Guillaume Poupard, Anssi : « NotPetya, c’est de la médecine de guerre »

A l’occasion d’un événement qui se tenait hier dans les locaux de la Société Générale, à Val de Fontenay, Guillaume Poupard est revenu sur les conséquences de NotPetya. Parti d’Ukraine, ce faux ransomware – sa vocation semble plutôt de faire le maximum de dégâts possible – a touché diverses entreprises, dont des groupes de la taille de Saint-Gobain, Maersk (transport maritime) ou encore WPP (publicité). Pour le directeur général de l’Anssi (Agence nationale de la sécurité des systèmes d’information), cette souche a créé des situations très sérieuses dans un certain nombre d’organisations : « Aujourd’hui, nous en sommes à effectuer de la médecine de guerre ; on soigne les blessés de façon un peu rapide. » Avec des conséquences opérationnelles sérieuses pour les entreprises concernées.

« Certaines des entreprises touchées sont dans un état catastrophique, avec 80 % de leur informatique à l’arrêt. Et elles ne savent pas quand elles vont redémarrer », ajoute le directeur général de l’Anssi. En réalité, les inquiétudes de Guillaume Poupard se concentrent sur un cas particulier, une entreprise qui n’est pas un OIV (un Organisme d’importance vitale, les organisations dont l’Anssi est chargée d’encadrer la sécurité). Une organisation sur laquelle l’Anssi ne donne évidemment aucune indication.

Saint-Gobain en mode dégradé

Parmi les entreprises françaises les plus durement affectées par NotPetya figure notamment Saint-Gobain. Au sein du groupe industriel, la diffusion du malware a fait de gros dégâts, poussant l’entreprise à demander à des salariés de se mettre en congés ou en RTT. L’attaque a notamment perturbé dans de larges proportions le fonctionnement du siège et des filiales de distribution, les usines de l’industriel semblant moins touchées, même si un haut fourneau a été arrêté par précaution la semaine dernière à Pont-à-Mousson (Meurthe-et-Moselle). Depuis l’attaque, l’entreprise fonctionne en mode dégradé. Avec des prises de commande à la main, des communications effectuées par SMS ou via des mails mis en service sur des systèmes tiers, en urgence.

Dans un communiqué daté du 3 juillet, le groupe anticipe un retour complet à la normale en début de semaine prochaine. Mais ledit communiqué, assez laconique, ne précise pas plusieurs questions essentielles : ni la proportion des systèmes qui seront effectivement opérationnels en début de semaine prochaine, ni la manière dont les activités opérées via des processus alternatifs vont être réintégrées dans l’historique des systèmes, ni enfin, et surtout, si le groupe a effectivement perdu des données au cours de l’attaque. Saint-Gobain indique simplement : « Aucune donnée personnelle n’a été divulguée à des tiers. » Une évidence qui n’est pas vraiment de nature à rassurer, la vocation de NotPetya étant d’effacer des informations, pas de les exfiltrer.

Dans les colonnes de L’Usine Nouvelle, le directeur général de l’Anssi expliquait, en fin de semaine dernière, pourquoi NotPetya s’est montré si destructeur : « Ce logiciel malveillant a été conçu pour se diffuser au maximum au sein de la cible. Certaines entreprises qui avaient pourtant effectué les mises à jour recommandées en termes de sécurité, ont été infectées. » Bref, une souche plus virulente que WannaCry. Même si NotPetya en reprend les mécanismes de propagation (l’utilisation de la faille EternalBlue), il y ajoute d’autres astuces qui accélèrent sa diffusion au sein des entreprises touchées.

WannaCry et NotPetya laissent-ils les DSI de glace ?

Petya : 5 questions pour comprendre le ransomware qui terrorise les entreprises