Ce billet est écrit dans le respect des recommandations du procureur de la République concernant ce blog suite à l’affaire Zythom.

Ceci est une histoire vraie. Ces événements ont eu lieu en France au 21e siècle. À la demande des survivants, les noms ont été changés. Par respect pour les morts, le reste est décrit exactement comme cela s’est déroulé (ref).

Dans ce dossier d’assurance en rapport avec un ransomware ayant bloqué pendant plusieurs mois l’entreprise, me voici en réunion d’expertise face au directeur général, au DSI, au représentant de l’assureur et aux avocats mandatés par chaque partie pour représenter leurs intérêts.

Comme souvent, la réunion démarre par un état des lieux basés sur tous les documents échangés entre les parties. C’est assez laborieux, mais c’est la base : il faut étudier les pièces, et le faire de manière contradictoire, c’est-à-dire devant toutes les parties concernées. L’entreprise est de taille moyenne, avec environ 2000 ordinateurs répartis sur plusieurs sites français. On me présente des diagrammes relatifs aux investissements informatiques, l’état du parc de machines, les liens réseaux entre les sites, entre le siège et les usines, la collecte d’information, les projets, la migration en cours vers le cloud…

La journée se déroule sans accroc notable et lorsque les pièces ont été présentées et discutées, je demande à ce que les sachants techniques soient auditionnés. C’est toujours un moment délicat car très impressionnant pour les personnes dont je demande l’avis et qui ne sont pas au courant…

Je demande à entendre le responsable du service qui gère les postes de travail. Celui-ci m’explique le fonctionnement général de son périmètre : les ordinateurs sont gérés avec un logiciel de gestion de parc, qui inventorie beaucoup d’informations, dont en particulier l’état des mises à jour. Il me parle de la mastérisation des postes. Il me décrit la politique de déploiement des mises à jour qui consiste à allumer les ordinateurs à distance la nuit pour leur faire appliquer les différentes mises à jour, les faire redémarrer une fois, par principe, les éteindre ensuite par soucis d’économie d’énergie. Les salariés sont habitués à cette procédure et ont comme consigne d’éteindre leur ordinateur tous les soirs.

Le responsable précise en fin d’intervention, que le processus de mise à jour est géré in fine par l’équipe réseau qui est la seule à pouvoir allumer les ordinateurs la nuit par une procédure complexe liée à la segmentation réseau. Je lui demande si son équipe vérifie bien à chaque fois que les mises à jour sont correctement appliquées sur tous les postes, et s’il dispose d’un indicateur de suivi. Il m’informe que c’est l’équipe réseau qui suit tout cela. J’insiste en lui demandant qui est responsable du maintien en condition opérationnelle des ordinateurs de l’entreprise, et je sens un flottement dans la salle : “oui, c’est moi, mais c’est l’équipe réseau qui sait faire les mises à jour de manière centralisée”.

Je surprend un échange de regards entre le directeur général et le DSI qui commence à transpirer un peu. Je demande à voir le responsable de l’équipe réseau.

Le DSI me répond alors : “Alors, heu, il y a eu un petit problème au sein de l’équipe réseau, quelques mois avant la cyberattaque… Comment dire, oui, un problème de relation humaine. Le responsable de l’équipe réseau est parti brutalement, en abandonnant son poste…”

Je demande s’il a été remplacé, ou s’il a un adjoint que je pourrais interroger.
Le DSI : “Alors, oui, il y a bien quelqu’un, mais… Bon, je vais le faire appeler…”

C’est alors qu’entre dans la pièce un jeune un peu pâle, intimidé par les regards qui se posent sur lui. Je le fais asseoir près de moi, et lui demande de se présenter.

“Bonbonjour, je m’appelle Antoine. Quand Monsieur Jérôme est parti, il a emmené toute l’équipe avec lui, et j’ai dû gérer les parefeux et les routeurs de l’entreprise, renouveler les contrats des fibres noires et des accès internets, modifier les règles BGP, les exceptions, les changements, les mises à jour de firmwares, les configurations et les différentes mises à jour. Puis le ransomware a explosé toute l’organisation et j’ai été mobilisé comme tout le monde sur la gestion de crise et la remise en état des ordinateurs…”

Moi : “Mais vous êtes tout seul ? Vous avez quel âge ?”
Lui : “J’ai 23 ans, je suis en dernière année de formation par alternance.”

Tout le fonctionnement du réseau informatique de l’entreprise ne reposait plus que sur une personne, excellente par ailleurs. Un geek très compétent et impliqué dans son travail. Mais cette personne ne savait pas qu’elle devait également s’occuper de la mise à jour des ordinateurs de l’entreprise. Elle ne savait pas non plus que le démarrage nocturne des ordinateurs ne fonctionnait plus, que l’état des mises à jour montrait que les postes n’étaient plus à jour depuis plusieurs mois, ni qu’un pirate avait un pied dans l’entreprise grâce à un phishing réussi…

Toute l’entreprise tournait grâce à une personne qui faisait ce qu’elle pouvait.

Le dernier soutier.

Je lui ai demandé s’il avait déjà visité le Nebraska, il m’a répondu que non. Personne n’a compris ma question, mais personne n’a insisté.

Source Xkcd https://xkcd.com/2347/