L’adage célèbre que cite volontiers François-Xavier Vincent, directeur de la sécurité groupe, trouve bien à s’appliquer au cyber incident que le groupe a connu à la rentrée. Plus facile évidemment à dire après coup… Retour sur le déclenchement de cet épisode. Et sur les leçons apprises de cet incident avec le directeur de la sécurité groupe, et le directeur de la communication, Olivier Beaunay.
Dimanche 20 août, François-Xavier Vincent reçoit un message personnel qui lui indique qu’un groupe de hackers, Stormous, se vante sur le Dark Web d’avoir piraté Econocom… L’information devient rapidement publique sur X (ex-Twitter). Le SOC (centre des opérations sécurité) interne Econocom est immédiatement informé et procède aux premières investigations. « Ce type d’alertes est très fréquent, et il faut donc vérifier au préalable l’authenticité de l’information, et qualifier davantage l’incident potentiel en termes d’impact », précise François-Xavier. De fait, dans un premier temps, les informations publiées sont assez anciennes et laissent penser qu’il s’agit d’une résurgence de l’attaque vécue par le groupe en 2020…
La pression monte…
François-Xavier Vincent
Le lundi, un article du MagIT donne plus d’ampleur au sujet, et nos clients commencent alors à nous interroger. Une première coordination se met en place le jour-même, et l’équipe externe de réponse à incidents est activée en soutien du SOC interne. A ce moment-là, le groupe identifie néanmoins davantage un risque d’image qu’un réel incident technique. Or, le lendemain vers midi, Stormous communique sur le fait que le piratage est avéré, qu’Econocom refuserait de parler avec eux et ne prendrait donc pas aux sérieux les données de ses clients et de ses employés ! La pression monte… Une cellule de crise est mise en place[1] et se réunira dès lors tous les jours. D’autant que l’on découvre alors la publication de documents plus récents. Le mardi après-midi, certains documents qui ont fuité sont en effet identifiés sur deux espaces de partage Econocom au sein de la direction Services France. Le RSSI de la direction, Stéphane Pouvil, est alors contacté, et la mécanique de gestion de crise s’enclenche alors à plein régime tant au niveau du groupe que des métiers.
Stormous, not enormous…
La suite de l’incident est connue à travers les communiqués tant internes qu’externes publiés tout au long de l’incident et jusqu’à sa résolution. En trois jours, la suite des investigations démontre que la fuite venait d’un prestataire – qui a été immédiatement cantonné –, et confirme dans la foulée, malgré une alerte sur un serveur du groupe, que les systèmes et les bases de données Econocom n’ont pas été compromis. Bref, l’impact apparaît très circonscrit. En termes de perception pourtant, la « crise » est lancée, et il faut donc gérer simultanément les investigations techniques et la communication, à destination en particulier des clients et des médias. L’incident rentre dans sa phase de résolution le jeudi suivant et est officiellement clôt le mercredi 6, laissant alors place à la phase de remédiation qui suit désormais son cours.
Leçons apprises
Olivier Beaunay
« Ni trop tôt ni trop tard, ni trop ni pas assez »
Quelles leçons tirer de cet incident ? De nombreuses pistes d’amélioration sont naturellement envisagées, qui feront l’objet le moment venu d’un plan d’ensemble pour renforcer encore la sécurité du groupe. L’incident a néanmoins confirmé l’importance de bien communiquer, et cela dès l’origine de l’alerte dès lors qu’elle prend un caractère public. « Ni trop tôt ni trop tard, ni trop ni pas assez », résume Olivier Beaunay, directeur de la communication groupe. Une approche pragmatique, qui insiste également sur la nécessité de cibler les médias clés en évitant la déperdition d’énergie.
C’est de fait l’interview de François-Xavier Vincent avec le MagIT qui permettra de retourner le principal média source de l’incident qui, avec d’autres – fait assez rare pour être noté – saluera dans la foulée la transparence et la réactivité du groupe… Quant aux réseaux sociaux, ils sont délibérément mis à l’écart. Olivier précise : « En situation de crise, on y intervient en effet que dans deux cas de figures : lorsqu’il y a des erreurs factuelles, et lorsque les posts concernés représentent un potentiel viral important ». Inutile en effet d’alimenter par nos interventions des comptes qui ne représentent qu’une faible communauté…
« On s’en est bien tiré… », lâche François-Xavier, «… et il y faut toujours un peu de chance ! » complète Olivier. Mais, souligne François-Xavier, « cela éclaire aussi la nécessité de process clairs, tant pour la gestion crise que pour la communication vers les chargés de compte et les responsables sécurité ainsi que vers les clients. Le bon déroulement d’ensemble de cette gestion de crise s’est beaucoup appuyé sur le fait que les gens impliqués avaient une expérience avérée de ce type de situations. Il nous faut franchir cette étape indispensable de process mieux formalisés et mieux connus de tous, en ligne avec notre ambition de grand groupe ».
De la résilience à l’anti-fragilité
Voilà pourquoi il ne faut jamais gâcher une bonne crise… Et éviter au passage de se laisser trop vite happer de nouveau par le quotidien, en prenant le temps nécessaire de tirer tous les enseignements de ce qui peut apparaître comme une quasi-crise, voire un exercice grandeur réelle si on le compare au précédent de 2020.
Objectif : développer une véritable culture de sécurité partagée dans toutes ses dimensions : les hommes, les process et la technologie. « Ce n’est pas l’équipe sécurité seule qui fait la sécurité, c’est chacun, dans le professionnalisme de ses pratiques quotidiennes pour assurer confiance et résilience », conclut François-Xavier. Et Olivier d’ajouter : « On peut même essayer, comme le suggère Nassim Nicholas Taleb[2], de passer de la résilience, qui permet de récupérer d’un choc initial, à l’anti-fragilité, qui permet d’en sortir encore plus fort ! ».
[1] Cette cellule était composée de : François-Xavier Vincent et Anne Lupfer pour la cybersécurité, Olivier Beaunay et Marion Courtot pour la communication, Sébastien Lesimple pour les systèmes d’information, Antoinette Roche pour le juridique et Danièle Lefur pour la protection des données. La cellule travaillait en relation avec la direction générale, la cellule technique d’investigation ainsi qu’avec le réseau des responsables sécurité informatique, le groupe des markoms et l’agence The Arcane pour faire le lien avec les métiers, les pays et les médias.
[2] Essayiste, statisticien et spécialisé en mathématiques financières. Il est notamment l’auteur de « Le Cygne noir : la puissance de l’imprévisible » et de « Antifragile. Les bienfaits du désordre ».
