Une entreprise québécoise victime d’un cryptolocker – Une perte de plus de 250 000 $

Une compagnie de 350 employés s’est fait voler plusieurs informations confidentielles par une société internationale œuvrant dans le vol de données. Cette firme leur exigeait un quart de millions de dollars en Bitcoins pour ravoir leurs données.

bitcoins entreprise

Lorsque le premier employé est rentré travailler samedi matin le 9 mars, il a vite constaté le problème. Tous les terminaux étaient bloqués avec un avis de rançon. Le directeur TI a donc diagnostiqué le virus pour déterminer si c’était possible de remédier à la situation, mais ce n’était malheureusement pas le cas.

« Je ne prenais pas ça au sérieux au début, parce qu’avoir des interruptions de systèmes en raison d’un virus, c’était commun », mentionne le vice-président en charge des TI qui préfère rester anonyme.

De lourdes conséquences

Les employés en charge du problème sont vites devenus dépassés par les événements. La plupart des données opérationnelles de la compagnie étaient cryptées comme le serveur Exchange, la documentation, leurs copies de sécurité et plus encore. Chacune des succursales avait été touchée. Les employés ne pouvaient même pas recevoir ou même envoyer de courriels. Ils n’avaient pas le choix de communiquer par texto, mais c’était complexe, car ils n’avaient pas toutes les coordonnées.

« Les pertes financières sont évaluées à un minimum de 250 000 $ », partage le vice-président qui tentera d’obtenir 125 000 $ de sa compagnie d’assurance. « On a probablement perdu des clients qui se sont tournés vers la compétition » regrette-t-il. Au moins, les données critiques financières n’ont pas été touchées puisqu’elles sont hébergées à l’externe tout en étant protégées par les systèmes ainsi que la sécurité du fournisseur.

Payer la rançon ou tout reformater?

Après de nombreuses recherches, la compagnie touchée découvre que les malfaiteurs font partie d’un organisme sérieux d’envergure internationale qui se spécialise dans le vol de données.

« On avait 2 choix : payer un médiateur pour négocier la rançon pour nous via le Dark Web ou remonter notre infrastructure en partant de nos copies de sécurité. On a fait le choix de rebâtir notre infrastructure tout en conservant la deuxième option comme plan B dans le cas où la récupération des backups ne fonctionne pas comme prévu », précise le vice-président.

30 jours pour remonter à la surface

« La gestion de crise a duré 2 semaines. Après 5 jours, 80 % de nos opérations étaient fonctionnelles pour se dépanner, mais nous avons vécu 4 semaines de stress intense. Les tâches de gestionnaires ne se font pas durant ce temps-là » mentionne le vice-président. « Le café était essentiel et mon directeur TI a même fait un « burn out ». On ne peut pas supporter ça très longtemps, surtout pour une grosse organisation comme la nôtre », précise le vice-président qui ne veut jamais revivre cette situation.

Le devoir des gestionnaires envers les TI

« En tant que gestionnaire, il est important pour nous de comprendre ce qui se passe avec nos TI, connaître notre infrastructure et la documenter pour savoir ce qu’on a en place. », souligne le vice-président qui envisage maintenant l’impartition.

D’ailleurs, la compagnie n’avait rien planifié en cas d’urgence et savait limitées les capacités de son équipe TI. Les informations sur lesquelles la direction s’était basée pour décider de rebâtir l’infrastructure n’étaient pas les bonnes. Les copies de sécurité qui étaient récupérables n’avaient pas été bien organisées ni entretenues. Plusieurs mois de données ont malheureusement été perdus.

Impartir et mieux prévenir

« Il faut se poser la question à savoir si c’est pertinent d’avoir une équipe et un directeur TI à l’interne parce que ces gens sont parfois mal formés. Selon moi, il y a 4 volets importants à considérer : la sécurité, l’infrastructure, le support aux usagers et la stratégie. À mon avis, ils doivent tous être impartis afin que les gestionnaires visent au bon endroit. », conseille le vice-président qui considère la prévention auprès de ses employés toute aussi importante. « Nos employés sont responsables de 99 % des failles de sécurité, courriels d’hameçonnage, installation d’un logiciel malveillant, etc. » Une campagne de prévention sera réalisée auprès des employés avec des tests d’hameçonnage ciblés en plus de tests d’intrusion.

Simon Fontaine
Président
ARS Solutions

Faites partie des premiers à être au courant des nouveaux événements de Niviti en plus de recevoir notre contenu exclusif.