Impact Photography - stock.adobe
Attaque de ransomware : Pénélope prévient (enfin) ses collaborateurs
L’agence d’hôtes et hôtesses d’accueil aura mis près d’un mois et demi à partager, en interne, l’information sur l’attaque qu’elle a subie fin janvier. Et cela alors qu’elle a notifié la CNIL début février.
L’objet du courriel est tapé en majuscules : « incident informatique Pénélope ». Il provient de la direction de la communication de l’agence d’hôtes et hôtesses d’accueil. Il a été expédié le mardi 16 mars, en tout début de matinée. Avec ce message, la plupart des collaborateurs du groupe Pénélope découvrent que celui-ci « a été victime d’une attaque informatique », « malgré les mesures de sécurité mises en place ».
La Commission nationale informatique et libertés (CNIL) a été avertie le 3 février de la cyberattaque. Car il y a bien eu « extraction d’un certain nombre de données de l’entreprise ». Et avec son courriel, la direction de la communication du groupe Pénélope explique avoir tenu à informer ses collaborateurs « le plus rapidement possible », « bien que les investigations soient toujours en cours ». Un mois et demi après les faits, donc.
Car les opérateurs du ransomware Darkside ont revendiqué une attaque réussie contre le groupe Pénélope, assortie d’un vol de données, mentionnant la date du 1er février. Depuis, la page correspondante a toutefois disparu : les opérateurs de Darkside ne menacent plus de divulguer les données dérobées lors de l’intrusion. Toutefois, dans son e-mail, le groupe n’évoque pas de rançongiciel et ne précise pas la nature de l’attaque informatique.
Mais sur quoi les assaillants avaient-ils mis la main ? Dans son courriel, la direction de la communication détaille plusieurs « catégories de données potentiellement impactées par l’attaque » : « données relatives à votre état civil, dont votre numéro de sécurité sociale, données d’identification et d’accès, données liées à votre vie personnelle, données liées à votre vie professionnelle, données d’ordre économique et financier ».
Et d’assurer que, « selon l’avis de nos experts en cybersécurité, la probabilité que ces données aient d’ores et déjà pu être exploitées par les attaquants pour commettre des manœuvres frauduleuses est extrêmement faible ». Mais, si le groupe Pénélope a tenu à alerter ses collaborateurs « le plus rapidement possible », c’est pour leur « permettre de prendre les mesures de vigilance et de protection appropriées à cette situation ». Car tout de même, compte tenu « des multiples usages malveillants » pour lesquels lesdites données peuvent être employées, il est recommandé de « redoubler d’attention ». S’ensuivent donc des recommandations, louables, mais d’un effet limité, notamment dans la durée.
La première porte sur le risque de phishing : « nous vous invitons à être vigilants sur des pratiques d’hameçonnage à votre encontre (faux email, SMS ou appel téléphonique de banque, d’opérateur de téléphonie, de fournisseur d’énergie, de la sécurité sociale ou d’autres administrations) ». Mais pas un mot sur d’éventuelles campagnes de sensibilisation pour aider, justement, les collaborateurs à repérer les tentatives de hameçonnage.
La suite touche au risque d’usurpation d’identité, et notamment l’ouverture frauduleuse de compte bancaire au nom d’un collaborateur, à son insu : « en cas d’usurpation d’identité, nous vous conseillons de déposer plainte contre X auprès d’un commissariat de police ou une brigade de gendarmerie ». Certes, mais encore faut-il s’en rendre compte…
La direction de la communication du groupe Pénélope encourage également ses collaborateurs à « vérifier qu’un compte bancaire n’a pas été ouvert à votre nom en exerçant votre droit d’accès au Fichier national des comptes bancaires et assimilés (FICOBA) », en passant par la CNIL. Las, ce n’est pas en engageant cette démarche une fois, ponctuellement, que l’on est protégé face au risque.
Nous avons demandé à la direction de la communication de Pénélope si la rançon avait été payée pour protéger les collaborateurs du groupe, et si des campagnes de sensibilisation au phishing étaient prévues, de même qu’une protection assurantielle contre le risque d’usurpation d’identité. Dans un e-mail, celle-ci nous indique que « Pénélope ne souhaite pas pour l’instant, compte tenu notamment de l’enquête pénale en cours, faire une communication complémentaire ».