Solware : une com' ouverte face au ransomware Conti

À quoi ressemble une gestion de crise chez un éditeur victime d’un ransomware ? Le fil d’info public que tient Solware donne des réponses.

Conti, ransomware le plus actif en France ? Il se distingue en tout cas par le nombre de victimes faites sur place ces dernières semaines. Ou tout du moins revendiquées comme telles sur son « site vitrine ». Parmi les dernières ajoutées, il y a Vivea (fonds d’assurance formation agricole), Assu 2000… et Solware.

Chez les deux premiers, on ne recense aucune communication au public. Il n’en va pas de même chez le troisième. Dans l’absolu, l’éditeur et intégrateur rhônalpin garde le silence sur son site corporate comme sur ses réseaux sociaux. Mais quand on se rend sur le portail d’accès à ses logiciels SaaS, c’est tout un plan de crise qui se dévoile.

Sur la page d’accueil dudit portail, deux liens. L’un résume la situation pour les logiciels easysuite et Livia, signés de la branche Solware Life et destinés au secteur médicosocial. L’autre concerne winmotor, autogest et Incadea, les logiciels de la branche Solware Auto.

Pour la partie Life, les nouvelles sont bonnes : l’attaque n’a pas eu d’impact sur les données, qui se trouvaient dans un environnement HDS à part. L’accès aux applications est rétabli depuis le 25 août – soit deux semaines environ après l’attaque de Conti.

Pour la partie Auto, c’est plus compliqué. La première communication était intervenue le 18 août. On nous annonçait le chiffrement de l’ensemble des données hébergées. Ainsi que des environnements de sauvegarde.

Solware vise un retour à la normale en novembre

Le 22, Solware précisait qu’il allait additionner d’un courrier le mail d’avertissement envoyé aux clients touchés. Le 25, l’éditeur officialisait la mise en place de solutions de contournement. Le lendemain, il faisait part d’une première échéance : le possible rétablissement des services de messagerie et de téléphonie « d’ici [à] la semaine prochaine ».

Aux dernières nouvelles, ces services restent inopérants. Les logiciels aussi. En tout cas les versions hébergées. En attendant, Solware a engagé – le 24 août – un plan de déploiement en local* pour chaque client affecté (environ 1300 garages). La démarche a consisté à rétablir des fonctionnalités essentielles, sur un petit nombre de postes. Cette semaine doit démarrer le déploiement de services supplémentaires.

Pour ce qui est du retour à une « situation nominale », ce ne sera pas dans l’immédiat. Le 1^er septembre, on nous annonçait la couleur : « Toutes [les] opérations prendront probablement encore plusieurs mois ». Le 10 septembre, même son de cloche, avec davantage de précisions. Dans les grandes lignes :

« Le travail engagé sur nos serveurs de sauvegarde pour tenter de récupérer des données […] doit encore se poursuivre pendant 3 à 4 semaines ».
En cas de récupération effective des données, « il faudra encore plusieurs jours pour [les] reconstruire ».
Le retour à la normale est prévu pour novembre (fin du mois en cas de non-récupération des backups).

Ce 20 septembre, Solware a publié un document supplémentaire. Éléments principaux :

Possibilité d’accès frauduleux à des données personnelles de clients
Appel à la vigilance contre les tentatives de phishing
Plainte déposée contre X
Saisine de deux avocats

Quant à parler indemnisation, Solware considère que « le traitement de ce sujet est prématuré ». La foire aux questions relative à l’incident témoigne des priorités. Parmi elles, les relations des clients vis-à-vis de l’administration fiscale. Principal risque : ne pas être en mesure de produire les fichiers d’écriture comptable en cas d’impossibilité de restaurer des sauvegardes.

* Winmotor est la principale cible de ce plan. Sur autogest, ce sont les options mobilité sur tablette et géolocalisation qui sont inopérantes. Il faudra plusieurs semaines pour les rétablir, nous affirme-t-on.

Lire aussi : De la Bretagne au Luberon, la France toujours sous le feu des ransomwares