Informatique indisponible

LE CONTEXTE

Une pièce jointe à un e-mail a été ouverte par une collaboratrice du service comptabilité sur son ordinateur.

Le temps que le responsable informatique local puisse réagir, il a été constaté le chiffrement des fichiers accessibles depuis le profil utilisateur : chaque fichier visé était rendu illisible et renommé en ajoutant l’extension « .mp3 ». Par ailleurs, des fichiers apparaissant sur l’ordinateur indiquaient la nécessité de verser 500 dollars avant le 2 mars 2016 ou 1000 dollars après cette date en BITCOIN.

L’ACTION GM CONSULTANT

Dès réception de la mission, notre expert cyber risk s’est rendu sur place afin d’assister le service informatique. Nous avons accompagné l’assuré dans ses démarches et vérifié avec lui qu’il avait bien cerné l’origine et la nature de l’incident ainsi que le périmètre impacté avant de valider le plan d’actions associé et déjà en cours. L’intervention rapide de l’expert sur site a permis également de récupérer le mail malveillant constituant le fait générateur du sinistre. Les applicatifs des serveurs ont été remis en service progressivement le lendemain matin une fois l’infection contenue et traitée.

L’expert de GM Consultant a par la suite analysé les preuves collectées sur site et établi la nature de l’infection : malware de type Ransomware de souche Teslacrypt 3.0, la date et l’heure, le point d’entrée, le lien entre le ransomware et le constat, l’étendue de l’infection et les conséquences.