Le 18 mars au soir, une équipe prenant son quart dans une usine du groupe signale que l'écran du système de contrôle de la production devient rouge, puis qu'un message d'erreur apparaît. Le poste était en train de crypter tous ses fichiers et d'empêcher sa prise en main ou son pilotage à distance. Il alerte immédiatement le support.
Maintenant on sait que ce 18 mars, tard le soir, Hydro était sous les feux d'une cyberattaque depuis l'interne. Après s'être introduit sur le réseau informatique, les attaquants ont utilisé les services Microsoft Active Directory pour diffuser tranquillement le ransomware sur les terminaux, comme l'équipe informatique l'aurait fait pour déployer un patch de sécurité.
Généralement un virus a son propre mécanisme pour se propager ; cette mouture visiblement non, alors elle utilise les moyens internes de communication de l'entreprise. C'est pour cela que contrairement à deux autres ransomware devenus célèbres, WannaCry qui avait sévis en mai 2017 et NotPetya en juin 2017, la contagion est restée limité à Hydro.
Ce ransomware, nommé LockerGoga, a déjà été suspecté dans d'autres attaques récentes (notamment Altran en France) mais la cause de l'attaque n'est pas totalement déterminée. Simple demande de rançon (annoncé) ou effacement volontaire des données du SI pour supprimer toutes les traces et preuves d'une intrusion étrangère comme un expert le suggère (voir ce billet), il est encore trop tôt pour le dire.
Ce qui a retenu l'attention de GreenSI, c'est l'attitude d'Hydro qui contraste avec celle généralement adoptée par d'autres entreprises attaquées, qui déclarent bien sûr l'attaque aux autorités mais restent ensuite très discrètes. Par exemple, concernant Altran, la rumeur est partie sur les réseaux sociaux puis 4 jours plus tard les titres des journaux ont été plus explicites, comme celui de La Tribune : "Altran reconnait avoir été victime d'une cyberattaque". Altran n'a pas non plus confirmé la rumeur d'avoir payé 300 bitcoins (cours à $3200 fin janvier soit 1 million d'euros), ni donné l'évaluation financière de l'impact de cette attaque sur ses résultats futurs. Une cyberattaque c'est un peu comme une maladie honteuse que l'on cache, et qui tombe mal, juste un mois avant l'annonce des résultats en bourse (pourtant très bons).
Hydro a dès le départ communiqué largement et tenu informé toute la communauté.
Dès le 19 mars, la société a publié une page dédiée sur son site internet avec un communiqué et une mise à jour régulière. Une web-conférence de presse a également été tenue dès le 19 pour donner une situation de l'impact sur les différentes activités de l'entreprise et informer que la production énergétique n'était pas touchée - car certainement n'était pas connecté au SI infecté - car cela aurait eu un impact important sur la Norvège. En revanche la division qui fabrique des produits en aluminium extrudé et laminé a été fortement touchée et ses sites ont été à l'arrêt un peu partout dans le monde.
La dépendance à l'informatique de chaque métier, et son impact global sur l'activité de l'entreprise, sont des variables importantes pour se préparer à une crise.
La transparence a aussi été faite sur le retour à des procédures manuelles pour continuer de traiter les bons ordres de production. Le plan de continuité des opérations, que l'on a tous dans un placard, a visiblement fonctionné.
Le 2 avril, quand tout allait beaucoup mieux, la société s'est même lancée dans la diffusion sur Youtube d'une vidéo où les employés du premier site touché racontent comment ils l'ont vécu. Ils expliquent comment ils ont compris qu'il se passait quelque chose de grave, comment ils ont tous contribué à la continuité du service quel que soit leur métier, comment ils ont passé des nuits et un week-end à faire repartir leur entreprise sans même y penser. Comme souvent quand une entreprise est confronté à un danger, cela soude les équipes pour y faire face.
Cette attaque aura fait au moins 40 millions de dollars en pertes de revenus (ce qui n'est pas produit, n'est pas vendu) et des coûts de services informatiques supplémentaires pour la remise en marche du SI pendant deux semaines, mais d'autres coûts vont apparaître certainement encore pendant plusieurs mois. Hydro a annoncé qu'elle n'avait pas payé la rançon, ce qui aurait été un coût supplémentaire. Une assurance souscrite auprès d'AIG va prendre en charge un partie de cette perte d'exploitation. Le cours de bourse est revenu au même niveau après chuté au début de la crise.
Cette communication est un cas réel à partager avec les métiers qui demandent régulièrement à être convaincus pas les investissements en matière de sécurité.
Le second enseignement que voit GreenSI est la modestie qu'il faut avoir quand on met en place des opérations très centralisées et très automatisées. Ces organisations peuvent être autant une solution qu'un nouveau problème.
En premier lieu, l'Active Directory, nécessairement centralisé, a été le moyen de propagation sans résistance du virus puisque ses communications sont autorisées partout. Ensuite, la principale stratégie d'Hydro a été d'isoler le logiciel malveillant pour l'empêcher de se propager davantage. Cette attaque pose finalement la question de ce talon d'Achille d'une informatique centralisée qui a favorisé la propagation rapide, alors que plusieurs SI déconnectés par métier auraient dû être infectés, un par un.
D'ailleurs, la séparation physique des systèmes industriels dans les usines est toujours une bonne pratique, mais aujourd'hui travaillant de plus en plus en flux tendus, les usines sont aussi très dépendantes du système de gestion comme l'a montré cette attaque. Plus de commandes ou d'ordre de fabrication, et l'usine ne sait plus ce qu'elle a à faire, et parfois comment le faire, même si la machine industrielle peut fonctionner car son informatique embarquée n'a pas été touchée.
L'attaque a aussi obligé à utiliser les différents systèmes de sauvegardes pour récupérer des données, mais non pas de façon centralisée, mais poste par poste car le ransomware avait modifié les accès administrateurs sur chaque poste infecté. Il a fallu aller sur chaque site collecter tous les postes de travail un par un pour les restaurer avec un compte administrateur local. Une activité non prévue dans un support classique centralisé et souvent sous-traité.
On imagine la détermination, l'ingéniosité et l'expérience demandée à l'équipe informatique pour avoir défini et déployé une stratégie dans des délais courts, avec des sites partout dans le monde, non accessibles à distance.