L’AFNOR était en train de déployer sa feuille de route cyber, qui prévoyait notamment l’implémentation de solutions de sécurité, quand elle a été frappée par un ransomware en février 2021.
Pour faire face à cette attaque majeure qui aura paralysé le Système d’Information pendant plusieurs semaines, et entraîné une crise qui aura duré près de 3 mois, un dispositif complet de sécurité a dû être déployé en un temps record.
L’EDR faisait partie intégrante des solutions préconisées par l’équipe de réponse à incidents qui accompagne l’AFNOR pour la remédiation et la remise en sécurité.
Il s’agissait en effet de mettre en place les mesures visant à éviter que la crise ne se reproduise.
"Nous savions que le ransomware était une menace pour nous. L’AFNOR était en phase de déploiement des différentes mesures de protection de son Système d’Information, mais nous avons été pris de court, et nous avons dû intervenir le plus vite possible. Nous avons donc réalisé en 3 mois ce que nous avions planifié sur 3 ans !"
Jean-Marc Aubert, RSSI
En termes d’organisation interne, il n’était plus question de convaincre de la pertinence d’un EDR, mais d’expliquer en interne que les mesures prises étaient les bonnes.
"J’ai présenté l’ensemble des mesures de sécurité adoptées au COMEX, en reprenant le schéma d’attaque réalisé par les équipes Forensique et Réponse à incident.
Tout au long du chemin d’attaque, j’ai pu montrer en quoi l’EDR aurait permis de détecter, limiter, voire empêcher l’attaque.
En pratique, si nous avions été protégés par un EDR, l’attaquant aurait eu beaucoup plus de mal à prendre la main sur les postes de travail et les serveurs, ou il n’aurait simplement pas réussi, car soit nous aurions reçu des alertes, soit les actions malveillantes auraient pu être bloquées en amont."
Jean-Marc Aubert, RSSI