70 lines
6.9 KiB
Text
70 lines
6.9 KiB
Text
|
RAPPORT D'INCIDENT DE CYBERSÉCURITÉ
|
|||
|
|
|
|||
|
|
Date du rapport : 4 mai 2025
|
|||
|
|
Incident survenu le : 3 mai 2025
|
|||
|
|
Rédacteur : Nikola Milovanovic, Responsable Cybersécurité
|
|||
|
|
|
|||
|
|
/!\ Confidentiel Usage interne uniquement /!\
|
|||
|
|
RÉSUMÉ
|
|||
|
|
Pour la Direction Générale
|
|||
|
|
Le 3 mai 2025, un incident de cybersécurité majeur s'est produit sur notre infrastructure; impliquant la compromission d'un compte administrateur par le biais d'une attaque de phishing. L'incident a rapidement été détecté grâce à nos outils de surveillance, cela a permis de prendre immédiatement des mesures de sécurité en confinant l'attaque.
|
|||
|
|
Impact identifié : L'attaquant a pu avoir accès non autorisé à des données et ressources internes sensibles. À noter qu'il y a eu une potentielle exfiltration de données, aucune fuite de données clients n'a été détectée à ce stade.
|
|||
|
|
Statut actuel : Grâce aux outils à notre disposition nous avons pu rapidement :
|
|||
|
|
confiner la menace
|
|||
|
|
maintenir notre infrastructure opérationnelle et sécurisée
|
|||
|
|
démarrer une enquête approfondie
|
|||
|
|
Actions prioritaires requises : Définir à la fois un plan de communication client et un plan d'investissement pour acquérir du nouveau matériel de sécurité.
|
|||
|
|
1. CHRONOLOGIE DE L'INCIDENT
|
|||
|
|
Phase initiale de compromission (7h12 8h04)
|
|||
|
|
L'attaque a commencé le 3 mai à 7h12, lorsqu'un employé du département comptabilité (g.morel@entreprise.fr) a reçu un mail de phishing ciblé, avec pour objet "Relevé de factures en attente <20><> Urgent". Ce mail contenait une url malveillante qui falsifiait une interface de connexion Microsoft pour permettre aux attaquants de dérober les identifiants de la victime.
|
|||
|
|
Phase de propagation (8h04 <20><> 9h30)
|
|||
|
|
L'attaque s'est poursuivie par une connexion anormale sur un compte Active Directory privilégié depuis la Suède. Notre SOC externalisé en Belgique a immédiatement détecté cette connexion qui s'est suivie par de nombreuses connexions distantes (SSH) à nos machines internes afin d'exfiltrer massivement des fichiers via un partage réseau.
|
|||
|
|
Phase de réponse (9h30 <20><> 16h00)
|
|||
|
|
Dès que le SOC a été informé de la compromission de notre infrastructure, la cellule de crise a été engagée. Les mesures de remédiation suivantes ont été mises en place :
|
|||
|
|
• Désactivation immédiate et définitive du compte "admitop"
|
|||
|
|
• Réinitialisation des mots de passe de tous les identifiants sensibles
|
|||
|
|
• 2 machines compromises ont été isolées du réseau, mises en quarantaine complète
|
|||
|
|
• Lancement d'un scan approfondi de toute l'infrastructure
|
|||
|
|
2. ANALYSE TECHNIQUE DÉTAILLÉE
|
|||
|
|
Vecteur initial
|
|||
|
|
L'attaque a commencé par un mail de phishing ciblé sur le département comptabilité de notre organisation. Une réplication trompeuse d'une interface de connexion Microsoft a été diffusée via ces mails pour dérober des identifiants internes.
|
|||
|
|
Élévation de privilèges
|
|||
|
|
L'attaquant a pu profiter d'une négligence grave de nos équipes concernant la gestion des privilèges utilisateurs. En l'occurrence le compte « admitop » aux privilèges élevés, qui avait été créé 3 semaines plus tôt pour un projet d'inventaire réseau, n'a jamais été supprimé à l'issue de celuici.
