La société OnCloud, qui appartient à Bouygues Telecom, a été frappée le mois dernier par un rançongiciel. L'entreprise revient sur cet houleux épisode.
Le samedi 18 mars 2023, l'entité Bouygues Telecom Entreprises OnCloud, filiale de l'opérateur télécom, a été victime d'un ransomware qui a paralysé une partie des services fournis à des dizaines de ses clients. Près d'un mois après, l'entreprise fait le point et revient sur cet incident qui semble avoir été géré conformément aux recommandations d'usage, notamment en ce qui concerne la rançon réclamée par les hackers.
Les clients touchés ont tous retrouvé leurs services
Pour celles et ceux qui n'avaient encore jamais entendu parler de ce service, rappelons que OnCloud est aujourd'hui une filiale de Bouygues Telecom spécialisée dans l'hébergement des données des entreprises. Dirigée par Pierre Amann, elle est née en 2021, seulement deux ans après le rachat de Nerim, un FAI (lui-même créé en 1999) qui travaillait historiquement avec des petites et moyennes entreprises, et qui bénéficiait d'une branche cloud.
Ce 11 avril, OnCloud a décidé de revenir sur l'incident survenu le mois dernier. La firme a d'emblée insisté sur un point : « À date, 100 % des clients ont retrouvé leurs services. » Ils sont en effet quelques dizaines à avoir subi des perturbations à la suite de l'attaque, avec une indisponibilité des données et des services.
L'infrastructure touchée par le ransomware « était issue de l'acquisition d'une société (Nerim) faite en 2019 et qui était cloisonnée », indique l'entreprise. Celle-ci ajoute que les autres infrastructures OnCloud n'ont pour leur part pas été affectées par la cyberattaque.
Bouygues Telecom n'a pas payé la rançon
Pour gérer la situation de crise, OnCloud a fait appel à un « PRIS », un prestataire de réponse aux incidents de sécurité. Cette qualification, décernée par l'ANSSI, regroupe les acteurs capables d'accompagner les entités de certaines envergure et criticité touchées par une attaque informatique. Thales, Intrinsec, Orange Cyberdefense et Wavestone sont les PRIS aujourd'hui qualifiés par l'ANSSI. Il est ainsi fort probable que la filiale OnCloud ait été accompagnée par l'une de ces entreprises. Pour l'anecdote, Airbus CyberSecurity et Sopra Steria sont aujourd'hui sur liste d'attente pour obtenir la qualification.
Une fois cela fait, OnCloud a dans la foulée et le jour même de l'attaque pris soin d'informer les clients touchés, et ce, en toute transparence. « Ils ont été conseillés sur les mesures à prendre », poursuit l'entreprise qui semble avoir coché toutes les cases du RGPD.
Les mesures de remédiation ont alors rapidement été mises en œuvre, et les données ont pu être récupérées grâce aux sauvegardes quotidiennes. « La restauration progressive des services a démarré le 22 mars en relation étroite avec les clients concernés, tout en respectant les recommandations de sécurisation du PRIS », nous dit la firme. En ce qui concerne la rançon, elle n'a pas été payée, et à ce jour, aucune fuite de données n'a été constatée.
Sources : Bouygues Telecom, Clubic
