Baccarat témoigne de l’attaque de Black Basta en 2023
La prestigieuse cristallerie française a fait l’objet d’une attaque de ransomware en 2023. Son SI est resté bloqué plus de 2 mois. Une attaque qui traduit la terrible impréparation des ETI françaises.
Prestigieuse maison française créée sous le règne de Louis XV en 1764, Baccarat vend ses produits dans toute l’Europe, au Japon, aux États-Unis et en Asie. Une marque prestigieuse, mais qui n’en reste pas moins une ETI aux moyens informatiques limités. L’entreprise compte 1 100 salariés, dont 700 personnes dans la manufacture, pour une dizaine à la DSI.
Le système d’information compte une centaine d’applications, dont 25 % dans le cloud. Une partie est consacrée à la manufacture, l’autre à la gestion des commandes et des stocks, mais beaucoup d’autonomie est laissée aux « marchés », c’est-à-dire les filières de l’entreprise à l’étranger.
Ce qui était une entreprise familiale a été ballotté ces dernières années entre différents propriétaires et depuis 2 ans, la nouvelle direction reconstruit Baccarat. Un nouveau four est en cours de démarrage et l’informatique est en cours de modernisation. C’est dans ce contexte que Stéphane Cordier, directeur de la Transformation & DSI du groupe Baccarat est embauché.
L’élément déclencheur : un faux message de la direction générale sur Teams
C’est dans ce contexte que le groupe Black Basta lance une attaque sur le groupe français le 19 septembre 2023. Le responsable raconte le début de l’attaque : « nous avons tous reçu un message de la direction générale via Teams. Notre Teams n’était pas verrouillé à l’extérieur et il s’agissait d’un faux message avec de nombreuses pièces jointes associées, avec les résultats de l’année, etc. Entre 10 à 15 personnes ont cliqué sur le lien et ont ouvert des portes à Black Basta ».
Du 14 au 19 septembre, rien n’est détecté : le groupe mène ses reconnaissances dans le système d’information et opère des mouvements latéraux dans toutes les filiales de l’entreprise. Le 19 septembre au matin, un vendredi comme il se doit, l’attaque est lancée simultanément dans tous les pays. Tout le SI local est chiffré et l’attaquant envoie sa demande de rançon.
Très rapidement, la direction décide de ne pas payer de rançon et la cellule de crise est mise en place. La situation est d’autant plus rageante pour le DSI qu’à son arrivée, fin 2022, celui-ci avait fait réaliser un test d’intrusion depuis l’extérieur qui s’était avéré assez satisfaisant : « nous n’avions pas de vulnérabilités évidentes. J’avais aussi lancé une campagne de test de phishing et de formation sur la France. Nous commencions juste à sensibiliser le personnel sur ce type d’attaque… et c’était la faille la plus importante puisque l’attaquant a pu avoir accès à tout ».
En effet, l’infrastructure informatique de Baccarat n’était absolument pas préparée à faire face à une intrusion : « en termes de segmentation, le réseau Baccarat se présentait comme un grand loft. Une fois rentré dans le réseau, l’attaquant avait accès à toutes les pièces, tous les documents… »
« Lorsque vous êtes confrontés à une cyberattaque, ce n’est pas le moment de faire un appel d’offres. La plus grosse difficulté, c’est de gérer la crise, la communication, les clients, le stress, l’accompagnement et la mobilisation des équipes. »
Stéphane CordierDirecteur de la Transformation & DSI, groupe Baccarat
Déjà confronté à une cyberattaque dans une entreprise précédente, le DSI réagit immédiatement. Dès le 22 septembre, les accès réseau sont immédiatement coupés et l’information est communiquée très rapidement au niveau global. La cellule de crise est créée dans l’heure. Le DSI fait appel à Orange Cyberdefense, un prestataire avec qui il a déjà traversé une expérience similaire : « lorsque vous êtes confrontés à une cyberattaque, ce n’est pas le moment de faire un appel d’offres. La plus grosse difficulté, c’est de gérer la crise, gérer la communication, les clients, le stress, l’accompagnement et la mobilisation des équipes. J’avais déjà travaillé avec Orange lors d’une précédente attaque donc nous avons pu démarrer facilement ».
Le constat fait alors est sévère. Si les attaquants n’ont pas atteint les ressources cloud, 100 % des serveurs internes ont été chiffrés, ainsi que 20 % des postes. Le réseau interne va rester bloqué pendant 2 mois et demi, ce qui a affecté l’activité de l’entreprise dans l’ensemble des pays : « nous n’étions pas préparés à cette attaque et celle-ci s’est diffusée de manière identique sur tous nos marchés. Chaque pays a son propre ERP, son propre réseau et sa propre gouvernance de système d’information. Jusqu’à mon arrivée, il n’y avait pas de SI groupe. Nous avons dû rapidement faire un état des lieux, comprendre la situation, comprendre les dispositifs à mettre en œuvre et coordonner l’ensemble des actions de personnes qui étaient jusqu’à présent relativement autonomes sur certains périmètres ».
Le cloud passe au travers de l’attaque
La grande chance de Baccarat est que ses ERP SaaS n’ont pas été attaqués, bien qu’ils étaient à la portée des attaquants, estime Stéphane Cordier. De même, les boutiques Baccarat ont pu poursuivre leur activité durant toute la durée de la crise cyber en basculant sur une facturation papier.
