Personnel, la revue de l’ANDRH

Groupe Afnor : Réagir efficacement à une cyberattaque | Personnel n°612

Groupe Afnor : Réagir efficacement à une cyberattaque | Personnel n°612

En février dernier et en pleine pandémie de Covid-19, le groupe Afnor a vécu une cyberattaque, l'obligeant à stopper le système d'information du groupe. Cellule de crise, communication, accompagnement des équipes... Retour d’expérience avec Laurence Breton-Kueny, DRH du groupe Afnor, vice-présidente nationale de l’ANDRH, experte de la continuité d’activité et du management des risques RH*.

Propos recueillis par Anaïs Coulon, ANDRH

Lien.png>> Article publié dans le dossier "Tech & RH" du numéro de juillet-août de Personnel, la revue de l'ANDRH

Vous avez subi une cyberattaque en février dernier. En quoi a-t-elle consisté ?

Laurence Breton-Kueny : Le 18 février 2021 matin notre système d’information a été attaqué par un rançongiciel et un certain nombre de fichiers ont été cryptés. La direction générale a pris la décision de stopper le système d'information du groupe. Nous n'avions donc plus de messagerie, plus de sites internet fonctionnels, plus de réseau interne… et les ordinateurs qui étaient connectés au réseau ont du être fermés. Cette décision courageuse est la seule possible quand on subit une cyber-attaque car on ne connait pas la nature de l’attaque, l’ampleur des dégâts et quelles sont les parties infectées.

« L’origine de l’attaque, identifiée par la suite, vient d’une pièce jointe trompeuse ouverte par un salarié. »

Le bon réflexe est donc de tout couper en souhaitant préserver l’essentiel du système d’information. L’origine de l’attaque, identifiée par la suite, vient d’une pièce jointe trompeuse ouverte par un salarié, ce que l’on appelle un « phishing ». En l’occurrence, suite à l’action des cybercriminels, une variante du virus Ryuk, dotée de capacité de propagation autonome supplémentaire, a été utilisée, capable, après désactivation progressive des différentes sécurités, de remonter ensuite vers le cœur du système.

Une fois les systèmes d’information coupés, comment avez-vous continué votre activité ?

L. B-K : A la suite de cette décision, plusieurs équipes ont travaillé en parallèle. La première, composée notamment de la direction des systèmes d’information, de notre cabinet spécialisé en cybersécurité, engagé depuis plusieurs années dans le cadre de notre démarche NF EN ISO/IEC 27001 (Management de la Sécurité des Systèmes d’information) et de l’Agence Nationale de la sécurité des Systèmes d’Information (ANSSI), a eu pour premier objectif d’établir un diagnostic de l'attaque subie pour mieux la comprendre et engager les actions les plus appropriées. La cellule de crise composée du COMEX ainsi que du responsable de la Sécurité des Systèmes d’Informations, de la responsable communication et de la responsable juridique a été activée avec pour objectif de poursuivre autant que possible l'activité par des moyens de contournement.

« Dès le départ, en accord avec la gouvernance d’AFNOR et l’ANSSI, il a été décidé de refuser de payer la rançon demandée dont nous ne connaissons d’ailleurs toujours pas le montant. »

La priorité a été de rétablir la communication avec les salariés et les clients. Ont ainsi été déployés un nouveau système de messagerie, de nouvelles adresses e-mail, d'outils collaboratifs, de plateformes de stockage de données… afin de poursuivre notre activité dans des conditions convenables. Les salariés ont pu utiliser leur ordinateur portable personnel lorsqu'ils en possédaient un et chaque direction s'est organisée pour que l'activité puisse reprendre dès que possible. Cependant une partie de nos salariés a été placé en activité partielle parce qu'elle ne pouvait tout simplement pas travailler.

Côté direction, nous nous sommes retrouvés en cellule de crise deux fois par jour tous les jours, pendant plusieurs semaines, puis à raison d'une fois par jour et enfin d'une fois tous les deux jours. Enfin des équipes de volontaires ont été mobilisées pendant plusieurs week-end pour conduire les opérations de sécurisation de l’ensemble des PC (analyse intégrale, application des derniers correctifs etc..). Ce fut une véritable chaîne de solidarité, chacun étant bien conscient des enjeux lié à un retour à la normale dans les délais les plus courts.

Comment avez-vous communiqué auprès des salariés ?

