Tout est bien qui finit bien après l’attaque informatique contre Sopra Steria ? Oui et non. « Ce n’est pas une attaque réussie » déclare Guillaume Poupard, le directeur général de l’Anssi (Agence nationale de la sécurité des systèmes d’information). Il s’est exprimé auprès de l’AFP le 4 novembre.
Le confinement numérique des machines
Certes Sopra Steria a stoppé l’attaque mais au prix de l’arrêt de ses machines et de plusieurs semaines de remise en marche. Comment Sopra Steria a-t-il bloqué l’attaque ? En confinant numériquement des machines. Selon le directeur de l’Anssi, quelques dizaines de machines ont été touchées par l’attaque mais comme Sopra Steria a coupé de nombreux serveurs par mesure de précaution, cela a eu un impact sur ses clients.
Sopra Stera a annoncé le 21 octobre avoir détecté une cyber-attaque la veille au soir. L’entreprise de services informatiques indique avoir identifié le virus. « Il s’agit d’une nouvelle version du ransomware Ryuk. Elle était jusque-là inconnue des éditeurs d’antivirus et des agences de sécurité » souligne la société.
La signature de la nouvelle version du ransomware a été communiquée
Les équipes de Sopra Steria ont fourni toutes les informations nécessaires aux autorités compétentes. « La signature de cette nouvelle version du virus a donc pu être rapidement communiquée à tous les éditeurs d’antivirus pour mise à jour de leurs antivirus. Il a par ailleurs été établi que la cyberattaque avait été lancée quelques jours seulement avant sa détection » pointe Sopra Steria.
A ce jour, Sopra Steria n’a pas constaté de fuite de données ou de dommages causés aux systèmes d’information de ses clients. Après analyse de l’attaque et l’élaboration du plan de remédiation, le redémarrage progressif et sécurisé du système d’information et des opérations de Sopra Steria est engagé depuis le 27 octobre.
Un délai de quelques semaines pour un retour à la normale
Le retour à une situation normale dans l’ensemble de l’entreprise prendra quelques semaines, annonce Sopra Steria. « Les mesures de sécurité immédiatement mises en oeuvre ont ainsi permis de contenir la propagation du virus à une partie limitée des installations du groupe et de préserver nos clients et nos partenaires » conclut Sopra Steria. Bref, une attaque stoppée mais qui va encore perturber Sopra Steria durant plusieurs semaines.
D’où l’ineptie de sous-traiter sa paye à une SSII… et l’urgence de rapatrier ses propres données, et ses propres traitements au sein de ses propres services informatiques.