Comment ce détaillant canadien riposte après une attaque par ransomware désastreuse
À propos du client
C’était le scénario cauchemardesque qui empêche les DSI de dormir. Une attaque par ransomware a frappé un détaillant canadien avec des conséquences dévastatrices. En un instant, les employés de plus de 300 sites se sont retrouvés bloqués hors de leurs systèmes.
Il a fallu plus de trois semaines pour se remettre entièrement. Voici comment ils ont surmonté la crise et les mesures prises pour s’assurer qu’une telle catastrophe ne se reproduise plus.
Ce détaillant canadien fournit des produits directement aux consommateurs ainsi qu’à d’autres entreprises via ses points de vente et son site web.
Fondée bien avant l’ère d’Internet, l’entreprise emploie aujourd’hui plus de 5 000 employés, à temps plein et partiel. Elle collabore avec plus de 200 fournisseurs dans le monde grâce à un système de gestion des stocks en temps réel.
Pour des raisons de sécurité, le nom du détaillant n’est pas mentionné dans cette étude de cas.
Défis
Une attaque aux conséquences graves
L’attaque n’aurait pas pu survenir à un pire moment : en mars 2020, peu après la déclaration de la pandémie. Alors que toutes les entreprises s’adaptaient à une nouvelle réalité, les opérations du détaillant se sont complètement arrêtées.
Pourquoi était-ce si grave ? Les pirates ont ciblé le Active Directory (AD) de l’entreprise, un outil souvent visé car il gère l’accès aux ressources réseau. Une fois infiltrés dans l’AD, les attaquants peuvent accéder à tout et verrouiller l’accès aux autres utilisateurs.
Cela a causé des ravages. Le système de point de vente du détaillant est tombé en panne, obligeant les clients à payer en espèces en pleine période de distanciation sociale. Les ventes en ligne ont cessé, juste au moment où elles commençaient à augmenter. Les fournisseurs n’avaient plus aucune visibilité sur les stocks à livrer sans contacter chaque magasin individuellement. De plus, sans systèmes opérationnels, ils n’étaient plus payés rapidement.
Le prestataire de services habituel de l’entreprise n’a pas pu résoudre le problème. Comme c’est souvent le cas, l’Active Directory n’avait pas été correctement maintenu, ce qui a compliqué la recherche de sauvegardes propres. En outre, la restauration de l’AD est un processus manuel complexe. Le défi était encore plus grand, car l’entreprise ne pouvait même pas se connecter pour commencer les réparations. Il était temps de faire appel à des experts.
Solutions et bénéfices
La solution
Rétablir les opérations
Pour relancer les activités après une attaque par ransomware, il est essentiel de restaurer l’Active Directory en priorité. Grâce à sa vaste expérience, Itergy a été sollicité pour effectuer cette tâche cruciale.
Itergy s’est concentré exclusivement sur la restauration de l’AD, suivant des étapes précises pour garantir une récupération sécurisée. Ses experts ont collaboré étroitement avec les équipes internes chargées de la reprise afin de rétablir les opérations le plus rapidement possible.
Même avec une équipe expérimentée, la restauration complexe a pris plus d’une semaine. Il a fallu encore deux semaines pour que toutes les applications de l’entreprise fonctionnent sur ses différents sites.
Prévenir une nouvelle catastrophe
Une fois la crise passée, le détaillant s’est tourné vers Itergy pour mettre en place une solution capable de limiter les dégâts en cas de nouvelle attaque. Si cela se reproduisait, il fallait pouvoir récupérer l’AD en quelques heures, et non en plusieurs semaines.
Itergy a mis en œuvre une solution robuste de récupération d’urgence pour Active Directory – ADResQ | Solution de restauration d’Active Directory, garantissant une reprise rapide en cas de cyberattaque.
La solution sauvegarde l’AD séparément des autres systèmes de l’entreprise, empêchant ainsi les infections de ransomware dans l’environnement actuel d’affecter les sauvegardes.
Itergy utilise un stockage immuable dans un lieu hautement sécurisé. Cela signifie que, une fois les données enregistrées, elles ne peuvent plus être modifiées, déplacées ou supprimées.
En combinaison avec l’infrastructure de l’entreprise, cette solution offre un environnement de récupération isolé et hors site. Grâce à l’automatisation, il est possible de redémarrer rapidement la sauvegarde à partir d’un point précis dans le temps.
Enfin, la solution est proactive : Itergy teste le processus de récupération tous les trois mois. Ces tests sont examinés et validés par la direction du détaillant, assurant que le système reste fiable et sécurisé. « Je ne saurais trop insister là-dessus, » déclare Martin Fitzsimons, vice-président des services d’entreprise chez Itergy. « Un plan complet et des tests réguliers sont essentiels pour une reprise rapide après une attaque par ransomware. »