Retour d’expérience sur une cyberattaque : comment réagir et rebondir ?
LISE CHARMEL LINGERIE
En 2019, Lise Charmel Lingerie est victime d’une cyberattaque qui provoque un black-out total de l’entreprise, incluant la production, mais aussi la création, les fonctions achats, la logistique et le système d’information et de communication de l’entreprise.
Coût financier ? 10 millions d’euros
Sa DSI, Delphine BOULANGE et son président, Olivier PIQUET, nous font revivre de l’intérieur, la cyberattaque, la gestion de crise et sa communication, le PRA et l’accompagnement des équipes, les problèmes d’assurance qui plombent l’entreprise. Ils nous livrent ainsi leur retour d’expérience sur le difficile redémarrage de l’activité et les nouveaux process mis en place.
ENTRETIEN…
Pouvez-vous nous présenter LISE CHARMEL dans sa globalité et nous dire comment l’entreprise est structurée ?
Olivier PIQUET : LISE CHARMEL est aujourd’hui le leader mondial de la lingerie haut de gamme. C’est 800 personnes et 50 millions d’euros de chiffre d’affaires.
C’est une présence dans quasiment tous les pays du monde et une présence de la marque dans tous les réseaux de distribution – grand magasin, boutique spécialisée, boutique Lise Charmel.
Et nous avons une particularité, c’est que l’on a un côté très artisanal – d’un dessin de produit fait à la main avec un crayon, un travail de couture sur dentelle – et un côté très informatisé. Et l’une des spécificités du groupe, c’est que l’on va de la création du dessin de la dentelle à nos propres entrepôts logistiques jusqu’à nos propres boutiques avec leurs propres systèmes d’information.
Les interactions avec nos fournisseurs sont également digitalisées en temps réel. On peut dire que nous sommes un bon élève full digital, temps réel, lourds investissements et beaux outils. Donc, une très belle maison qui allie des savoir-faire et une grande modernité digitale.
Delphine, comment la DSI de Lise Charmel est-elle structurée ?
Delphine BOULANGE : Alors la DSI est une équipe de 10 personnes qui gère l’ensemble de l’informatique du groupe, que ce soit au niveau technique qu’au niveau applicatif.
Alors cette cyberattaque a lieu dans la nuit du 7 au 8 novembre 2019. Olivier, comment avez-vous été mis au courant et avez-vous pris conscience des conséquences très lourdes pour le groupe ?
Olivier PIQUET : C’est vrai que le groupe étant très informatisé et dès qu’il y a le moindre problème informatique un peu significatif, Delphine m’en informe immédiatement. Et c’est vrai que ce fameux matin, il y a eu effectivement un petit message qui était : “voilà, on a un problème, on est dessus”. Bon ! cela arrive de temps en temps et ça a été le premier contact.
Après, le deuxième qui a suivi a été un peu plus complexe parce qu’il disait que l’on avait été attaqué. Ah ? On est quand même une entreprise avec beaucoup de protection et ce n’est pas un sujet qui était ignoré. Donc, je dis : « ok, on a été attaqué et cela remarche quand ? » – une question qui peut apparaître stupide avec le recul.
Mais quand la réponse a été « on ne sait pas », c’est là où tout d’un coup, tout prend une autre coloration, parce que « on ne sait pas » n’est pas une réponse habituelle de la DSI. En tout cas, ce jour-là, c’était une réponse bien adaptée à la situation.
Delphine, de votre côté, quels sont les premiers signes de cette cyberattaque ?
Delphine BOULANGE : Le premier signe a été celui d’un utilisateur de l’entrepôt logistique qui dès le matin nous a appelé en nous disant que l’informatique ne marchait pas. Bon bah comme dit Olivier “de temps en temps, l’informatique ne marche pas. Ça arrive”. Donc on commence à regarder et puis une autre utilisatrice m’appelle en me disant : « Delphine, c’est bizarre, tous les fichiers ont changé de nom ».
Effectivement, tous les fichiers avaient changé de nom. Et là, on commence à décortiquer et on se rend compte que beaucoup de choses ont été chiffrées.
Vous prenez tout de suite conscience de l’ampleur de l’attaque ?
Delphine BOULANGE : On prend tout de suite conscience de l’ampleur parce que l’on se rend compte qu’il y a beaucoup d’outils auxquels on n’a plus accès. Et là, on décide de tout arrêter.
J’appelle Olivier pour lui dire que c’est grave, que l’on a été attaqué, que l’on n’a plus rien ou plus grand chose et que l’on est en train de regarder.
