Victime fin octobre d'un ransomware, une nouvelle souche de Ryuk, l'ESN s'est montrée aux dires de Guillaume Poupard, le patron de l'ANSSI, particulièrement résiliente, avec pour résultat l'échec de cette attaque. Une preuve de la maturité en la matière de Sopra-Steria, dont les activités reviendront à la normale dans les prochaines semaines.
Depuis le 20 octobre, Sopra-Steria est la cible d'une cyberattaque. L'ESN confirmait une semaine plus tard que certains de ses systèmes avaient été infectés par une version encore inédite du ransomware Ryuk, signalant avoir détecté l'attaque quelques jours seulement après son lancement et pris des mesures qui ont “permis de contenir la propagation du virus à une partie limitée des installations du Groupe et de préserver ses clients et ses partenaires”. Une réponse efficace, selon Guillaume Poupard. L'entreprise "a su réagir vite et mettre en place une organisation de gestion de crise pour traiter l'incident ".
Aux yeux du patron de l'ANSSI, cité par l'AFP, "ce n'est pas une attaque réussie, c'est au contraire une attaque qui a été déjouée par un acteur suffisamment mature qui a su très bien réagir". Car l'ESN a pris "toutes les mesures de confinement, au sens numérique du terme" qui s'imposaient, circonscrivant l'infection à "quelques dizaines de machines" nous apprend Guillaume Poupard. Lors de la publication de ses résultats financiers fin octobre, l'entreprise assurait que, "après des recherches approfondies", elle n'avait pas constaté "de fuites de données ou de dommages causés aux systèmes d’information de ses clients".
Gestion de crise et reprise d'activité
Force est toutefois de constater que l'attaque a eu un impact indéniable sur les activités du groupe puisque, "par mesure de précaution, pendant quelques jours, ils ont coupé énormément de serveurs et cela a eu un impact sur leurs clients" rapporte le directeur général de l'ANSSI.
L'ESN a annoncé avoir engagé le 26 octobre le "redémarrage progressif et sécurisé du système d’information et des opérations" dans le cadre de son plan de remédiation. Elle prévoit un retour à la normale dans les semaines à venir mais ne communique pas pour l'heure sur l'impact financier de l'attaque, indiquant que celui-ci "reste à estimer" et rappelant disposer de contrats d’assurance contre le risque cyber. Pour sa part, l'ANSSI a dévoilé à l'occasion des Assises de la sécurité à Monaco mi-octobre un guide dédié à la gestion de crise cyber, portant notamment sur l'organisation d'exercices dont un exemple, baptisé RANSOM20, est développé tout au long de l'ouvrage."