Ransomewar à l’ENS Torcy

Un matin on arrive au centre et il est impossible de se connecter au serveur.
Le serveur est dans le bureau de la comptabilité. Il y a un écran et sur cet écran est écrit un message en anglais qui dit « vous avez été piraté, c’est une demande de rançon. Pour la suite veuillez contacter telle adresse e-mail ».
Et tous les fichiers sont inutilisables, cryptés.ecran_cryptxxx

On avait une société informatique de support qui s’appellait Prodware et qui a contacté l’adresse e-mail. La réponse a été que nous devions payer quelques 2000€ sous la forme d’une monnaie virtuelle, des bitcoins.
Evidemment on a dit non.
On n’avait pas de sauvegarde externe, seulement une redondance de données sur le serveur lui-même qui finalement ne fonctionnait pas.

Ce serveur servait à sauvegarder l’ensemble des fichiers produits dans la maison.
Tous les postes étaient reliés à ce serveur et depuis quelques années chaque salarié avait pris l’habitude, à notre demande, d’enregistrer leurs fichiers sur le serveur.

On s’est donc trouvé dans un sale état !

En ce qui concerne la comptablité, traitée par le logiciel Aïga, elle était enregistrée sur le serveur mais le cabinet comptable disposait d’une sauvegarde plutôt récente chez lui. Ouf !
La compta n’a donc eu que quelques jours de retard et la paye a pu se faire dans les délais.

Notre prestataire d’alors, P***e, a essayé de décrypter nos données.
Cette tentative de décryptage du disque du serveur a pris beaucoup de temps et beaucoup d’argent, bien plus que 2000€.
Le cryptage est survenu en mai 2017 et c’est seulement en octobre que l’on a eu les premiers résultats très partiels du décryptage : un tas de fichiers en vrac, sans indication de propriétaire.

En conséquence, on n’a pas vraiment retrouvé tous les fichiers de notre travail.

Dans les mois qui ont suivi ce cryptage, nous avons subis trois autres attaques de virus qui ont eu pour résultat des écrans noirs et pas d’accès internet. Et nous utilisions toujours le même serveur qu’on avait remis en marche avec un nouveau disque dur.

C’est alors qu’on a estimé que le prestataire P***e faisait mal son boulot, voire qu’il n’était pas suffisament compétent pour notre organisation. Et un peu cher pour le niveau de prestation qu’il nous fournisait (11000€/an) : maintenance du serveur, suivi des postes des salariés, hors EPN, avec une assistance qui répondait quand elle avait le temps et un firewall sans mise à jour.
A l’image de nos compétences quasi inexistantes en la matière.

Alors nous avons décidé de changer de prestataire.
Ca s’est fait en deux temps. D’abord nous avons travaillé avec une société MCG qui a fait un audit de ce dont on pouvait avoir besoin, qui a fait un cahier des charges et mis en concurrence plusieurs fournisseurs. Ils nous ont présenté les propositions commerciales qu’ils avaient reçues pour nous, en commentant chaque proposition. Puis ils nous ont assisté sur la négociation commerciale.

Au résultat nous avons contracté avec la société Averoes pour un contrat de 11000€/an. Même somme que précédemment mais un niveau de service et de compétence sans commune mesure.

Ce nouveau contrat comprend en effet l’assistance de tous les postes, 30, c’est à dire y compris ceux de l’EPN : analyse des appareils connectés, construction d’une arborescence des droits d’accès aux différentes parties du réseau et des serveurs et leurs fichiers pour segmenter les risques d’utilisation.
Sauvegarde interne sur un NAS plus une externe sur le Cloud. Avec un forfait de support.
Ce qui nous a conduit à faire évoluer nos procédures de travail, à réviser nos équipements selon un plan de dépense compatible avec nos financements.

Cette aventure a crée un sentiment d’incertitude sur nos outils bureautiques, une surcharge de travail indiscutable pour reconstituer les fichiers, les inscrits aux formations, aux activités, etc.
Mais Averoes nous a proposé une formation de sensibilisation des salariés aux bonnes pratiques : ouverture des pièces jointes aux emails, vigilance, etc. Averoes a également choisi de s’appuyer sur un salarié, Moussa Kanté, qui fait office de technicien de base, qui centralise les problèmes, en résout lui-même un certain nombre et contacte un technicien d’Averoes dès qu’il n’a pas de solution. La confiance revient après une belle frayeur.

Yanic Gornet

Aller à la barre d’outils