L’attaque cyber nous menace tous
Aucun office, aucun notaire n’est à l’abri d’une cyberattaque. Laurence Leguil*, notaire à Sablé-sur-Sarthe, témoigne de la brutalité de l’intrusion lorsqu’elle survient.
Votre office était-il sensibilisé au risque cyber avant ce vendredi 13 de janvier, jour de l’attaque du SI de votre office par un virus extrêmement dangereux ?
Me Laurence Leguil : Tous mes collaborateurs étaient sensibilisés, peut-être même plus ou moins déformés par moi. J’avais acquis certaines connaissances au bureau du CSN, travaillé auparavant sur l’IA. Le sujet était régulièrement abordé à l’étude. En plus du monitoring sur le réseau, nous avions installé des systèmes de verrouillage pour n’accorder que très peu d’autorisations pour effectuer des virements. Nous ne laissons jamais les clés Real dans les ordinateurs.
Avant le 13 janvier, avez-vous reçu des alertes ou autres signaux ?
Me Laurence Leguil : Mi-décembre, une première alerte d’iTrust est tombée via Monit’office : ils avaient détecté une menace d’intrusion réseau. Vérification faite par notre prestataire informatique, c’était probablement un faux positif. Les jours suivants, nous avons relevé quelques anomalies, des PC se connectaient entre eux, de petits messages apparaissaient, rien de méchant mais nous sommes restés vigilants.
Et le 13, que se passe-t-il ?
Me Laurence Leguil : J’étais en Allemagne, un collaborateur m’appelle, rien ne marche, impossible de faire redémarrer le serveur. La sauvegarde de la veille avait échoué. Le prestataire ne trouve pas la cause de la panne. En fin de matinée, Karim Moudar, un collaborateur rédacteur mais référent informatique au sein de l’office, fait le rapprochement avec les bizarreries de mi-décembre. Il débranche immédiatement le réseau pour isoler l’office. Sans ce geste, nous le savons depuis, toutes nos données auraient été cryptées dans les heures qui ont suivi. Les 26 PC et le serveur du siège ont aussitôt été mis en quarantaine. Dans l’après-midi, nous avions découvert sur un seul poste plus de mille fichiers « .exe » totalement infectés.
L’incident majeur étant évité de justesse, tout est-il rentré dans l’ordre ?
Me Laurence Leguil : Pas si simple. Réactif, notre prestataire a commencé à installer dès le lundi une architecture de prêt, postes et serveur, puis à la faire tourner grâce à la sauvegarde du mercredi après avoir vérifié qu’elle n’était pas infectée. Nous étions opérationnels dès le jeudi, mais en mode dégradé. En gros, quatre journées de travail ont été ruinées. Le nombre d’heures perdues est évalué à un millier, notaires et collaborateurs confondus. Notamment à cause du temps consacré à reconstituer les données provisoires stockées sur les bureaux qui étaient contenues sur les PC en quarantaine donc inaccessibles. Dans ces moments où tout va très vite, le chef d’entreprise doit savoir prendre seul et très vite les décisions, ce que j’ai fait en choisissant le nettoyage total des PC et ainsi la préservation de nos données plutôt que l’écrasement de ces dernières à priori infectées, ce qui a doublé le coût. Quant aux clients, nous avons réussi à ne décaler que très peu de rendez-vous de signature.
Le virus a-t-il été identifié ?
Me Laurence Leguil : Nous n’avons pas pu remonter jusqu’à la source, une partie des données avait été écrasée lors des premières tentatives infructueuses de redémarrage du serveur. Mais nous savons qu’un pirate s’est introduit depuis le dark web au plus tard mi-décembre, qu’il a utilisé un VPN pour rester indétectable, qu’il s’est installé pour scanner notre activité, nous observer et rechercher les fichiers qui l’intéressaient dans le but d’installer son programme de cryptage des données. Quand nous avons débranché, nous supposons que le cryptage avait commencé et que l’étape suivante était la rançon. Le plus perturbant est de savoir que l’on a été observé pendant un mois. Ce que l’on fait sur un PC est incroyablement intime, surtout avec les données des clients. Heureusement, vérification faite, aucune donnée client n’a été touchée.
Comment vos collaborateurs ont-ils vécu l’expérience ?
Me Laurence Leguil : Les visages étaient un peu glacés, le ton était grave, mais sans panique, tous ont fait preuve d’un grand sang-froid. Nous étions entourés de nombreux prestataires et nous ne nous sentions pas seuls. Nous avons aussi beaucoup communiqué, notamment via un fil SMS pour ne pas utiliser des messageries qui pouvaient être infectées.
Avez-vous estimé le montant du préjudice et quelles mesures ont été prises depuis pour renforcer encore la sécurité du SI ?
Me Laurence Leguil : Le nettoyage de tous les PC nous coûte 10 000 euros. Avec les heures perdues, les réparations et l’achat de certains matériels, c’est au total une enveloppe qui dépasse 30 000 euros. Pour les suites, nous avons immédiatement souscrit à l’offre « poste utilisateur » d’ADNOV qui repose sur la technologie EDR. Il peut détecter le lancement d’un programme suspect sur un seul PC et nous en avertir instantanément. Nous allons également pérenniser dans tous les bureaux un plan de continuation de l’activité qui permettra à chacun d’adopter les bons comportements et les bons gestes, en prévention comme en réaction à l’événement. Je ne peux qu’insister auprès de mes confrères : il est urgent de se sensibiliser, de s’informer, de s’intéresser à son environnement informatique. L’attaque cyber nous menace tous, chacun doit en être conscient.
*Laurence Leguil est également deuxième vice-présidente du Conseil supérieur du notariat.