On décide alors de monter une cellule de crise et de couper tous les accès de l’extérieur. Et on a demandé aux responsables de services de propager l’information par téléphone – parce qu’évidemment, il n’y avait plus d’informatique – et de couper tous les PC. Et là, on se pose.
Olivier PIQUET : On a une gestion de crise purement systèmes d’Information – débrancher toutes les machines, etc. – tout ce qui est traitement immédiat et qui est fait par une certaine équipe. Ensuite, il y a également le volet communication parce qu’effectivement on appelle les services mais il ne faut pas créer de panique. On a des clients, des fournisseurs, des boutiques et toute l’étendue n’est pas connue.
La gestion de la communication est alors importante : ce que l’on peut dire ; A quel moment ? Quoi dire ? Quand ? Surtout que l’on ne sait pas quand on pourra redémarrer. Et c’est important d’avoir eu en amont un plan de crise. Mais là, on l’a vu, on a été obligé de le réajuster parce qu’on peut le prévoir, mais de le vivre est vraiment différent.
Qui est présent dans cette cellule de crise ?
Olivier PIQUET : Toute la DSI. Il y a eu un point une décision qui a été clé, celle de ramener la DSI des différents sites, toutes les équipes, sur le site principal. C’est un élément clé parce que finalement, on n’avait pas cette dématérialisation – « l’informatique » qui est ailleurs et qui a à gérer un virus – mais bien un problème d’entreprise. C’était important qu’il y ait cette vision physique, des équipes présentes, un groupe de projets, des groupes de travail qui se sont montés.
Du coup, il y a eu un côté assez concret de l’ampleur des équipes qui ont bossé pendant des semaines, week-end inclus. Cela a été partagé par tout le monde et c’était important pour la compréhension des autres services notamment dans l’entraide. Cela a maintenu un certain niveau d’activité et dans la phase de reconstruction et de redémarrage, tout le monde a été proactif.
On n’avait pas cela dans nos plans initiaux et c’est à recommander. C’est une problématique d’entreprise à la fois dans sa prévention mais aussi, dans sa résolution.
Delphine, à ce moment-là, vous faites appel à des entreprises extérieures ?
Delphine BOULANGE : On a appelé notre prestataire avec lequel on travaille plus particulièrement sur toute la partie infra, donc il était bien identifié. Et j’ai également appelé l’ANSSI pour avoir des recommandations. L’ANSSI nous a dit qu’elle ne pouvait pas travailler avec nous parce qu’on était trop petit et qu’il y avait d’autres problèmes de cyberattaque en même temps.
En revanche, ils nous ont donné des recommandations et une liste de prestataires de réponses à incidents. Ils nous ont aussi rassurés et expliqués comment cela se passait dans la majorité des cas. Bon, « rassurer », je ne sais pas si c’est le mot mais en tout cas, ils nous ont accompagné sur le début de la crise.
Olivier, j’imagine que, vous aussi, vous devez rendre des comptes. Comment avez-vous abordé ce sujet de communication.
Olivier PIQUET : Au niveau de la direction, la transparence a été claire sur l’étendue de la situation et de ce que l’on devait réaliser dans les semaines suivantes.
Sur la communication extérieure, fournisseur, client, presse, on a fait le choix de la transparence. On ne peut pas avoir 2 500 clients à travers le monde qui ne vont pas comprendre que l’on ne va plus les livrer alors que nous livrons normalement sous 24 heures. Donc forcément, cela va savoir. Et puis, ce n’est pas dans notre culture.
Effectivement, après concertation des justes mots à employer avec les équipes commerciales, nous avons prévenu nos clients et fournisseurs que l’on avait été victime et qu’il fallait trouver des processus alternatifs et savoir finalement temporiser.
Avec le recul, je pense que c’était la bonne décision parce que cela a duré des semaines et tout le monde s’est groupé avec nous pour essayer de trouver des solutions.
Avec malgré tout quelques effets négatifs, celui par exemple d’avoir l’image que nous ne n’étions peut-être pas bon en informatique.
Or l’on sait que cela fait partie des risques comme le risque incendie, le risque inondation ou le risque de vol. Être très digitalisé veut dire accepter aussi ce risque. Et être attaqué en 2019, ce n’est pas pareil qu’aujourd’hui.
Et vis-à-vis des clients, attaque informatique veut dire virus et donc la peur d’être contaminé. Alors il n’y avait pas eu encore le Covid mais si vous dites ” j’ai eu une cyberattaque”, on a la peur d’un mail vérolé. On a eu le retour de clients qui au moindre problème informatique chez eux disaient, “c’est Lise Charmel“.
Enfin, comme il n’y a pas eu d’extraction de données, la communication était claire.
