Monkey Business - stock.adobe.co

Ransomware Ryuk : la direction d’ISS World sous pression

Pour le groupe, la nature du maliciel impliqué n’était pas importante. Mais l’entreprise a tout de même alerté les autorités du risque de compromission de données personnelles de 65 000 utilisateurs de son système d’information.

Mi-février, le leader mondial des « facility services » a été victime du rançongiciel Ryuk. Dans un communiqué de presse, ISS indiquait alors avoir été la « cible d’une attaque par maliciel ». Une cyberattaque pour laquelle, selon le groupe, « rien n’indique de compromission de données clients ». Mais il se gardait bien de mentionner le risque d’atteinte à la confidentialité de données personnelles d’utilisateurs de son système d’information.

Le 19 février, ISS World savait pourtant qu’il avait été frappé par Ryuk, comme nous l’indiquions ce jour-là : c’est le jour où il a adressé à un courrier d’avertissement à tous les utilisateurs de la messagerie électronique sur les domaines du groupe potentiellement concernés, pour un total de 65 000 personnes.
Parmi celles-ci, se trouvent des collaborateurs comme des partenaires externes, ressortissants d’une longue liste de pays du Vieux Continent : Finlande, Norvège, Suède, Danemark, Allemagne, Autriche, Suisse, Royaume-Uni, France, Belgique, Pays-Bas, Pologne, République tchèque, Roumanie, Slovaquie, Lituanie, Irlande, Lettonie, Italie, Espagne, Portugal, Hongrie, et Slovénie.

Et c’est également ce jour-là que le DPO du groupe a notifié les autorités compétentes, mentionnant explicitement Ryuk dans son formulaire… ainsi que la compromission de son infrastructure Active Directory. Ce document, que nous avons pu consulter, indique qu’ISS a été informé de l’incident par son hébergeur Itadel, le 17 février, peu après 4 h du matin. Celui-ci est impliqué dans la gestion de l’incident, aux côtés du cabinet de conseil Venzo et de Microsoft.

Malgré cela, ISS explique à nos confrères de DR n’avoir pas publiquement précisé qu’il avait été attaqué par un ransomware – ni même à ses actionnaires – parce que, selon le groupe, « le type de maliciel impliqué n’était pas décisif ». Et tant pis, donc, si la nature du logiciel malveillant peut constituer un indicateur important du chemin des assaillants et de l’étendue potentielle de la compromission.

ISS présentait ses résultats trimestriels le 26 février dernier, mais n’a pas, à cette occasion, fait état du risque d’atteinte à la confidentialité de données personnelles de ses collaborateurs et partenaires.

L’épisode pourrait bien ne pas arranger la situation d’une direction qui semble peiner à convaincre ses investisseurs, selon la presse danoise. Depuis le 20 février, l’action du groupe a d’ailleurs considérablement perdu de sa valeur, passant de près de 165 couronnes danoises à un peu plus de 108, à l’heure où sont écrites ces lignes, soit un recul de plus de 34 %.

Hasard du calendrier, Morten Wagner vient tout juste de quitter ses fonctions de DSI monde d’ISS, après environ 14 ans de loyaux services. Il vient de prendre le poste de DSI chez Scan Global Logistics. ISS est donc à la recherche de son successeur.

ISS World indique n’avoir pas payé de rançon, ni même cherché à communiquer avec les assaillants. De sources concordantes, son système d’information apparaît encore loin d’être totalement remis sur pieds. Il faudrait encore compter quelques semaines de travail pour cela.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)