L'approche en trois volets de Jera-IT en matière de gestion des incidents et de reprise après sinistre

L'attaque par le ransomware Akira

Un matin, le service d'assistance de Jera-IT a commencé à recevoir de nombreuses demandes d'assistance de la part d'un client, car plusieurs de ses serveurs étaient hors ligne. Après diagnostic, l'équipe de Jera-IT a constaté que le client disposait encore de nombreux serveurs en ligne et opérationnels. Comme l'équipe était déjà en pourparlers avec ce client au sujet de modifications et de mises à niveau de ses serveurs, l'hypothèse initiale était celle d'une panne physique de l'hôte.

Cependant, en examinant la situation de près pour remettre tous les serveurs en ligne, l’équipe de Jera-IT a rapidement découvert des dommages liés au chiffrement des données ainsi qu’un fichier texte intitulé « Akira », laissant supposer qu’il s’agissait d’un cyberincident. « C’est à ce moment-là que j’ai été convoqué pour participer à une réunion avec mes ingénieurs afin de les aider. Je suis dans le métier depuis assez longtemps pour savoir à quoi nous avions affaire et ce que nous devions faire », se souvient Clark.

Après une analyse plus approfondie, l'équipe de Jera-IT a découvert que près de 90 % des services du client avaient été chiffrés jusqu'au niveau du système d'exploitation et des machines virtuelles (VM). Cependant, les pirates n'ont pas pu compromettre l'ensemble du réseau, car Jera-IT avait installé certains des serveurs et contrôleurs de domaine du client dans d'autres sites.

« Nous sommes partis du principe que tout le réseau était infecté et avons mis en œuvre un plan complet de reprise après sinistre (DR). Nous avons déconnecté tous les appareils d’Internet et avons dû trouver d’autres moyens, ne serait-ce que pour communiquer entre nous », explique Clark.

L'approche en trois volets

« Pour faire face à cette situation, nous avions trois axes d’approche, chacun abordant le problème sous un angle différent », explique Clark. « Avant tout, notre client devait à tout prix poursuivre ses activités. Ensuite, une société spécialisée dans la gestion des incidents (IR) tentait de tout mettre hors d’atteinte avec un grand ruban adhésif sur lequel était écrit : “Ne pas toucher”. Puis il y avait nous — et c'était sans doute le défi le plus difficile de tous — qui essayions d'aider le client à se remettre sur pied et à reprendre ses activités, tout en conciliant ces trois axes et en cherchant une solution qui convienne à tout le monde », ajoute-t-il.

La première chose que Jera-IT a faite pour faire face à cette situation a été de se tourner vers Datto. « Nous travaillons depuis des années avec ce client, qui utilise les sauvegardes Datto, et nous étions certains que ces sauvegardes étaient fiables. C'est d'ailleurs ce qui nous a sauvés », déclare Clark.

Résultat : tout fonctionne à nouveau

Grâce à la solution de reprise après sinistre robuste de Datto, Jera-IT a pu restaurer certaines des applications critiques du client hébergées dans le cloud, lui permettant ainsi de poursuivre ses activités malgré la situation chaotique. Par la suite, l'équipe de Jera-IT a réussi à maîtriser le problème et a commencé à remettre les serveurs en ligne de manière contrôlée. Elle a déployé des outils sophistiqués pour comprendre comment l'auteur de la menace s'était infiltré dans le réseau et quels dommages avaient été causés.

Chaque serveur a été nettoyé et sécurisé à l'aide de mots de passe, de pare-feu et d'autres services essentiels avant d'être remis en ligne. Un service de détection et de réponse aux incidents au niveau des terminaux (EDR), qui n'avait jamais été déployé auparavant, a été installé sur ces serveurs. En l'espace d'un mois, tous les services destinés aux clients étaient de nouveau opérationnels.

« Pour être honnête, le client n’a pas perdu un seul jour de production, et l’une des principales raisons à cela, ce sont les sauvegardes de Datto. Sans elles, nous n’aurions jamais pu récupérer les serveurs dans le cloud, ni rétablir les services du client comme nous l’avons fait », affirme Clark.

Les points clés à retenir pour les MSP et les entreprises

Selon Clark, cette histoire donne matière à réflexion tant pour le MSP que pour le monde des affaires.

« Chaque fois que je m’entretiens avec des décideurs du secteur des PME, ils me disent souvent qu’ils n’ont pas assez de budget pour renforcer leur cybersécurité — mais il est étonnant de voir comment ce budget se trouve soudainement disponible pour remédier à un incident de cybersécurité lorsqu’il les touche », commente Clark. « Au début de cet incident, le client ne disposait pas d’une solution EDR, et si je lui avais parlé d’une solution EDR à ce moment-là, je peux vous garantir que je n’aurais pas obtenu la réponse que j’espérais. Cependant, aujourd’hui, il a mis en place un service EDR complet. Il est donc intéressant de se demander pourquoi les gens attendent que de tels incidents se produisent pour renforcer leur cybersécurité. »

Clark souligne en outre que ces incidents de cybersécurité constituent également une préoccupation majeure pour les MSP. Il ajoute : « Même si les MSP pensent qu’un plan de continuité des activités ou un plan de reprise après sinistre leur permettrait de se sortir de tels incidents, ils ne sont pas préparés à l’impact que ces incidents pourraient avoir sur leur activité. La plupart des MSP fonctionnent à 90 % de leur capacité maximale, et un tel incident de cybersécurité aurait des répercussions considérables sur leur personnel. »

Clark nous rappelle que la cybersécurité est un parcours continu qui n'a pas de point d'arrivée. « Cela risque de déplaire aux chefs d'entreprise, mais le débat sur la cybersécurité ne cessera d'évoluer au fil du temps », conclut-il.