Umanis, victime de Netwalker ? Cette piste se dessine. L’implication d’un ransomware ne fait en tout cas guère de doute, au vu des discussions que tiennent certains employés de l’ESN.
La communication officielle fait simplement état d’un « virus » contracté dans le cadre d’une cyberattaque survenue le 14 novembre. On nous affirme avoir « immédiatement [stoppé] » sa propagation, moyennant une déconnexion du réseau pendant le week-end. Objectif : un « retour à la normale dans les prochains jours »…
Umanis n’apparaît pas pour le moment sur la liste « officielle » des victimes revendiquées de Netwalker. Des entreprises françaises y figurent déjà. Scutum (sûreté-sécurité), Kinaxia (immobilier), Activisu (équipements pour opticiens), Record (portes automatiques) et Prismaflex (panneaux d’affichage et impression grand format) font partie des dernières à l’avoir rejointe.
Pas de trace, en revanche, d’une quelconque entité de la sphère Covéa. Alors même qu’on soupçonne Netwalker d’avoir touché, cet été, plusieurs entités du groupe mutualiste. En particulier MMA.
Le blog de la CGT Covéa donne un aperçu de la chronologie des événements… et des conséquences à plus ou moins long terme.
Le collectif syndical avait publié un premier billet le 23 juillet. Soit quasiment une semaine après la détection de l’attaque. Confirmant que l’ensemble du réseau informatique de MMA restait coupé, il en appelait à la « transparence » de la direction. Tout en soulignant que celle-ci avait tenté d’imposer la prise de congés/RTT, avant de se rétracter et de passer en « absence autorisée rémunérée » les salariés en incapacité de mener des activités sur site.
Le 27 juillet, au lendemain d’un CSE au Mans, deuxième billet. Le réseau est toujours coupé : pas d’applicatifs métiers en interne ; ni, pour les clients, d’accès aux services de gestion. La CGT explique que Covéa a reçu une demande de rançon, mais n’y a pas répondu. Le groupe réfute par ailleurs tout accès à des « bases de données lourdes ». L’absence de revendication officielle de l’attaque accrédite alors cette affirmation.
L’incident a des conséquences organisationnelles. D’un côté, l’ensemble des salariés (sauf ceux en congé) ont pour consigne de rapporter leur matériel pour analyse. De l’autre, le télétravail n’est plus possible jusqu’à nouvel ordre – avec une exception pour les personnes vulnérables qui ont un certificat médical d’isolement.
La direction Indemnisation avance une perte de 30 000 heures d’activité. Covéa envisage le recours aux heures supplémentaires, sur la base du volontariat pour commencer.
Le 30 septembre, lors d’un CES central portant sur la DTSI (Direction Technologie & Systèmes d’Information), les représentants CGT font le bilan. Bilan qui va évidemment dans le sens des salariés, mais qui soulève des questions stratégiques intéressantes. Entre autres :
À la mi-octobre, à l’issue d’un CSEE à Levallois, la CGT Covéa publie quelques-uns des détails techniques « probables » de l’attaque. Rapidement, elle en masque certains et admet un déroulement « légèrement différent » de celui présenté. En insistant sur le « légèrement ».
Dans les grandes lignes, un pirate aurait pris, au 1er trimestre 2020, le contrôle du poste de travail Windows 7 d’un agent. À partir de là, il se serait implanté durablement sur une passerelle Citrix en exploitant une faille pour laquelle l’éditeur proposait un correctif depuis décembre 2019. Il aurait alors pu récupérer un compte d’administrateur sur l’Active Directory.
Illustration principale © lolloj – Fotolia
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
