direction m’a informé en permanence jusqu'à cette date. J’ai donc vécu l'incident de manière moins intense au début. À partir du 1er avril, mon équipe et moi-même, ainsi que des collaborateurs externes, nous sommes occupés à mettre en place un environnement IT entièrement nouveau et sécurisé dans le cadre du projet Amag Clean. L'analyse de l'incident a révélé que notre Active Directory avait été compromis.
Que s'est-il passé exactement?
Vraisemblablement, fin 2019 déjà, un collaborateur en télétravail a cliqué sur une pièce jointe Excel contaminée par un malware, permettant ainsi aux pirates d'accéder à son ordinateur et, par là même, au réseau d'Amag. Fin janvier 2020, le Centre national de cybersécurité (NCSC) a remarqué qu'une adresse IP suspecte avait été contactée à partir du réseau Amag et a alerté l'entreprise. Juste à temps, comme on s’en est ensuite rendu compte….
Comment avez-vous constaté qu'il s'agissait d'une attaque de l'extérieur?
Après l'information du NCSC, des analyses plus précises ont permis de constater que plusieurs serveurs et clients ainsi que des comptes avaient déjà été compromis. En outre, un compte d'administrateur de domaine était tombé entre les mains des pirates.
Y avait-il un plan d'urgence pour de telles situations ou avez-vous dû improviser?
Il y avait un plan d'urgence. Des analyses ont été effectuées et des contre-mesures ont été prises avec des prestataires externes qui ont assisté nos spécialistes.
Les indications du NCSC, une chance énorme et des décisions rapides ont fait que nos données n'ont pas été cryptées à l'époque.
Quelles mesures avez-vous prises en premier lieu?
Nous avons procédé à des analyses approfondies, qui nous ont vite montré qu'il n'y avait pas encore eu de cryptage. Grâce à la décision rapide du CIO/CDO de déconnecter Amag d'Internet, nous avons pu éviter le pire. Cette mesure était nécessaire, car les pirates avaient obtenu des droits d'administration complets sur le domaine d'Amag.
Selon vos indications, l'attaque n'a pas causé de dommages importants. Est-ce la conséquence du dispositif de sécurité et dun bon timing ou aussi une question de chance?
Les indications du NCSC, une chance énorme et des décisions rapides ont fait que nos données n'ont pas été cryptées à l'époque.
Quel était l'objectif des hackers?
Les hackers voulaient exiger une somme d'argent du groupe Amag. Il s'agit d'un groupe de ransomware connu pour s'introduire dans les systèmes IT pour y rechercher la sauvegarde et la détruire, et ensuite crypter intégralement les données dans le but de soutirer de l'argent à l'entreprise concernée. En raison d'un changement de système effectué quelques mois avant le piratage, les hackers n'ont pas réussi à localiser le back-up et ne sont donc pas passés à l’étape décisive du cryptage.
Qu'avez-vous pu apprendre sur les pirates?
Avec l'aide du NCSC et de notre prestataire externe, qui nous a activement soutenus pendant l'incident, nous avons pu déterminer de quel groupe il s'agissait. Mais, comme aucune demande concrète d'argent n'a jamais été formulée à l'encontre du groupe Amag, nous ne pouvons pas le confirmer à 100%.
Dans quelle mesure la question de l'auteur ou de l'attribution est-elle importante lorsqu'il s'agit de se défendre contre une telle attaque?
Il est important de procéder à des analyses appropriées et, le cas échéant, d'adapter les mesures. Si un groupe de pirates auquel on a affaire se concentre sur le cryptage, les mesures et les analyses nécessaires sont différentes de celles qui s'appliquent à l'exfiltration de données. En fin de compte, il faut quand même une analyse finale complète de l'incident pour s'assurer de l'ampleur des dommages et du degré de compromission de l'environnement et des systèmes IT.
Dans un billet de blog d'Amag Group, on peut lire que grâce à une information de Melani - l’actuel NCSC -, les attaquants ont pu être neutralisés. Que dot-on comprendre par là?
C'est grâce à l'information du NCSC que nous avons pris conscience d'un problème potentiel. Par la suite et pendant les deux semaines suivantes, notre entreprise a coupé toutes ses connexions Internet. Il n'était donc plus possible pour tous les collaborateurs de travailler à domicile, par exemple. Pendant ce temps, une équipe de 15 spécialistes a travaillé activement en équipe à l'analyse et aux premières contre-mesures et, après une bonne journée de restrictions massives, de nombreux systèmes ont pu être à nouveau utilisés.
Nous avons pu réduire considérablement le taux de clics des collaborateurs sur les e-mails de phishing.
Quels sont les principaux enseignements que vous avez tirés de l'incident?
Selon la taille de l'entreprise, il est nécessaire de disposer d'un service de sécurité qui puisse s'occuper pleinement de ce sujet. La sécurité de l'information est un processus permanent et intensif, et non pas quelque chose que le service informatique gère "en passant". Cela suppose une solution de protection complète sur tous les appareils de tous les collaborateurs, et les privilèges d'installation doivent être limités. Il est également très important de veiller à ce que les collaborateurs soient davantage sensibilisés au thème de la cybersécurité, car la plupart des cyberattaques démarrent encore aujourd'hui via e-mail. Il convient de garder les yeux ouverts et de réagir rapidement à toute anomalie ou incident. Les systèmes de défense et de détection doivent être centralisés autant que possible. Il est ainsi plus facile de surveiller et de corréler les incidents et de mettre en place des automatisations. Le service de sécurité peut dès lors se concentrer sur l'analyse et la surveillance des attaques réelles.
La prévention des cyberincidents passe par des programmes de sensibilisation, par exemple à la manière de gérer les tentatives d'hameçonnage. Quelle est, selon vous, l'efficacité de telles mesures?
Depuis près de six mois, des tentatives répétées d'hameçonnage de tous les collaborateurs du groupe Amag ont été effectuées à l'aide d'un simulateur de courrier électronique de Hoxhunt. Les collaborateurs peuvent ainsi signaler les e-mails de phishing de Hoxhunt ou les e-mails suspects en général au moyen d'un bouton d'annonce identique dans Outlook ou sur le téléphone portable. De cette manière, nous avons pu réduire considérablement le taux de clics des collaborateurs sur les e-mails de phishing. La conscience des collaborateurs a progressé et continue de progresser sensiblement.
Quelles autres dispositions s'offrent aux entreprises pour se prémunir contre de tels incidents?
Il est essentiel que la direction de l'entreprise prenne au sérieux le thème de la cyber-résilience, confie cette tâche à un responsable de la sécurité de l'information et le soutienne activement. En outre, cette personne doit communiquer et veiller à ce que le sujet de la cybersécurité reste présent par le biais de différentes campagnes. Il faut toutefois faire preuve de de doigté pour déterminer à quelle fréquence aborder le sujet. Dans ce domaine, nous pouvons compter sur le soutien actif du service de communication du groupe Amag, qui est remarquable et très compétent.