Gilles Bénéplanc, directeur général d’Adelaïde (Verlingue, Génération, Cocoon) fait le point pour News Assurances Pro sur l’attaque informatique dont le groupe est victime depuis près d’une semaine.
Les entreprises du groupe Adelaïde ont été victimes d’une cyber attaque, que pouvez-vous nous en dire ?
Effectivement, dans la nuit du 27 au 28 novembre, nous avons subi une cyberattaque de type rançongiciel qui a impacté une partie du système d’information exploité par le groupe et certaines de nos filiales dont Verlingue et Génération.
Nos systèmes de supervision ont permis de circonscrire rapidement l’attaque et nous avons immédiatement arrêté l’ensemble des systèmes pour éviter toute propagation. Il convient de préciser que nos filiales au Portugal et en Suisse n’ont pas été touchées. Et que Cocoon et Eyssautier-Verlingue ont pu poursuivre une partie de leur activité.
Grâce à la mobilisation de nos équipes IT et le soutien d’experts en cybercriminalité, les investigations ont pu être menées extrêmement vite. C’est pourquoi, je suis en mesure de vous dire aujourd’hui, que seul l’un des serveurs de notre filiale Verlingue UK a subi une fuite de données ; qui plus est très minime.
Pourquoi n’avoir pas communiqué davantage sur votre situation ?
Nous comprenons que cette situation a été très perturbante pour nos clients et nos partenaires. Et je tiens à saluer leur bienveillance et la compréhension que nombreux d’entre eux nous ont exprimées.
Dans une telle situation, les bonnes pratiques nous imposent avant tout d’isoler la zone impactée et de la protéger de son environnement afin qu’une enquête puisse être menée sereinement. C’est ce que nous avons fait pour, d’une part, bien comprendre la situation puis déterminer la meilleure démarche pour sécuriser le périmètre et enfin, entamer les réparations le plus rapidement possible pour pouvoir redémarrer nos activités.
Notre communication s’est calée sur chacune de ces étapes avec pour principe de dire ce que nous faisons et de faire ce que nous disons. Notre préoccupation a toujours été de maintenir une relation de confiance avec nos partenaires et nos clients. D’ailleurs, dès le 2 décembre nous publiions un bulletin d’information technique à destination des équipes sécurité d’un certain nombre de nos partenaires, afin de partager avec eux les premiers éléments de l’investigation.
C’est également un événement particulièrement sensible pour nos collaborateurs auprès desquels nous avons développé une communication régulière sur des éléments dont nous étions certains. Et je mesure leur impatience de pouvoir retrouver leur poste de travail et reprendre leurs activités au service de l’ensemble de nos clients.
Quelles sont les conséquences de cette attaque ?
Comme expliqué, seul un serveur de notre filiale Verlingue UK a subi une exfiltration de données. Nous allons traiter cet incident spécifique avec tous nos clients concernés. Pour le reste, nous avons un niveau de confiance élevé dans l’absence de risque résiduel.
Aucune trace d’exfiltration de données hébergées ailleurs sur le système d’information du groupe, que ce soit chez Verlingue en France ou Génération, n’a été observée à ce jour lors des analyses approfondies menées par les spécialistes en cybercriminalité qui nous accompagnent.
Cependant, ce type d’attaque oblige toutefois à prendre de nombreuses précautions avant la réouverture des accès externes, ce qui peut entraîner une période d’activité en mode dégradé de plusieurs jours, et parfois de plusieurs semaines. Nous serons prochainement en mesure d’annoncer un planning de réouverture pour nos extranets clients Verlingue et Génération.
Quelles sont les prochaines étapes ?
Nous avons eu très tôt la confirmation que les sauvegardes n’ont pas été touchées et sont exploitables. Ainsi, les équipes opérationnelles travaillent depuis plusieurs jours au rétablissement de nos systèmes avec les meilleurs standards de sécurité.
Les travaux avancent à un rythme soutenu, grâce à l’engagement total de nos équipes techniques et de nos collaborateurs. Certaines briques informatiques essentielles ont déjà pu être redémarrées.
Progressivement, nous allons maintenant reconnecter nos applications métiers tout d’abord en local, pour permettre à nos équipes de répondre à nos clients. Et dès que nous aurons la garantie que notre réseau est parfaitement sécurisé, nous l’ouvrirons de nouveau vers l’externe et nos partenaires pour reprendre une activité nominale que nous souhaitons la plus rapide possible. Toutefois, ce type d’opération exige d’analyser minutieusement l’ensemble du système d’information, même si une partie seulement a été réellement touchée, car on ne veut prendre aucun risque, et c’est ce qui prend le plus de temps. Mais il est vital de lever le doute de manière très précise avant de pouvoir retrouver un fonctionnement nominal.
Au final, nous sommes donc sur le bon chemin grâce à une gestion rigoureuse et maîtrisée de cette crise.
