Ce qui est arrivé
Ce lundi du mois de septembre 15h, mon téléphone sonne :
« Bonjour, Cédric, nous n’avons plus accès au serveur ! »
Je me connecte au serveur, et le problème est sous mes yeux :
Tous les fichiers du serveur sont chiffrés, y compris les bases de données SQL Serveur.
Un serveur pas comme les autres
Ce n’est pas simplement un serveur chiffré, c’est un serveur qui doit être disponible 24h/24 7 jours/7 pour les clients de mon client.
Comme il doit être accessible depuis internet, il est hébergé chez Ovh. Ce qui signifie, pas d’accès direct au serveur.
Enfin, et le plus important, est que ce serveur stocke 10 To de données ! A titre d’exemple, une PME de 60 personnes produit environ 0,5 To de données par an. Une agence marketing, environ 1 To par an.
Le problème
Récupérer et remettre en service 10 To de données cela demande du temps, environ 20 heures. La moindre erreur dans la récupération des données et c’est une journée d’attente.
La technique
J’avais par le passé testé les solutions de sauvegarde de fichier fourni pas Ovh, mais les performances n’étaient pas bonnes pour sauvegarder des fichiers volumineux de plus 0,5 To.
Pour réaliser la sauvegarde, j’utilise Synology Active Backup depuis un serveur Synology hébergé en datacenter Suisse.
Cette solution permet de sauvegarder de petits et gros volumes de fichiers avec rapidité, et surtout sans que l’on puisse accéder aux données sauvegardées.
Grâce à cette technique de sauvegarde, j’ai pu récupérer l’intégralité des données rapidement.
Membre du réseau Cybermalveillance
En tant que membre du réseau national du réseau Cybermalveillance, j’ai déclaré l’incident, et incité mon client à porter plainte.
25 heures plus tard
Il nous a fallu 25 heures pour restaurer et remettre en condition opérationnelle le serveur. Les clients de mon client ont pu se connecter sur le serveur à partir du mardi 16h.
La face cachée du ransomware
Une fois les données récupérées, j’ai pu procéder à une analyse :
- Analyse de l’attaque
- Analyse de la réponse apportée
Analyse de l’attaque
Le ransomware a chiffré le fichier lundi vers 15h, mais en regardant les logs de transfert de fichier, nous avons eu une surprise !
Le ransomware s’est tranquillement installé le vendredi après midi, a siphonné les données pendant tout le week-end, et enfin a chiffré le serveur.
Pendant qu’il était présent, il a bien pensé à bloquer toutes les taches planifiées.
Comme le serveur ne contient aucune donnée personnelle, il n’y a pas eu besoin de faire une déclaration à la CNIL.
Analyse de notre réponse
A la suite de l’incident, nous avons réalisé un rapport d’analyse de tout ce qui a marché, et de ce qui n’a pas marché.
Par exemple la sauvegarde ne comprenait pas le fichier de configuration du serveur FTP. Il a fallu recréer les comptes.
Au cours d’une réunion avec notre client, nous avons fait un point sur les améliorations possibles pour l’avenir et le coût de ces améliorations.
Le témoignage de notre client
Anthony Perrier — Kayousoft
Cédric DELBERGHE : Pouvez-vous en quelques lignes nous décrire votre entreprise, son activité, ses clients, ses spécificités ?
Anthony Perrier : Nous sommes éditeurs de solutions numériques exclusivement réservés pour l’industrie des carrières.
La solution de Carrière Connectée® est notre solution de Big Data pour nos clients.
La solution de Carrière Intelligente® est notre solution de contrôle commande pour le pilotage des installations de traitement.
CD : Décrivez votre situation avant votre appel à nos services ?
AP : Notre solution de Carrière Connectée® en ligne n’était plus accessible, en regardant rapidement sur notre serveur nous nous sommes aperçus que toutes nos données étaient cryptées.
CD : Quelle action avons-nous menée pour vous solutionner votre problème ?
AP : Rapidement la décision a été prise de supprimer le serveur existant et de remonter un nouveau serveur et la sauvegarde de l’ensemble de nos données clients.
CD : Pourquoi recommanderiez-vous notre service ?
AP : La société DAVIS est intervenue immédiatement et a consacré le temps et l’énergie nécessaire face à cette situation pour permettre un retour rapide et intègre de notre service.
CD : Y a-t-il un point particulier qui vous tient à cœur ?
AP : La fiabilité du système de sauvegarde nous a permis d’écarter rapidement la solution de négociation d’un ransomware.
L’interruption finalement très courte de notre service et aucune perte de données à déplorer a crédibilisé davantage notre société vis-à-vis de nos clients.
CD : À votre avis, que pouvons-nous améliorer ?
AP : A postériori une fois « la crise » passée, la société DARVIS a fait une analyse détaillée de ce qui s’était passé.
Ils ont déjà mis un certain nombre de mesures en place pour renforcer les accès au serveur et limiter un maximum les attaques mais aussi améliorer davantage les procédures de sauvegarde pour fluidifier encore un retour à la normale si nécessaire.
Des chiffres
- Le serveur tourne 24h/24 7 jours/7 en SQL Serveur depuis 4 ans
- Il intègre chaque jour 3 000 000 millions de lignes
- La taille des données est d’environ 10 To
- Le temps de réponse lors de la consultation de données inférieur à 3 secondes.
[…] Pour éviter de si lourdes pertes, il est recommandé de solliciter l’expertise d’un professionnel autant dans le domaine de la cybersécurité que de la résilience informatique. Savoir se défendre, c’est bien mais savoir encaisser, c’est mieux. En plus d’offrir une sécurité monitorisée à 360°, le DSI externalisé s’appuie alors sur un plan de sauvegarde et de restauration éprouvées. […]