Très concrètement, combien de temps l’activité a-t-elle été stoppée ?
Olivier PIQUET : Pendant un mois, on a eu un arrêt quasi-intégral. Comme la décision a été de ne pas rentrer dans les négociations avec les hackers, on a reconstruit tout notre système d’information, de nos 350 unités centrales, 64 serveurs, de tout refaire from scratch, avec les temps machines, avec le rechargement des sauvegardes. Enfin tous les traitements qui étaient nécessaires.
Donc, c’est un mois sans IT et ensuite, c’est une reprise progressive. Mais comme on est dans la mode et qu’on est sur des collections, il faut refaire les inventaires, il y a plein de spécifiques dans les ateliers ou sur les différents sites.
Globalement, on a eu un impact de l’ordre de six mois sur nos activités. Et encore parce qu’il a été contenu par la qualité à la fois des prestataires informatiques et de nos équipes qui se sont mobilisées.
Est-ce que l’on peut avoir un chiffre de ce que représente l’impact économique ?
Olivier PIQUET : L’impact est de l’ordre de 10 millions d’euros. Alors il se trouve qu’on était assuré pour ce risque donc on a un dossier de discussion avec l’assurance.
Alors, la question d’assurance du cyber-risque et le rôle que doit jouer les assurances est un sujet épineux. On n’a toujours pas touché cette somme.
Delphine, un PRA (plan de reprise d’activité) était-il prévu ?
Delphine BOULANGE : Oui. Nous avions des sauvegardes sur bande ce qui est très important et un PRA qui était débranché au moment de l’attaque et qui n’a donc pas été touché. Donc, grâce au PRA, 95% de nos serveurs ont pu être remontés et 5%, grâce aux sauvegardes.
Est-ce qu’il y a eu une perte de confiance au niveau des investisseurs ?
Olivier PIQUET : Lise Charmel a la chance d’avoir un capital familial. En revanche, les assureurs n’ont clairement pas joué leur rôle et ont même compliqué les choses parce ce que l’on pouvait pas tout reformater parce qu’il fallait garder des preuves. Il a fallu attendre qu’un expert vienne. Et je le rappelle, nous sommes en novembre 19 et ce type d’attaque est assez nouveau. Donc la question était de savoir quel expert devait être missionné et qu’est-ce qu’il devait regarder. Donc ce sont des choses qui nous ont plutôt retardé .
Du côté de nos partenaires bancaires, il y a eu différentes réactions. A l’époque, il y avait une extrême crainte sur la plupart des acteurs dès lors que vous étiez très digitaux. Vous n’avez plus votre système, et cela va durer des semaines. Donc qu’est-ce qui va se passer ? Est-ce que vous allez surmonter cette épreuve ? Reconstruire votre système d’information ? Donc, il y a eu beaucoup d’inquiétudes de ces différents acteurs.
Delphine, est-ce qu’il y a eu un traumatisme des équipes IT ?
Delphine BOULANGE : Vivre une cyberattaque, c’est une agression phénoménale et du coup, c’est très compliqué à vivre parce qu’on sent bien qu’on a le poids de l’entreprise [sur les épaules]. On a quand même 800 personnes à l’arrêt. Donc, il y a une grosse pression. Et même si on sait que les cyberattaques existent, on n’imagine pas que cela va nous arriver. Alors quand cela vous arrive, c’est très compliqué.
Est-ce que vous savez par où sont entrés les cybercriminels ?
Delphine BOULANGE : Oui ! Nous savons qu’ils sont rentrés par un mail personnel : quelqu’un a cliqué sur un lien dans un mail d’une boîte perso.
Avez-vous identifié le collaborateur et comment réagit-on vis-à-vis de celui-ci ?
Olivier PIQUET : Oui, nous l’avons identifié mais lui-même ne le sait pas. Alors on n’a pas de certitude mais l’équipe d’investigation pense avoir trouvé la porte d’entrée. Nous sommes trois personnes à savoir effectivement quel est le poste.
On a décidé de ne pas le divulguer parce ce que cliquer sur un mail – on le fait tous et nous sommes en 2019 – et mettre toute l’entreprise à terre, cela peut avoir des conséquences personnelles très graves. Donc la décision a été claire. Celle de ne pas discuter avec cette personne.
Quand cela a fuité que l’on avait identifié le patient 0, il y a eu un stress dans les équipes. Chacun espérait ne pas en être l’auteur. Mais pour nous, le sujet était le point technique : comprendre ce qui s’était passé et non la responsabilité d’une personne.
Je pense que c’est un sujet sur lequel il faut faire très attention parce que, d’un point de vue psychologique, la charge de responsabilité peut être un moment catastrophique.