L. B-K : Nous avons communiqué très tôt sur ce que nous vivions, auprès de nos salariés et clients notamment, en toute transparence. Le plan de continuité de l'activité pandémie grippale de 2009 du groupe Afnor, que j’avais mis en place, avait été réactivé et réactualisé  au début de l’épidémie de Covid-19 en 2020. Il était prévu dans ce plan de continuité d'activité, un système d'envoi de SMS (SMS Factor) qui me permet de communiquer avec tous les salariés du groupe. Nous possédons un portail RH depuis 2010 qui assure un stockage des données confidentielles de salariés, avec l’accord de ceux-ci. Nous avons envoyé un SMS pour prévenir les salariés et les orienter vers un site d’information de secours où les informations générales et par métiers étaient mises en ligne. 

« La Direction Financière a dû trouver une banque qui accepte que nous effectuions des paiements par virement à destination des salariés. »

Au bout de deux mois, 95 % du notre système d'information était de retour grâce à l’action des équipes internes, épaulées par le cabinet de cyber sécurité. Il est important de rappeler que dès le départ, en accord avec la gouvernance d’AFNOR ainsi qu’avec les équipes de l’ANSSI, il a été décidé de refuser de payer la rançon demandée dont nous ne connaissons d’ailleurs toujours pas le montant. Chaque rançongiciel (dans notre cas RYUK) communique ce montant de façon différente et dans notre cas il fallait aller le voir dans le dark net. 

La ou les personnes ayant fait cette erreur ont-elles été mise au courant ?

L. B-K : Non, et c’est là un point très important : une des règles en cybersécurité dans ce cas de figure est de ne pas prévenir la ou les personnes concernées car il s’agit d’un élément qui pourrait être traumatisant pour elles. De plus, les éléments contenus dans le mail étaient tout à fait crédibles et d’autant plus trompeurs.

Qu’est-ce que cette cyber-attaque a impliqué pour les RH ?

L. B-K : Nous avons été extrêmement présents pour réagir et accompagner le collectif face à cette cyberattaque : mobiliser tous les salariés, mettre en place l’activité partielle, collaborer à la cellule de crise, garantir la continuité d’activité...

L'une des principales difficultés a été la paie, car dans ce domaine aussi, nos outils étaient hors-service. Le 18 février la paie du mois n'était pas partie et nous ne pouvions plus y avoir accès. Nous avons donc dû retrouver le fichier du mois précédent en travaillant de concert avec la Direction Financière avant que ce fichier ne soit crypté, le re-travailler et ensuite la Direction Financière a dû trouver une banque qui accepte que nous effectuions des paiements par virement à destination des salariés. Nous avons dû utiliser cette technique trois mois de suite. Impossibilité de payer les charges sociales, il a fallu prévenir tous les organismes. C'était une situation inédite !

« Il est essentiel de prévoir et d'anticiper des plans de continuité de l'activité afin de ne pas être pris de cours lorsque des situations comme celles-ci surviennent. »

Quels sont vos conseils à destination des professionnels RH à ce sujet ?

L. B-K : Renseignez-vous bien en amont sur les assurances cybersécurité (il y a un volet RH) et faites-vous accompagner en amont par un cabinet spécialisé cybersécurité. Formez bien les salariés aux risques d’hammeçonnage et regardez bien la norme ISO 27001, qui contient de précieux conseils. Ce qui est important lorsque vous êtes attaqués c'est de réagir très vite et d’être bien accompagné afin d’anticiper autant que possible. Les recommandations de l’ANSSI, organisme public de lutte contre les cyberattaques sont également très utiles

De manière plus générale, la question des cyberattaques tout comme celle de la pandémie de Covid-19 place sur le devant de la scène deux sujets parfois oubliés par les RH : la continuité de l'activité et le management des risques. Il est essentiel de prévoir et d'anticiper des plans de continuité de l'activité afin de ne pas être pris de cours lorsque des situations comme celles-ci surviennent. Il faut également être en capacité en tant que DRH d'avoir une vision globale des risques encourus par l'entreprise dans tous les domaines. Au niveau de mon groupe, nous souhaitons témoigner et partager notre expérience, et en interne continuer de sensibiliser et de former chacun aux bons réflexes pour diminuer les risques. Cependant, nous savons également que cette situation peut se reproduire à l'avenir, car l’erreur est humaine, et les cybercriminels de plus en plus équipés, d’où l’intérêt d’être très vigilants. 

Lien.png>> Je découvre la sélection d'articles en accès libre de Personnel ! 

* : Réaliser un PCA Pandémie grippale dans une organisation : Pourquoi et comment ?  - Edition Afnor 2008, Sandrine Segovia-Kueny, Laurence Breton-Kueny


Partager cette publication :

Articles similaires :