Le 18 février 2021, l’AFNOR est attaquée par le ransomware RYUK. C’est le retour à un fonctionnement papier/crayon pour l’association française de normalisation dont le système d’information va être bloqué pendant des mois. « Un seul clic d’un utilisateur a suffi pour mettre toute la boîte à genoux, c’est vertigineux, même quand on connait la théorie. La grande majorité de nos systèmes ont été chiffrés. Par bonheur, nos machines Linux n’ont pas été chiffrées, de même que nos sauvegardes étaient intactes. Toutefois nous ne le savions pas au moment de l’attaque. C’est grâce à l’équipe Airbus Protect et à leurs outils de Forensic que l’on s’est rendu compte que celles-ci étaient intactes au bout d’une dizaine de jours.
responsable sécurité du groupe Afnor
Dans notre analyse de risque, nous étions en continuité d’activité maximum, avec deux sites redondants en configuration actif-actif. Le ransomware, lui, ne fait pas de différence : il va sur les deux sites et met fin à la continuité d’activité. L’impact a été direct, du fait aussi de nos mesures. Nous avons pris la décision de tout arrêter. Nous avons perdu tous nos moyens de communication internes, externes, tout accès à nos applications et notre visibilité sur Internet qui a immédiatement chuté.»
La gestion de crise cyber a duré 3 semaines et la remédiation du système d’information complet a représenté 3 mois de travail acharné… pour un simple clic reçu sur une adresse publique de l’association.