|
|||
|
|
Actions malveillantes observées
|
|||
|
|
• De multiples connexions SSH vers des machines internes
|
|||
|
|
• Analyse et cartographie des ressources du réseau
|
|||
|
|
• Extraction massive de données
|
|||
|
|
Indicateurs de compromission (IOCs)
|
|||
|
|
• Adresse IP source : 213.115.234.91
|
|||
|
|
• Compte compromis : admitop, g.morel@entreprise.fr
|
|||
|
|
• Machines impactées : 2 postes en quarantaine
|
|||
|
|
• Détection initiale : 8h04
|
|||
|
|
3. ÉVALUATION DES IMPACTS
|
|||
|
|
L'impact opérationnel est relativement important avec notamment : un accès non autorisé à des données internes sensibles (potentiellement des données clients). Malgré cela l'intégrité de nos systèmes est préservée (aucune dégradation détectée), ce qui a permis de conserver la disponibilité de nos services avec une interruption minimale et immédiatement couverte par nos serveurs de secours.
|
|||
|
|
Impacts métier
|
|||
|
|
L'attaque survient en parallèle de deux événements aux enjeux majeurs. D'une part la remise d'un appel d'offre bancaire qui était prévue aujourd'hui (soit le lendemain de l'attaque). Une campagne commerciale par mail était prévue, elle devait se faire via un serveur mail (SMTP) qui a été compromis.
|
|||
|
|
Impacts réglementaires
|
|||
|
|
D'un point de vue légal, la loi nous impose de notifier la CNIL de cet incident si le périmètre de compromission est important (cela reste à préciser). L'enquête approfondie en cours permettra d'avoir un rapport détaillé du déroulement de l'attaque.
|
|||
|
|
4. MESURES CORRECTIVES DÉPLOYÉES
|
|||
|
|
Actions immédiates mises en place
|
|||
|
|
Les systèmes qui ont été compromis ont immédiatement été isolés du reste du réseau (mise en quarantaine). Tous les accès sensibles ont été réinitialisés et le compte utilisé pour l'escalade de privilèges a été supprimé. Tous les services impactés ont été compensés par des serveurs de secours.
|
|||
|
|
Actions en cours
|
|||
|
|
Une analyse approfondie est en cours : forensique des machines compromises, scan paquets réseaux, audit des logs d'événements, évaluation précise du périmètre impacté, préparation de la communication client et éventuellement CNIL.
|
|||
|
|
5. RECOMMANDATIONS DE REMÉDIATION
|
|||
|
|
À court terme (04 semaines)
|
|||
|
|
La Direction doit : valider un budget mis en place en urgence pour renforcer les failles identifiées pendant l'attaque, rédiger un plan de communication client, assurer la sensibilisation de tous les collaborateurs au phishing.
|
|||
|
|
L'équipe technique doit : mettre en place une politique stricte de gestion des permissions utilisateur, renforcer la surveillance en direct des connexions suspectes, ajouter des outils d'audit postexploitation, déployer une solution qui protège contre les campagnes de phishing ciblées.
|
|||
|
|
Moyen terme (16 mois)
|
|||
|
|
Il faudrait reforger toute l'infrastructure pour adapter le modèle « Zero Trust », puis contacter des prestataires externes pour leur demander un audit complet à la fois physique et numérique de celleci.
|
|||
|
|
6. CONCLUSION ET PROCHAINES ÉTAPES
|
|||
|
|
Bien que cette attaque a été rapidement détectée et enrayée par nos équipes techniques, il est essentiel d'en tirer des leçons. Ici le vecteur initial est une inattention humaine couplée à un mauvais filtrage des spams. Il est donc nécessaire de mettre en place une campagne de sensibilisation et des outils de filtrage supplémentaires.
|
|||
|
|
Actions immédiates requises :
|
|||
|
|
1. Direction Générale : Validation et déploiement du plan de communication client dès la fin de l'enquête.
|
|||
|
|
2. RSSI : Finalisation du rapport CNIL si jugé nécessaire suite à l'enquête.
|
|||
|
|
3. Équipes techniques : Poursuite de l'enquête approfondie : analyse forensique et remédiation complète
|
|||
|
|
Prochaine réunion de suivi prévue le 18 mai à 9h00
|
|||
|
|
Contacts :
|
|||
|
|
• Urgence cybersécurité : 0134564779
|
|||
|
|
• RSSI : Antoine Dupont (antoine.dupont@entreprise.fr)
|
|||
|
|
• SOC externe : soc.incident@entreprise.be
|