Quand son entreprise a été victime d’un ransomware en 2020, Jean-Charles Duquesne, patron de La Normandise, n’a pas contacté les rançonneurs… et a réussi à récupérer les données de l’entreprise. Et il ne doit pas ce succès qu’à la chance : une bonne préparation et une bonne stratégie ont permis à l’entreprise de limiter les dégâts. Interview.
Votre entreprise a été touchée par un ransomware en octobre 2020. Que s’est-il passé ?
Jean-Charles Duquesne : Notre entreprise produit des aliments pour chiens et chats. Notre usine tourne 24 heures sur 24, 7 jours sur 7. L’équipe du lundi matin est arrivée à 5 heures et a remarqué dès 6 heures que les outils nécessitant un accès aux serveurs étaient lents ou buguaient. Une personne de la maintenance informatique a immédiatement éteint tous les serveurs. Le service informatique a été prévenu, et je suis arrivé sur le site aux environs de 8 heures. C’est à ce moment-là que nous avons relancé les machines : tous nos fichiers étaient infectés par un cryptovirus, c’est-à-dire qu’ils étaient cryptés et inaccessibles. Nous n’avions accès qu’à un fichier « .txt », au sein duquel se trouvaient les coordonnées de l’émetteur du cryptovirus – une adresse e-mail russe – pour payer la rançon, dont nous ne connaissions pas le montant. Nous avons relancé les serveurs sans les connecter les uns aux autres pour mesurer l’étendue des dégâts et nous avons utilisé un système d’exploitation alternatif pour identifier les disques durs touchés. Nos sauvegardes étaient en bon état. Nous avons donc choisi de ne pas contacter l’émetteur et de rétablir nos fichiers nous-mêmes. Dans notre malheur, nous avons eu de la chance : la première, c’est d’avoir une usine qui fonctionne en continu, avec quelqu’un capable de réagir vite sur place. La seconde, c’est le cœur de notre activité : nous ne produisons pas à flux tendu, les stocks ne s’écoulent pas du jour au lendemain. La troisième, c’est que nous avions prévu de remplacer notre matériel, et que nous avions donc à disposition de nouveaux serveurs, ce qui nous a permis de ne pas utiliser les serveurs infectés. Tous ces facteurs nous ont permis de nous en sortir indemnes, sans avoir à payer de rançon. Tout le monde n’est pas aussi bien loti : je fais partie du groupement d’entrepreneurs normands N’Way, et l’un des membres a également été victime d’un ransomware. Il n’a pas eu d’autre choix que de payer. Pour débloquer son premier disque dur, il a dû verser 100 euros. Pour le second, les pirates lui en demandaient 1 000. Si on ajoute un zéro à chaque fois qu’il faut débloquer un disque dur, la note peut être salée.
Comment s’est organisée la journée du service informatique ?
J.-C. D. : Mon frère, qui est également directeur général, et moi-même étions les seuls interlocuteurs du pôle informatique, pour qu’il ne soit pas parasité par les demandes des chefs de services. Nous leur avons mis à disposition des snacks et des boissons. Nous organisions un point toutes les heures, afin de mesurer la progression de la restauration des fichiers. Enfin, nous avons demandé aux équipes de quitter l’entreprise à 18 heures pour qu’elles puissent se reposer et reprendre sereinement le lendemain.
Et comment s’est organisée la journée des autres salariés ?
J.-C. D. : Nous sommes, à l’origine, une entreprise familiale. Même si nous avons grandi, l’esprit de famille subsiste. Résultat, le lundi matin, tout le monde a… fait le ménage ! Cela a permis de garder une ambiance vraiment positive. Vers midi, nous avons demandé à toutes les personnes travaillant aux services généraux de prendre une journée de congé entre le lundi après-midi et le mardi matin. 99% des salariés ont joué le jeu. En termes d’émotions, c’était un peu les montagnes russes. Mais finalement, cela a un peu fait office de team building de l’extrême !
La période d’arrêt nous aura coûté 100 000 euros en non-production
Comment avez-vous priorisé les différents services à rétablir ?
J.-C. D. : En débranchant les serveurs, l’usine était à l’arrêt. Les équipes ont continué à fabriquer « à l’aveugle » les produits récurrents, en laissant de côté les produits hors standard et dès 17 heures, l’usine était de nouveau fonctionnelle. La période d’arrêt nous aura coûté 100 000 euros en non-production. Nous avons très vite remis en place le service RH ainsi que les services de sécurité. Le lendemain, les services de facturation et communication étaient opérationnels. Enfin, le mercredi, l’ensemble des données et l’accès aux e-mails étaient rétablis. En 48 heures, tout était réglé.
Vous n’avez pas contacté l’émetteur du ransomware, mais avez-vous porté plainte ?
J.-C. D. : J’ai été à la gendarmerie du coin, qui m’a très bien reçu, mais j’ai rapidement constaté qu’il n’y avait pas un engouement particulier à mener l’enquête. J’ai dû épeler « ransomware », ça en dit long sur l’état des connaissances de la gendarmerie. J’ai finalement fait un signalement auprès de l’Anssi, et les choses ont alors été très différentes : j’ai dû leur fournir un fichier cryptolocké, un disque dur infecté, et une enquête a été lancée.
Avez-vous mené certaines actions en interne après l’attaque ?
J.-C. D. : Le premier investissement qui a suivi l’attaque concerne nos outils : notre vitesse de sauvegarde est 100 fois plus rapide aujourd’hui, ce qui coûte une centaine de milliers d’euros. Par ailleurs, l’hypothèse la plus probable, c’est que l’attaque venait d’un e-mail malveillant qui a été ouvert par l’équipe de production. Le second investissement concerne donc la sensibilisation : nous avons mandaté une entreprise, qui envoie régulièrement des e-mails aux équipes pour mesurer le pourcentage de personnes qui les ouvrent puis cliquent sur des liens potentiellement dangereux. De 30% avant la crise, nous sommes passés à 2%. Je le dis avec fierté, d’autant plus que jusqu’à récemment les deux plus mauvais salariés de l’entreprise sur le sujet ont été… mes parents. Ils ont fondé l’entreprise, et pendant très longtemps, ils n’ont eu qu’une seule adresse e-mail qui leur servait pour les sujets pros et persos. Ils cliquaient sur tous les messages qu’ils recevaient !
Biographie
Diplômé de l’Ecole Vétérinaire de Maisons-Alfort en 2002 avec une spécialisation en diététique canine et féline, Jean-Charles Duquesne rejoint NORMANDISE Pet Food en avril 2004 en tant responsable Qualité et R&D. Son engagement et sa passion des chats et chiens lui ont permis d’évoluer dans l’entreprise. Il en est maintenant Directeur Général avec son frère, assurant ainsi la continuité familiale et la transition générationnelle.