Victime d'une attaque informatique très importante, le groupe français Pierre Fabre reste encore évasif quant à l'étendu des dégâts, et n'écarte aucune hypothèse.
Frappé par une cyberattaque mercredi au petit matin, le géant français des laboratoires dermo-cosmétiques et pharmaceutiques Pierre Fabre a été poussé par les hackers à couper son système informatique, pour contenir et stopper la progression du virus. L'entreprise est parvenue à maintenir la distribution de ses produits, notamment celle des traitements anticancéreux. Jeudi, nous pointions du doigt le relatif silence du groupe, silence légitime puisqu'il est de bon ton de soigner sa communication lorsqu'une telle crise survient. Mais alors que le retour à la normale n'est pas prévu avant le début de la semaine prochaine, l'entreprise, que nous avons contacté, a répondu à cinq de nos interrogations.
Pierre Fabre a tout fait pour protéger les données de ses clients
À quel point le service informatique a-t-il été touché ?
Réponse de Pierre Fabre : « C'est encore trop tôt pour pouvoir le dire ».
► Une grande partie des activités de production (mises à part celles du site de Gaillac, dans le Tarn) est à l'arrêt. Les sites de Soual et de Muret ne tournent plus. Mais cela n'empêche pas les collaborateurs dits « sédentaires » et les réseaux commerciaux de poursuivre leur travail, grâce aux applications informatiques détachées du réseau principal. En télétravail et sur le terrain, l'activité peut dont être maintenue, et la distribution des produits également.
Il y a-t-il une menace de ransomware ? (La Lettre A semble avoir donné cette information)
Réponse du groupe : « Nous n'avons pas encore identifié l'origine de l'attaque ».
► La réponse est claire, mais elle n'écarte pas textuellement la piste du rançongiciel. Ce n'est pas une insulte, mais cette éventualité expliquerait la mise hors tension du système informatique, donc le blocage de l'activité informatique.
Des données critiques de clients ont-elles été exposées ?
Réponse de Pierre Fabre : « À ce stade, non, mais c'est un point sur lequel les équipes travaillent pour tout vérifier, car c'est une priorité ».
► La prise de conscience de l'entreprise castraise est salutaire. Des données ont peut-être bien été consultées par les pirates, mais on ignore encore jusqu'où les pirates ont pu remonter. Quoi qu'il en soit, « les clients, partenaires et autorités compétentes ont été informés de la situation », expliquait le groupe jeudi après-midi. Une réaction rapide, de l'ordre de quelques heures en réalité, qui tranche avec le traitement des cyberattaques d'ampleur ayant frappé d'autres grandes entreprises, qui ont parfois mis plusieurs jours pour admettre l'incident.
L'entreprise semble avoir suivi les bonnes recommandations prescrites en cas d'attaque
Comment l'entreprise appréhende-t-elle cette attaque au niveau organisationnel ?
Réponse de la société : « Un plan de continuité existe depuis plusieurs années en cas de panne informatique ou d'attaque virale. Nous l’avons actionné et cela paye, puisque les risques de propagation du virus ont été écartés en moins de 24 heures ».
► La réactivité du groupe est, une nouvelle fois, à louer. Pierre Fabre avait non seulement anticipé en dissociant informatiquement parlant ses sites de production et son réseau de distribution, mais en plus, il semblerait que l'entreprise ait suivi à la lettre les recommandations en cas d'attaque, notamment celles préconisées par l'ANSSI. « Afin de couper l’accès de votre système d’information à un attaquant agissant depuis Internet, il est important d’isoler votre système d’information en bloquant toutes les communications vers et depuis Internet. Ainsi, l’attaquant ne sera plus en mesure de piloter son rançongiciel ni de déclencher une nouvelle vague de chiffrement. Cela évitera également l’exfiltration éventuelle de données ». Le groupe Pierre Fabre, dont le site internet était inaccessible mais qui affiche, depuis jeudi soir, une page de maintenance, avait conscience des conséquences d'un arrêt de son service informatique. Mais il n'a pas hésité, pour limiter tout risque.
Avez-vous pu identifier quel acteur est à l'origine de cette attaque ?
À cette question Pierre Fabre s'est contenté d'un laconique « non ».
► La réponse n'a rien d'étonnant. Mais les premières rumeurs commencent à surgir. Et elles sont toutefois à prendre avec de grosses pincettes. Certaines imputent cette attaque à un groupe de hackers basé en Asie. En début de semaine, le laboratoire français et la biotech sud-coréenne Y-Biologics ont annoncé un accord de collaboration sur trois ans (et une extension possible de deux ans supplémentaires) autour de la recherche en immuno-oncologie, par le développement de nouvelles immunothérapies. Le fait que le laboratoire Y-Biologics soit basé en Corée du Sud et que l'attaque survienne quelques heures après l'officialisation du partenariat n'est peut-être pas, pour certains, qu'une simple coïncidence. Mais cela reste à confirmer.
Si on ne dispose aujourd'hui que d'informations en surface, le groupe français Pierre Fabre semble avoir adopté les bons réflexes pour affronter cette attaque informatique, en verrouillant le plus rapidement possible ce qui pouvait l'être, afin d'empêcher les dépositaires du virus de pénétrer trop loin dans le réseau informatique de l'entreprise et de s'emparer de données critiques, qui le sont d'autant plus que les secteurs dans lesquels œuvre Pierre Fabre restent sensibles. Les prochaines semaines nous permettront d'en savoir plus sur l'étendu des dégâts.