Les terminaux de paiement fonctionnant en 4G ont permis d’encaisser les clients, ce qui a permis à l’entreprise de sauver l’exercice 2023. Mais même avec ses ERP en production, l’activité est perturbée par l’absence de toutes les petites applications périphériques et surtout l’absence de réseau interne : « nous avons été bloqués sur des choses bêtes comme l’outil de déclaration en douane. C’est un outil en ligne fourni par l’État français, mais comme nous n’avions plus de réseau, nous ne pouvions plus faire d’expéditions à l’international. Il n’y a plus de formulaire papier pour faire des expéditions sous douane. Nous avons dû trouver des partenaires transporteurs qui ont accepté de faire des déclarations sous douane pour nous. Ce sont de petits détails qui ont forcément un impact dans les organisations. Souvent l’ERP est maîtrisé, mais c’est l’absence des logiciels périphériques qui peut s’avérer dommageable. »
Pour le DSI, l’autonomie laissée aux filiales étrangères devient une difficulté. Chacune d’elle disposait de ses propres infrastructures et gérait elle-même sa politique de sécurité. Un état des lieux global est réalisé dans l’urgence pour cartographier le réseau, les équipements, les applications. Une tâche pas si simple à mener lorsque le réseau est coupé et que les serveurs et les fichiers sont chiffrés.
La phase de remédiation commence dans le noir
L’activité reprend peu à peu avec des accès 4G. Un EDR est déployé dans l’urgence sur l’ensemble des postes de travail et des serveurs : « entre septembre et fin janvier, nous sommes passés 3 à 4 fois sur l’ensemble des postes pour changer les mots de passe, installer l’EDR, mettre en place la MFA, etc. Cela a demandé un gros accompagnement auprès des utilisateurs. Nous avons eu la chance d’avoir des équipes métier très mobilisées. Des commerciaux nous ont donné un coup de main et ont formé eux-mêmes leurs équipes terrain sur l’installation de l’EDR et la MFA. Nous avons eu des relais qui se sont mobilisés très rapidement ».
« Cette attaque reste un réveil d’urgence sur les bonnes pratiques à mettre en place en matière de cybersécurité et de gouvernance. »
Stéphane CordierDirecteur de la Transformation & DSI du groupe Baccarat
Tous les accès VPN ont été fermés. Les utilisateurs n’ont plus que des accès Office 365 avec la MFA qui a été généralisée : « là encore, nous avons découvert que l’on peut mettre en place la MFA comme l’avaient fait les Américains, mais avec des règles d’application qui n’étaient pas bonnes. Cela indique qu’il faut mettre en place une politique de contrôle de la MFA au niveau global ».
Un autre grand chantier mené en phase de remédiation a porté sur la refonte de l’Active Directory de l’entreprise. Chaque marché avait des politiques de gestion différentes et la maîtrise interne de l’architecture AD était limitée : « nous avons repris la main et recentralisé la gestion des Active Directory. Nous avons la main sur l’AD du Japon, de l’Asie, mais pas des États-Unis dont l’équipe est plus aguerrie ». L’équipe informatique s’est aussi attaquée à autre élément de sécurité totalement défaillant chez Baccarat, la segmentation du réseau. Ce projet a impliqué le remplacement de certains équipements. Il a fallu trouver de nouveaux fournisseurs, attendre la disponibilité des équipements.
Enfin, de nombreux serveurs ont été reconstruits à partir des sauvegardes sur Azure : « nous en avons profité pour supprimer toutes les VM et ce qui était en local pour les migrer sur Azure, car nous avions déjà un contrat Microsoft Office 365. Nous avons migré sur Azure dans l’urgence et ainsi consolidé tous nos marchés dans un environnement partagé. Nous travaillons encore sur le dossier sauvegardes ». Le DSI réfléchit aujourd’hui à signer un contrat chez un autre hébergeur pour avoir des copies chez deux hébergeurs différents.
Un plan d’action de 18 mois pour moderniser le SI
Stéphane Cordier travaille désormais sur une feuille de route à 18 mois pour qu’une telle attaque ne se reproduise pas, ou du moins que ses effets ne soient pas aussi dévastateurs. Si le comité de direction est désormais particulièrement sensibilisé à la question cyber, de même que les utilisateurs, le DSI doit encore débloquer des budgets et mettre en place une gouvernance du SI beaucoup plus solide.
Le principal écueil pour une entreprise de la taille de Baccarat reste la modestie de son service informatique : « l’équipe informatique a une petite maîtrise du cloud, mais pas une grande expertise de la gestion du cloud, de la sécurisation d’un environnement cloud, de la gestion tarifaire, etc. Nous nous faisons accompagner par un expert, un RSSI qui vient de chez Orange pour mettre en œuvre les bonnes pratiques cyber, mettre en place une gouvernance et former les équipes », ajoute le DSI.
Alors que Baccarat réalise un chiffre d’affaires de 220 millions d’euros, le coût de cette crise cyberest estimé à 2 millions d’euros. La reconstruction et son durcissement représenteront un budget de 400 000 à 500 000 euros.
