Comment Toulouse INP a fait face à l’attaque informatique dont elle a été victime

Le Pôle Léonard de Vinci, l’Université de Toulouse, l’Université Paris 8 Vincennes Saint-Denis, l’Université Jean-Moulin Lyon 3 ou plus récemment, le 7 juin, Aix-Marseille Université. Plusieurs attaques informatiques ont été recensées dans le supérieur ces dernières années. 

Si les établissements tentent de s’en prémunir en amont, comment faire face une fois la cyberattaque détectée ? Brigitte Sor, directrice des systèmes d’information (DSI) de Toulouse INP, retrace les différentes phases qu’a traversé le groupe d'écoles d’ingénieurs depuis le 12 septembre 2022, date à laquelle une intrusion a été détectée sur les infrastructures réseaux.

Un retour d’expérience rare proposé lors des Assises du Comité des services informatiques de l’enseignement supérieur et la recherche (Csiesr) sur la presqu'île de Giens, le 10 mai dernier.

Une période de crise aiguë du 12 au 21 septembre…

12 septembre, 21 heures. Toulouse INP subit une attaque informatique. « Nous avons été alertés par la supervision. Nous sommes intervenus, nous étions trois personnes de l'établissement sur le réseau. C'était la course poursuite pour isoler et déconnecter tous les sites d’internet. Nous avons réussi à bloquer l’attaque vers 1 h du matin », se souvient Brigitte Sor.

Une analyse de l’attaque lancée le 13 septembre

13 septembre. Dès le lendemain de l’incident, l'établissement lance une analyse de l’attaque comme recommandé dans cette situation par l'Agence nationale de la sécurité des systèmes d’information. « C’est comme une scène de crime, il ne faut pas toucher aux preuves. L’objectif est de remonter l’attaque et trouver le patient zéro pour enlever toutes les traces de l’intrusion », illustre la DSI. 

Menée par un prestataire externe, l’enquête de neuf jours a permis d’identifier la porte d’entrée de l’attaque et le groupe de pirates : Avos Locker. « Les pirates sont entrés le 4 septembre, via un compte étudiant sur une plateforme de virtualisation gérée en local par l'école de chimie. À partir de cette plateforme qui n'était pas suffisamment sécurisée, les pirates ont rebondi sur un PC d’une salle de TP et ont déposé tout leur arsenal de découverte des réseaux et des mots de passe. Le 12 septembre, l’attaque s’est latéralisée sur l’ensemble des sites de l'école. Les pirates ont commencé à crypter les serveurs et déposer des demandes de rançon sur le darkweb », poursuit-elle.

Une cyberattaque juste après la rentrée

Après la sidération des personnels à la suite de l’attaque, l'établissement rentre en phase de « crise aiguë » jusqu'à la fin de l’enquête le 21 septembre, alors que Toulouse INP doit encore gérer de nombreuses formalités administratives liées à la rentrée…

Les salles de TP informatiques et Moodle ne sont pas accessibles, les factures restent en attente, tous les étudiants ne sont pas inscrits, les élections ne peuvent être organisées… Retour aux emplois du temps papier et absence de paie pour les vacataires faute de traçabilité des heures d’enseignement effectuées ! 

« Nous avons défini des procédures métiers dégradées. La mise en place d’une communication et d’un mécanisme de pilotage de crise est aussi un point important et sensible. Nous avions eu une cellule de crise en période Covid, mais rien de spécifique pour les attaques cyber. Nous avons repris les participants de cette cellule, mais la prise de décision n'était pas assez resserrée », analyse Brigitte Sor.

… puis une longue phase de remédiation

Après le diagnostic posé par l’enquête, débute le 21 septembre une phase de remédiation pour rétablir progressivement le contrôle des 600 serveurs, du SI et de tous les services associés. Toulouse INP a fait le choix de ne pas redémarrer tout de suite ses services, mais de les sécuriser avant. La DSI vérifie également les 300 postes de travail de l'établissement, à raison d’une heure par machine.

« Nous recevions beaucoup de messages exaspérés des utilisateurs. Nous avons priorisé la formation, c’est-à-dire la plateforme Moodle et les logiciels d’emploi du temps. Nous avons fait appel à un prestataire extérieur, car nous avons peu de compétences Microsoft. Même si elles ne sont pas la cible, les infrastructures Microsoft sont touchées en premier par les cyberattaques », détaille la directrice des systèmes d’information. 

Sa direction a effectué un suivi semaine après semaine afin de savoir si les services fonctionnaient normalement ou en mode dégradé et qui avait accès à quoi (internet, wifi, applications métiers…). « Après avoir remédié aux problématiques des serveurs, il faut faire la même chose pour tous les SI. Nous sommes à plus de 1800 jours/homme uniquement pour cette phase de remédiation, ce qui entraîne du retard dans tous les projets », indique-t-elle.

Améliorer la sécurité des systèmes

En parallèle, l'établissement, qui prépare son schéma directeur du numérique pour l’automne 2023, a œuvré à l’amélioration de la sécurité de ses SI en modernisant ses infrastructures, cloisonnant ses réseaux et sensibilisant personnels et étudiants au risque de phishing...

« Les pirates sont très vite arrivés à avoir un compte administrateur Windows et désactiver les contrôles du ransomware sur tous les postes. Maintenant, nous sommes passés de 30 personnes qui avaient tous les droits à trois : mon adjoint, un prestataire extérieur et moi-même », précise Brigitte Sor. Même si l'établissement n’a pas perdu de données avec sa sauvegarde, tout n’est pas encore rentré dans l’ordre huit mois après l’attaque.

« Certains d’utilisateurs ont retrouvé leurs services et pensent que c’est terminé. Les informaticiens reçoivent beaucoup demandes alors qu’ils sont encore en train de pédaler pour remédier tout. Il sera important de prononcer officiellement la fin de crise », conclut la DSI.