Sept mois après, Cérèsia nous raconte sa cyberattaque

[caption id=« attachment_93259 » align=« alignright » width=« 251 »]

« La sécurité informatique, c’est 50 % de technique et 50 % de process, explique Olivier Bacon. Chaque salarié de l’entreprise doit être vigilant. »[/caption]

« L’attaque a eu lieu le 20 novembre 2020, un vendredi soir. Les premières alertes ont été données le samedi matin quand plusieurs salariés n’ont pas réussi, depuis leur téléphone portable, à se connecter à l’intranet de l’entreprise, se souvient Olivier Bacon, directeur des opérations chez Cérèsia. Les informaticiens se sont très vite rendus au siège et ont constaté que l’entreprise faisait l’objet d’une cyberattaque. Tout notre système, interne et externe, était paralysé. Pas de demande de rançon clairement affichée mais un message, en russe, « Bon courage à vous ». »

5 ou 6 individus connectés la nuit de l’attaque

Six mois après, tout n’est pas complètement réparé mais les premières remises en route ont pu avoir lieu début janvier ce qui, aux dires des experts, est plutôt rapide. Car en plus des 15 informaticiens du groupe qui sont fortement sollicités depuis novembre dernier, Cérèsia a fait appel à des compétences externes, dès le lundi suivant l’attaque. « Des traces de préparation de l’attaque ont été repérées dans notre système informatique près de trois mois avant le jour J, poursuit-il. À priori, cinq ou six individus étaient connectés la nuit de l’attaque : des humains et non des robots, ce qui nous incite à penser que ces personnes ont agi sur commande. »

À l’origine, peut-être la Russie

Cérèsia a bien évidemment déposé plainte à la gendarmerie. « Mais les renseignements généraux se sont emparés du dossier, précise-t-il. D’autres entreprises agricoles ont également été touchées en 2020. Certains évoquent une attaque de la Russie pour déstabiliser l’activité agricole française. Dans notre cas, des données ont peut-être été revendues sur le « dark web » mais je ne pense pas que notre politique commerciale ait beaucoup de valeur sur le marché parallèle ! L’idée était plutôt de tout casser de l’intérieur, de tout saccager, de perturber l’activité du groupe. En France, peu d’entreprises paient des rançons. Les hackers le savent. Ils agissent sur d’autres leviers. »

Les logiciels d’attaque, en perpétuelle évolution

Bien sûr, comme toute structure, Cérèsia se protégeait déjà contre de telles attaques. « La gestion de crise fait partie de notre métier, concède-t-il. Nous avions même commencé à rédiger un PRA, un Plan de retour sur activité. Le plus important quand tout est arrêté est de savoir quel bouton rallumer en premier. Nous nous sommes vite aperçus que dans une telle situation, la contrainte métier n’est malheureusement pas toujours la priorité. Celle qui dicte tout, c’est la technique. Et dans ce domaine, les logiciels d’attaque évoluent tous les six mois. En face, les systèmes de résolution ne vont pas toujours aussi vite. C’est une course permanente à la technologie qui peut prendre du temps : les hackers ayant souvent un coup d’avance. »

Un préjudice estimé à 400 000 €

En 2020, le groupe réfléchissait justement à la nécessité, ou non, de souscrire une assurance contre les cyberattaques. « Le dossier reste à étudier, confie Olivier Bacon. Pour une entreprise comme la nôtre, le bénéfice assurance/coût doit être calculé. Au sein du groupe, les avis sont partagés. En cas d’attaque, nous subissons un arrêt de notre système d’exploitation mais nous n’avons pas d’usines et donc, pas vraiment d’arrêt de production. Le préjudice est donc plus difficile à chiffrer. Ces derniers mois, le papier a remplacé l’informatique : nos clients ont continué à être livrés et nos agriculteurs, à être approvisionnés. Nous n’avons pas eu de perte directe. Pour autant, les processus de contrôle de gestion du groupe ont été bloqués pendant quatre mois rendant compliquée la bonne maîtrise des activités économiques et créant des préjudices indirects importants. Au total, le préjudice subi s’élève quand même à 400 000 € : près de 250 000 € dédiés au temps humain pour réparer le système informatique et 150 000 € pour le matériel et des prestations diverses. Sachant que sur cette enveloppe, certaines opérations étaient déjà programmées : leur mise en place a de fait été accélérée. »

Recrutement d’un RSSI

Une chose est sûre, une protection à 100 % n’existe pas. « La sécurité informatique, c’est 50 % de technique et 50 % de process, poursuit Olivier Bacon. Pour renforcer la partie technique, un RSSI (Responsable de la sécurité des systèmes d’information) vient d’être recruté. Sa mission ? Mettre à jour les process, les données de sécurité et faire en sorte qu’elles soient bien appliquées par tous. Chaque salarié doit se sentir concerné. Cette vigilance n’est pas toujours facile à faire comprendre car effectivement, changer les mots de passe tous les six mois, cela ennuie tout le monde ! Certaines mauvaises habitudes doivent être changées. »

Une bienveillance du directeur et du président

Olivier Bacon tient à souligner la bienveillance de son directeur et de son président qui « ne nous ont pas mis la pression durant cette période d’intense activité pour nos équipes. Et pourtant, bien évidemment, tout le monde était impacté dans son quotidien. Ressentir la confiance de nos collègues nous a permis de travailler sereinement », conclut-il.