Josef W, président de Octopus – worldwide Superyacht Rental & Sale, se remet lentement de sa crise cardiaque. Le site de l’événement de l’année « Superyacht Week » a été piraté. En plus de la perte financière, c’est la réputation de cette entreprise familiale qui est en jeu.
Que s’est-il passé?
Depuis des années, « Octopus – worldwide Superyacht Rental & Sale » organise la « Superyacht Week » à Malte, un événement qui réunit à la fois les partenaires d’affaires, des clients solvables venant des 4 coins du monde, ainsi que les « rich and beautiful ».
Les billets de la « Superyacht Week » se sont presque tous vendus en l’espace de quelques semaines au travers du système d’inscription et de payement en ligne mis en place par Octopus. Pourtant, le département financier n’a enregistré aucun payement.
Après quelques investigations, l’équipe d’experts en sécurité constate que le site web, y compris le système de réservation en ligne, ont été compromis. En clair, les données des inscriptions en ligne ont été détournées et le compte relié au système de payement a été remplacé par un compte à l’étranger. Octopus doit en conclure que le montant des frais d’inscription se trouve sur des comptes bancaires appartenant à des cybercriminels.
Les pirates réagissent immédiatement lorsqu’ils apprennent que les experts en sécurité sont intervenus. Ils effacent toutes les données du site web et remplacent la homepage par le message : « Superyacht Week CANCELLED ».
A court terme, l’image d’Octopus est ruinée.
Que doit faire Octopus à présent?
Rassembler l’équipe de gestion de crise et mettre en œuvre des mesures techniques, juridiques et opérationnelles:
Mesures techniques
• Retirer le serveur Web du réseau: isoler le serveur pour le mettre hors d’atteinte des criminels,
• sécuriser les preuves: faire une copie de la mémoire informatique: dans la mémoire informatique se trouvent des « données-live » qui sont essentielles pour l’analyse technique légale,
• sauvegarder les données qui peuvent encore être sauvées: même des données effacées peuvent être récupérées,
• analyser les log-files: toutes les activités et processus sont documentés et archivés dans les log-files,
• réinstaller les systèmes pour nettoyer l’ordinateur,
• changer les mots de passe: tous les mots de passe pour tous les systèmes et applications doivent être changés,
• informer le CERT – Computer Emergency Response Team local: les experts d’un CERT peuvent vous assister dans la mise en œuvre technique.
Mesures juridiques
Porter plainte
Mesures de gestion
- Prévenir l’assureur et faire le point sur la couverture du sinistre,
- communiquer avec les clients pour les avertir que leurs données personnelles ont été détournées par des criminels et pourraient être utilisées pour leur nuire. Leur indiquer que l’événement n’est pas annulé,
- communiquer de manière proactive sur les réseaux sociaux et avec les médias,
- mettre en œuvre le plan de continuité des activités (Business Continuity Plan).
Quelles mesures de prévention Octopus aurait dû prendre en amont?
• Mettre à jour régulièrement tous les composants des serveurs, tels que CMS incluant les plugins, etc. et faire des tests d’intrusion,
• effectuer des sauvegardes régulières,
• faire du Logging extensif (faire le suivi du Network Traffic),
• analyser régulièrement les Log-files,
• établir des contacts avec les CERTs à titre préventif.
Heureusement, « Octopus – worldwide Superyacht Rental & Sale » avait mis en place un plan d’intervention et de continuité des affaires en cas de situations de crise et avait conclu un contrat d’assurance professionnelle.
Noms et actions fictifs mais basés sur des scénarios réalistes.