mehaniq41 - stock.adobe.com

Cyberattaque : comment Caen a évité le pire grâce à l’EDR d’HarfangLab

La collectivité a profité des suites d’un démonstrateur en attente de contractualisation pour détecter les prémices du possible déploiement d’un rançongiciel. L’intrusion est avérée, le nettoyage en cours, mais le chiffrement a été évité. Et très probablement le vol de données aussi.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information Sécurité 25 - Les bénéfices concrets de l’EDR

Il est 15h50, le 26 septembre, lorsque David Cauvin, RSSI de Caen, se penche sur la console de la solution de détection et de réponse sur les hôtes du système d’information (EDR, Endpoint Detection and Response) et y découvre deux alertes. L’une concerne le serveur de messagerie Exchange, l’autre un contrôleur de domaine de l’environnement Active Directory (AD). Dans les deux cas, l’alerte signale la présence d’une balise (beacon, en anglais) Cobalt Strike.

Sans attendre, le RSSI interpelle HarfangLab : en moins de cinq minutes, l’incident est pleinement qualifié. L’administrateur système est appelé sur le pont. Les équipes passent en gestion de crise. Car la situation est grave : ces balises permettent à un indélicat d’agir sur les machines concernées, sinon de les contrôler pleinement. À la clé : le risque du déploiement et du déclenchement d’un rançongiciel sur l’ensemble des machines liées au contrôleur de domaine concerné.

Une réaction rapide et salutaire

Les deux machines affectées ont été aussitôt isolées. Mais elles communiquaient avec l’infrastructure cloud d’HarfangLab. Pas question, donc, de se priver de ce lien de contrôle et, encore moins, des informations susceptibles d’être remontées des systèmes compromis. Celles-ci peuvent s’avérer précieuses pour connaître et comprendre les intrus. Et plus loin pour aider d’autres à s’en protéger.

Mais une fois ces informations sur l’attaquant collectées, la décision a été prise d’isoler tout le SI – en sanctuarisant les sauvegardes. Alors même qu’un conseil municipal était en cours. Les urgences n’attendent pas.

Il faut dire que les efforts de furtivité ne sont pas négligeables : la communication entre les balises et les serveurs de commande et de contrôle est passée par le protocole DNS ; la compromission initiale a mis à profit Tor. Et une vulnérabilité Exchange a été exploitée pour accélérer la cinétique d’attaque.

La décision de déconnexion n’est évidemment pas passée inaperçue. Le maire s’est exprimé sur le sujet. Et rapidement, l’information s’est, sans surprise, propagée à la presse locale. Au moins partiellement.

Au stade auquel la cyberattaque a été détectée, et interrompue, il apparaît très peu probable que les assaillants aient eu le temps d’exfiltrer des données. Mais la collectivité a eu de la chance. Et son RSSI le reconnaît sans peine.

Nommé en 2020, David Cauvin a établi un ambitieux plan d’action pour renforcer la culture de la sécurité informatique dans la collectivité, et au-delà. L’EDR était au programme d’un plan qui a été amendé par des consultants dans le cadre du plan de relance. L’adoption d’un prestataire de réponse à incident l’était aussi.

Le RSSI a développé une politique de sécurité des systèmes d’information (PSSI) basée sur ISO 27001. Le schéma directeur de la PSSI a été approuvé et la PSSI elle-même a été présentée à la DSI. Elle devait être ultérieurement présentée au comité de direction pour validation. Mais cela aurait pu être trop tard.

Un projet de déploiement lancé

Pour comprendre comment Caen a profité d’un heureux alignement de planètes, il faut remonter au mois de juin dernier. La collectivité arrive au terme d’un démonstrateur avec HarfangLab. L’EDR a fait ses preuves, y compris face à un laboratoire de menaces maison. Les difficultés de déploiement initiales ont été traitées et l’éditeur a fait la démonstration de sa capacité d’écoute et d’adaptation.

Les procédures propres au secteur public placent le projet en attente de contractualisation. Mais HarfangLab se montre compréhensif et laisse plusieurs dizaines de machines sous surveillance.

Las, un changement d’architecture de l’accès réseau externe, en septembre, coupe les liens entre de nombreux hôtes et le cloud d’HarfangLab. Une dizaine de machines reste effectivement surveillée. Ce sera suffisant : les hôtes les plus critiques de l’environnement sont couverts.

Depuis l’incident, plus de 2 000 agents de l’EDR de la jeune pousse française ont été déployés. Si des attaquants reviennent à la charge à l’avenir, la collectivité sera encore mieux préparée pour les cueillir dans leur élan.

Pour approfondir sur Menaces, Ransomwares, DDoS