Etude de cas

HarfangLab contre BlackCat chez un acteur majeur de la distribution

6 min

Depuis 2021, HarfangLab protège les 6000 endpoints d’un important groupe de distribution français présent dans une cinquantaine de villes en France, spécialisé dans la mode, et confronté à une attaque par ransomware lors la phase de POC. Cet incident a heureusement été maîtrisé, et a par ailleurs scellé une relation de confiance entre les deux acteurs.

*Pour préserver la confidentialité des informations qui touchent à sa cybersécurité, le groupe préfère témoigner de façon anonyme.

Secteur : Distribution
Nationalité : Française
Nombre de collaborateurs : 14 000
Chiffre d’affaires : 4,5 milliards d’€
Endpoints supervisés : 6000


Contexte cyber et menaces spécifiques au secteur de la distribution

Le groupe est conscient du risque cyber et prend le sujet très au sérieux : il est classé comme deuxième risque majeur, juste après les attentats terroristes.

Pour un acteur de la distribution, le risque le plus critique est l’arrêt des caisses en magasins, et donc les pertes business. Le groupe est également exposé à de potentielles fuites de données qui pourraient dégrader sa réputation et la confiance que les clients et les différentes parties prenantes lui accordent, non seulement en France, mais aussi à l’international.

Le ransomware est donc un risque majeur pour l’entreprise, ainsi que, dans une moindre mesure, les attaques DDoS.


Objectif : renforcer la capacité de détection des menaces

En 2021, le groupe est équipé d’un antivirus sur les serveurs Windows et les PC. Il souhaite renforcer ses capacités de détection des menaces en mettant en place un EDR pour protéger ses terminaux. Le RSSI témoigne : « Nous étions conscients que l’antivirus était à bout de souffle et que l’EDR adresserait beaucoup mieux les nouvelles menaces. En mettant en place un système qui combinait les deux solutions, nous avions pour objectif d’assurer un meilleur niveau de sécurité. »

Après une première phase de qualification, l’EDR d’HarfangLab est alors en concurrence avec différents acteurs, et il est finalement retenu dans la dernière phase de tests, aux côtés d’éditeurs américain.

« J’ai apprécié le fait que l’EDR soit certifié par l’ANSSI, mais j’étais aussi rassuré de retrouver parmi les clients d’HarfangLab des entreprises qui ne transigent pas avec la sécurité (Thales, Safran, Nexter) », ajoute le RSSI.

Début novembre, des agents sont déployés sur ~300 machines en mode detect only, pour les besoins du test. La phase de POC peut donc commencer.


Un cadeau de Noël nommé BlackCat

A la mi-Décembre, une attaque est détectée sur une partie du parc machines. En effet, les collaborateurs qui travaillent en entrepôt constatent que certains PC sont en mode sans échec.

L’origine de cette attaque – en pleine période de Noël, critique pour un commerçant – est un ransomware aujourd’hui reconnu comme une menace cybercriminelle majeure, mais encore inconnu à l’époque. Il s’agit de BlackCat, aussi appelé ALPHV.

L’attaquant a infiltré le système d’information à partir d’un vol d’identifiant d’un employé et a réussi à escalader les privilèges. Il a pris le contrôle de l’Active Directory, et programmé une GPO (Group Policy Object). Celle-ci prévoit le déploiement d’un payload sur tous les PC et serveurs Windows, censé chiffrer les machines au démarrage.

Une centaine de serveurs Windows prennent la charge, ainsi que les postes de travail allumés très tôt le matin. Pas de vol de données heureusement, et au final, « seulement » 400 postes sont touchés, une petite proportion par rapport au nombre total de machines. Aucun poste n’est chiffré car le payload n’a pas réussi à s’exécuter totalement.


Une task force pour contrer la menace

La réactivité des équipes pour contenir la menace

Le RSSI sollicite HarfangLab qui fait le maximum pour accompagner son futur client pendant cette phase de POC.

Une task force se met alors en place :

  • Les équipes d’HarfangLab se rendent au siège du groupe dès le samedi afin d’aider les équipes de sécurité à paramétrer la console.
  • Un CSIRT est appelé pour intervenir et chercher les traces de l’attaque.
  • Les équipes CTI d’HarfangLab identifient la menace, et investiguent aux côtés du CSIRT pour récupérer des logs et des IOC.
  • HarfangLab assiste également le client lors des réunions de crise.

Résultat ? Grâce à un travail conjoint des équipes internes, du CSIRT et d’HarfangLab, dès le lendemain la menace est identifiée et peut être contenue par les équipes internes. La grande majorité des machines peuvent repartir. En parallèle, et après accord d’Harfanglab, les équipes internes lancent le déploiement des agents sur l’ensemble du parc postes utilisateur, afin de protéger la quasi-totalité des terminaux en moins d’une semaine.

Cette réactivité dans la réponse montre que la proximité entre client et éditeur, trop souvent ignorée, peut être un véritable atout dans certaines situations. Le RSSI a particulièrement apprécié ce travail d’équipe : « Quand on est en guerre, on apprécie d’être soutenu de la sorte par ses alliés. Cette expérience nous a permis de voir qu’au-delà de la solution et des tests techniques, nous avions en face de nous des équipes expertes, compréhensives et aidantes. »

L’utilité de l’EDR pour investiguer et permettre la reprise rapide de l’activité

L’EDR a montré son utilité pour évaluer rapidement l’étendue des dégâts et poser un diagnostic, et pour l’investigation post-attaque. En 15 jours seulement, toutes les informations sur l’attaque étaient connues : le chemin, le payload déposé par l’attaquant, etc. Comprendre de la manière la plus précise possible ce qu’il s’était passé, comment, et ce qui avait été fait pour arrêter la menace a permis d’améliorer la résilience du client.


En conclusion

Face à un incident de sécurité majeur, HarfangLab a mis en place une plateforme de réponse aux incidents en quelques heures, tout en assistant le client dans de premières actions de remédiation et en le dirigeant vers un partenaire CSIRT. En peu de temps, HarfangLab EDR et son partenaire ont pu investiguer sur l’incident afin qu’il soit contenu et résorbé par les équipes internes.

Les performances de la solution et les moyens déployés pour répondre à l’incident ont permis à HarfangLab de gagner la confiance du client, et de nouer une relation pérenne : « HarfangLab a une roadmap en évolution constante et les engagements sont tenus. L’accompagnement est très apprécié des équipes : nous avons une très bonne visibilité sur l’ensemble des fonctionnalités et donc la garantie que nous exploitons la solution à 100% », conclut le RSSI.


Vous voulez tester concrètement le fonctionnement et les avantages de notre solution ?