En février 2021, AFNOR est victime d’une cyberattaque. Pendant plusieurs jours, l’organisation doit couper ses systèmes d’information, avec des répercussions opérationnelles pendant près de 3 mois. Olivier Peyrat, Directeur Général du Groupe AFNOR, et Frédéric Leconte, Directeur des Systèmes d’Informations du Groupe AFNOR, partagent les enseignements tirés de cette expérience.
Créée en 1926, l'Association française de normalisation (AFNOR) co-conçoit des normes volontaires à dimension internationale ou européenne, voire exclusivement françaises dans certains cas. Le groupe AFNOR accompagne les entreprises dans la conception de ces normes, leur diffusion, ainsi que dans les domaines de la formation et la certification. Il est au cœur d’un écosystème connecté de plus de 69 000 clients à travers le monde, un positionnement central qui en fait une cible de choix pour les cybercriminels.
Olivier Peyrat,
Directeur Général
Groupe AFNOR
Frédéric Leconte,
Directeur des Systèmes d’Informations
Groupe AFNOR
Pouvez-vous nous raconter cette cyberattaque ?
Tout a commencé le jeudi 18 février 2021 en début de matinée. Nous nous sommes aperçus que certains de nos fichiers avaient été cryptés et que nos serveurs devenaient inaccessibles. Trois jours auparavant, un mail de phishing avait été envoyé à partir d’un serveur d’attaque. Traditionnellement, les pirates ont l’habitude de rester longtemps en ‘eau profonde’ pour accumuler un maximum de failles chez leur cible, mais ici, le mode opératoire de ce groupe était radicalement différent. Une fois à l’intérieur de notre système, ils ont agi très vite.
Olivier Peyrat
Directeur Général du Groupe Afnor
Quelle a été votre réaction lorsque vous avez détecté l’intrusion ?
Frédéric Leconte : Une fois notre système d’information coupé, nous avons aussi voulu comprendre très vite ce qui s’était passé. Un prestataire en cybersécurité est intervenu pour nous aider à étudier les traces de l’attaque et identifier l’origine du problème. En trois jours, on a pu reconstituer avec certitude toute la chaîne de contamination.
Olivier Peyrat : Immédiatement, nous avons mis en alerte toute l’équipe informatique. Puis nous avons pris la décision d’arrêter nos systèmes d’information et de demander à l'ensemble de nos collaborateurs de ne plus utiliser leurs outils numériques. Ce n’était pas une décision facile à prendre, mais c’est ce qui devait être fait pour protéger nos collaborateurs, nos clients et nos partenaires.
Comment avez-vous réussi à communiquer alors que vos systèmes d’information étaient coupés ?
F.L. : La communication était effectivement un enjeu clé à ce moment-là, que ce soit à l’intérieur d’AFNOR ou vis-à-vis de nos fournisseurs et clients. Pour partager les informations en interne, nous avons utilisé un système d’envoi en masse de SMS et activé un site web d’urgence que nous avions déployé précédemment. Pour l’externe, nous avons installé une messagerie électronique de secours accessible en webmail. Tous les appels téléphoniques entrants étaient redirigés vers un prestataire.
O.P. : En février 2021, nous étions en pleine pandémie. Une bonne partie des collaborateurs était chez eux en télétravail. Il était donc essentiel de garder le contact et de soutenir nos 1 200 collaborateurs et de tous rester mobilisés, malgré la déconnexion provoquée par la cyberattaque.
Et comment vous êtes-vous réorganisés pour faire face à la crise ?
F.L. : À partir de là, nous avons commencé à nettoyer les systèmes d’information et à reconstruire brique par brique toute notre infrastructure. Les priorités étaient décidées chaque jour au niveau du Comex. Au bout de huit jours, notre site était à nouveau opérationnel, puis il nous a fallu trois mois pour retrouver notre système d’information au grand complet.
O.P. : Nous avons mis en place plusieurs cellules de crise : une cellule dédiée à la DSI pour répondre techniquement à l’attaque, des cellules par métier pour répondre à nos clients ou partenaires, et enfin une cellule de crise au niveau décisionnel, directement en lien avec le Comex.
À la suite de cette attaque, qu’avez-vous mis en place pour renforcer votre cybersécurité ?
F.L. : Après l’attaque, nous avons fait évoluer nos outils et nous avons reconstruit différemment notre infrastructure système. Le but est que d’éventuelles backdoors (programmes informatiques malveillants) laissées par les pirates ne puissent pas être réactivées.
O.P. : Nous avons aussi mené des actions concrètes au sein du Groupe AFNOR, dont un challenge collectif sur le renforcement des mots de passe, qui nous permet d’avoir des statistiques sur l’amélioration de notre protection globale. En mobilisant chaque collaborateur, nous voulons prévenir l’apparition d’un maillon faible. Aujourd’hui, chacun sait qu’il est à la fois potentiellement un vecteur ainsi qu’une sentinelle en cas de cyberattaque.
Quels conseils pourriez-vous donner aux organisations pour se préparer à ce type d’attaque ?
F.L. : Même quand on est préparé, ce type d’épreuve est plus dur à gérer que ce que l’on croit. Mais il ne faut pas être paralysé par l’ampleur de la tâche. Chaque action compte. Chaque étape de préparation franchie permet d’être plus résilient et de redémarrer plus vite le moment venu.
O.P. : Pour les managers, il est vital de s’informer et de se former régulièrement. Il faut pouvoir dialoguer en amont avec les experts cyber (internes ou externes) pour mieux mesurer la gravité réelle de la situation et les scénarios possibles. Cela permet de mesurer régulièrement notre niveau de dépendance vis-à-vis des systèmes d’information et nos capacités à fonctionner en mode dégradé si nécessaire. Deuxième conseil : il faut se préparer à communiquer régulièrement à la fois avec ses collaborateurs, ses clients, son écosystème. En transparence, il faut expliquer ce qui se passe à chaque étape de la crise. Nous nous sommes efforcés de communiquer rapidement avec l’humour et la transparence qu’il fallait via les réseaux sociaux.
Dans ce but, en quoi les normes en cybersécurité permettent-elles de mieux s’organiser ?
F.L. : Ce sont des outils qui renforcent la robustesse des systèmes d'information. Dans ce domaine, la norme volontaire ISO 27001 est un moyen de s’assurer que tous les processus sont en place pour gérer les risques et préparer les plans d’action lors d’attaques. Au niveau européen, le Cybersecurity Act de 2019 devrait aussi être transcrit en normes prochainement.
O.P. : Pour aider les entreprises à s’organiser, nous préparons une AFNOR Spec dédiée à la cybersécurité. Ce document - sur lequel des experts d’Orange Cyberdefense collaborent - a vocation à recenser les bonnes pratiques utilisées par les structures victimes de cyberattaques, afin d’assurer une continuité d’activité. L’objectif de ces outils est de partager de l’expertise et des savoir-faire pour contribuer à améliorer la résilience collective aux cyberattaques.