ITPartners+

Aux premières heures d'un jeudi matin de printemps, ITPartners+ a dû faire face à un défi majeur en matière de cybersécurité : une attaque par ransomware visant l'un de ses clients. L'attaque a été lancée par le groupe de ransomware Akira. Les auteurs de la menace n'ont pas perdu de temps et ont immédiatement commencé à chiffrer des serveurs critiques tout en tentant de se propager à travers le réseau aussi rapidement que possible. Le moment choisi pour l'attaque, juste avant le week-end férié du Memorial Day, était une stratégie couramment utilisée par les attaquants pour augmenter les chances d'obtenir le paiement d'une rançon.

Chad McDonald, directeur technique d’ITPartners+, se souvient : « Nous avons déjà connu d’autres incidents de cybersécurité, mais jamais de l’ampleur d’une attaque par ransomware. C’était la première fois que nous voyions un ransomware attaquer activement un environnement. »

L'alerte initiale a été transmise via la RocketCyber , un élément essentiel des dispositifs de cybersécurité de l'entreprise.

Casey Postma, responsable de la cybersécurité chez ITPartners+, a été le premier à réagir. Il a découvert l'attaque lorsqu'il s'est réveillé tôt et a consulté ses e-mails. Casey a déclaré : « Je me suis réveillé environ une heure avant que mon réveil ne sonne et j'ai décidé de consulter mes e-mails. J'ai constaté que Managed SOC Datto Managed SOC un ticket d'urgence et nous avait appelés. » Cette détection précoce a joué un rôle crucial dans la limitation des dégâts.

Grâce aux capacités avancées de détection des menaces de Datto, le premier indicateur de compromission a été identifié à 4 h 59. Puis, entre 5 h et 5 h 15, Datto et son équipe expérimentée du centre d'opérations de sécurité (SOC) ont isolé plus de 30 appareils afin d'empêcher la propagation tout en mettant fin aux processus malveillants. « Le temps de réponse a été d'un peu plus d'une minute entre le début du chiffrement qui a déclenché l'alerte et la réaction de la politique anti-ransomware. C'était extrêmement impressionnant », a déclaré Casey. Cet isolement rapide a empêché le ransomware de se propager à d'autres parties du réseau.

Une fois la menace immédiate maîtrisée, ITPartners+ a coordonné une intervention globale. Cela a notamment consisté à contacter l’assureur en cybersécurité du client, qui a fait appel à une équipe d’experts en informatique légale pour évaluer plus en détail la situation. « Ce sont les signes évidents du ransomware Akira qui nous ont fait prendre conscience que nous étions bel et bien confrontés à un incident grave », a expliqué Casey.

Le processus de restauration a été intense et a nécessité la coordination de plusieurs membres de l'équipe. En s'appuyant sur Datto EDR et sur l'aide des professionnels du SOC de Datto, ITPartners+ a réussi à isoler les serveurs touchés, garantissant ainsi le confinement du ransomware et limitant les dégâts au minimum. Chad a souligné le rôle essentiel de ces outils : « La force de notre équipe et celle de la suite d'outils dont nous disposions — Datto Managed SOC, Datto EDR, Datto BCDR, RMM — ont été déterminantes pour stopper la propagation et restaurer les systèmes affectés. »

Au cours de la procédure de reprise, l'équipe a restauré les serveurs à partir des sauvegardes à l'aide de Datto BCDR, garantissant ainsi l'intégrité des données du client et la reprise des opérations. Le client d'ITPartners+ était de nouveau pleinement opérationnel dès le premier jour de retour au bureau après le week-end férié. Cette intervention rapide a été essentielle pour réduire considérablement les temps d'arrêt, minimiser les pertes et assurer la continuité des activités.

La collaboration entre ITPartners+ et Kaseya s'est avérée être un rempart solide contre l'attaque du ransomware Akira : la détection et l'isolation rapides des systèmes infectés ont permis d'éviter des dégâts importants et d'assurer une reprise rapide. Le client d'ITPartners+ a salué l'efficacité de leur intervention, qui a considérablement réduit l'impact potentiel de l'attaque.

Chad est revenu sur cet épisode en déclarant : « C'est le genre de situation où l'on peut vraiment mettre cette théorie à l'épreuve, où l'on repart soit en se disant : "Oui, ça a fonctionné comme prévu ; nous avons obtenu un résultat positif", soit en ayant le sentiment d'avoir fait le mauvais choix. Dans ce cas précis, nous sommes repartis en nous disant que nous avions choisi le bon produit et le bon fournisseur. »

ITPartners+ a su gérer avec brio ce qui aurait pu être une attaque par ransomware dévastatrice, démontrant ainsi son attachement à ses valeurs fondamentales : fournir un travail d'excellence, cultiver la bonne humeur et voir grand. Son approche proactive, associée aux fonctionnalités avancées de Datto Managed SOC de Datto EDR, a permis à son client de reprendre ses activités normales avec un minimum de perturbations.

Cette étude de cas souligne l'importance de disposer d'une équipe compétente et d'outils de cybersécurité fiables pour lutter efficacement contre l'évolution des cybermenaces.