En tant que président, est-ce que cette cyberattaque a changé votre regard sur l’IT ?
Olivier PIQUET : Sur le fait de se digitaliser et de se protéger, le risque était déjà appréhendé. En revanche l’aspect psychologique n’était pas assez appréhendé et notamment au niveau de l’équipe IT. Après coup, ce sont des choses que l’on renforcera et on fera un petit peu différemment.
Après, sur les batteries de sécurité que l’on avait mis en place entre les bandes, les PRA, les disques etc. on avait le sentiment d’avoir beaucoup de choses. L’expérience a montré que ce qui était prévu et censé résister à des attaques n’a pas résisté.
Le message est que la seule sécurité, c’est d’avoir à un moment des sauvegardes qui sont déconnectées. Si Lise Charmel n’avait pas eu ces sauvegardes et n’avaient pas pu récupérer ses datas, je pense qu’il n’y aurait plus de Lise Charmel aujourd’hui.
Parce que sans ses datas, sans ses savoir-faire, une immense part de l’entreprise disparaît. On en était conscient mais on est venu encore le renforcer. Et ce renforcement passe obligatoirement par des investissements.
Delphine, quels sont les points techniques que vous avez mis en place ?
Delphine BOULANGE : On a choisi de complexifier le système et de faire en sorte que si jamais ils reviennent, qu’ils soient confrontés à des murs à chaque fois et qu’ils soient obligés de trouver comment les franchir. On a séparé nos infrastructures ; on a mis des outils de contrôle ; on a renforcé la sauvegarde et l’externalisation des sauvegardes ; on a fait d’autres types de sauvegardes.
On a mis en place un tas d’outils qui complexifient le système et on est obligé d’en passer par là. Alors ça le complexifie pour eux mais également pour nous dans notre gestion au quotidien. Mais nous n’avons pas le choix.
Avez-vous réalisé un accompagnement pour vos collaborateurs ?
Delphine BOULANGE : Tout à fait ! Nous avons fait beaucoup de sensibilisation auprès des utilisateurs, notamment des campagnes de phishing : on ne les prévient pas et ensuite on analyse les réactions. On fait beaucoup de sensibilisation là-dessus parce qu’on se rend compte que dans la majorité des cas, c’est par le phishing que cela rentre.
Olivier PIQUET : Et il faut sans cesse relancer et revenir dessus, parce que, même en ayant été victime d’une cyberattaque avec cette ampleur, on se rend compte que lorsque l’on fait des campagnes de phishing, ça continue de cliquer.
Alors si vous avez cliqué sur quelque chose qui vous semble un peu bizarre, ce n’est pas grave d’avoir cliqué. Par contre, vous prévenez immédiatement la DSI. Mais malgré ces campagnes, malgré ce qu’on a vécu, on continue d’avoir des clics sans que la DSI soit prévenue. Et ça, c’est un immense travail parce que l’on a une grande faiblesse.
Malgré tous les outils mis en place, il y a ce risque qui reste. D’autant que l’on sait que l’on sera ré-attaqué.
Mais s’il y a un point clé, c’est ce qui a été mis en place ou amélioré aujourd’hui dans nos plans de reprise pour que l’on puisse redémarrer plus rapidement. Delphine en a parlé : la question des PRA, la question des bandes, les clés… parce que le PRA permet d’aller beaucoup plus vite puisque tous les 5 ans, il faut les connecter. La question des bandes, il y a beaucoup plus de temps.
Mais pour les bandes, il y a une question de fiabilité que l’on va avoir au niveau des données. On ne peut pas aujourd’hui juste dire : “j’ai fait une sauvegarde et donc finalement, c’est ok.“
Et il faut faire aussi des exercices de cyberattaque, comme l’on fait des exercices incendie. C’est quand même un bon sujet de se dire : “si ça devait se passer, qu’est-ce que je fais ?”
Car sachez qu’après une cyberattaque, vous n’avez plus rien : plus de voiture IP, d’iPhone, plus d’e-mail, plus de badges pour rentrer dans les bâtiments. Au mieux, il vous reste votre boîte perso Gmail. Donc, il faut l’anticiper par un jeu d’entraînement et de situation de crise dans sa globalité.
Et enfin, que votre plan de reprise soit très bien écrit et que vous ayez le 06 de votre prestataire en cas de crise.
Propos recueillis par Julien Merali, Général Manager du Pôle IT d’Agora Managers
Retrouvez également dans la vidéo :
La Minute légale de Simon Associés : Open Source et Logiciel Libre, quelle différence ?
La minute Benchmark de Qwanza : +5,5%, les dépenses informatiques dans le monde en 2023.
