Le 31 mars 2021, le groupe Pierre Fabre subit une cyberattaque qui va déstabiliser l’ensemble de ses équipes et de ses procédures en seulement quelques heures. Olivier Siegler, Directeur de l'accélération digitale et des systèmes d'informations du groupe Pierre Fabre, revient sur cette expérience délicate et sur la stratégie retenue pour s’en relever.

 

Vous avez subi une attaque majeure en 2021. Comment découvre-t-on la faille ? Quelle a été votre parade pour y répondre ?

OS. Face à une cyberattaque de grande ampleur, la première chose qui s’impose, c’est de comprendre ce qui se passe. Dans ces moments-là, tout va très vite. Nous nous sommes aperçus de mouvements suspects à 4 h 30 du matin. Les équipes en Asie ont alors coupé les réseaux externes. Entre 5 h et 6 h, nous avons constaté que les PC et les serveurs s'éteignaient un à un. Un véritable scénario catastrophe. Cela nous a conduit à prendre la décision de débrancher les serveurs dans les datacenters. Finalement, à 6 h 30 du matin, la mort dans l’âme, nous avons pris la décision d’éteindre tout le système d'information du groupe. Dans le même temps, nous avons essayé de sauvegarder tout ce qui pouvait encore l’être. Cette attaque a été le point de départ d'un chantier fastidieux, sur plusieurs mois, pour mettre en sécurité tout notre système d’information (SI) : serveur par serveur, PC par PC. Nous avons installé des logiciels Endpoint Detection and Response au plus près des machines et des différents terminaux. Et nous avons vidé chaque réseau afin de tout nettoyer et tout reconstruire au propre. Un travail de fourmi réalisé à la vitesse de l’éclair. Le défi était double : aller aussi vite que possible pour remettre en marche l'entreprise, tout en prenant le temps de s’assurer que nous ne laissions aucune trace à l'attaquant.

Dès lors, toute l'activité s’est retrouvée à l’arrêt ?

OS. L’entreprise s’est retrouvée à l’arrêt. Cela a été violent parce que tous les entrepôts, toutes les usines, tous les laboratoires de recherche étaient fermés. Nos outils collaboratifs aussi : mails, zones de partage, Teams… Les liens ont également été rompus avec nos interlocuteurs. Il a fallu travailler à rétablir la confiance avec nos partenaires et fournisseurs afin qu’ils acceptent de connecter à nouveau notre système d’information aux leurs. Et peu à peu, nous sommes sortis du tunnel. Au bout de deux semaines, nous avons commencé à rouvrir les entrepôts. Au bout de quatre semaines, les usines. Enfin, au bout de huit semaines, l’ensemble du système d’information du groupe Pierre Fabre a pu redémarrer.

 

VOIR AUSSI LA VIDEO :  Le secteur de la santé, une cible prioritaire pour les attaques de ransomware

 

Une cyberattaque, c’est un choc. Comment surmonter la crise?

OS. Que ce soit en interne ou en externe, la clé est d’expliquer de façon transparente la situation et de mener un grand travail d'accompagnement à tous les niveaux. Et puis, pour les salariés de l’entreprise, il y a des réflexes humains à adopter pour éviter de nouvelles cyberattaques : pédagogie, sensibilisation, campagnes de tests de phishing, l’enjeu est d’embarquer les métiers dans la sécurité. Il faut parvenir à créer des automatismes chez les salariés car il y aura toujours quelqu'un qui oubliera un mot de passe, qui mettra une clé USB là où il ne faut pas ou qui laissera une porte ouverte lorsqu'elle devrait être fermée. Cette intelligence humaine est tout aussi cruciale que la technologie pour lutter contre la cybercriminalité.

En savoir plus: Le SASE vous aide à mieux prévenir les attaques ?

Le périmètre de sécurité traditionnel basé sur le Firewall ne suffit plus à protéger les usagers qui se connectent de n’importe où, ni à sécuriser les applications livrées depuis le Cloud, ou encore à assurer la confidentialité des données en transit. L’enjeu est désormais d’amener des éléments de sécurisation au plus près des utilisateurs. Il faut aussi aller vers davantage de segmentation. Ceci pour éviter que la cyberattaque ne touche la totalité du système d’information. C’est ici que le SASE sera appelé à jouer un rôle fondamental dans la capacité des organisations à sécuriser les accès au plus près des utilisateurs et de la donnée à protéger.