Cyberattaque informatique ou les chroniques d’un désastre annoncé.

nb : De nouvelles informations nous ont été accessibles depuis le développement de cette déclaration en CSEE Levallois fin septembre.

Il apparaît que le schéma de l’attaque a été « très légèrement » différent de ce qui est exposé ci-dessous.
« Légèrement différent » mais pas tant éloigné qu’il invaliderait totalement nos premières indications et certainement pas plus rassurant voir même moins sur certains aspects.

Nous vous livrons donc cette déclaration en prenant soins d’en masquer les indications les plus techniques pour ne pas exposer des failles.

A un détail, son contenu est donc tout à fait d’actualité et il pourra nous l’espérons permettre de prendre la mesure des errements de certaines strates décisionnelles.

Attaque informatique ou les chroniques d’un désastre annoncé.

Il ne manquera pas de trouver quelques voix pour arguer qu’une attaque est inévitable ces mêmes voix qui venteront la qualité de leur intervention oubliant que la remise en route fut uniquement le fait des équipes de terrain. Ces évitements sont évidemment erronés.

Non seulement, du point de vu de la loi une attaque informatique n’est pas une catastrophe imprévisible, mais plus encore ces mêmes personnes qui tenteront de minimiser leur implication seront celles qui auront largement œuvré à fragiliser notre SI.

Malgré une tentative d’omerta il aura été possible de reconstruire le schéma global de l’attaque. Chacune des trois étapes ayant conduit à cette intrusion étant le résultat de manquements imposés par une direction ignorant les avis techniques.

Attaque qui fait suite à près de 3 années d’alertes systématiques en CE, en CSE mais aussi par mail à divers niveaux de la chaine hiérarchique.

Quelques « faits » pour étayer ces assertions avec des exemples parlants d’interventions validées par des procès-verbaux.

Sur les Alertes en séances.
  • PV de 2018 dont nous pourrons fournir une liste détaillée.
      • Nous avons alerté sur :

La fuite de nos compétences via la prestation.
Les risques psychosociaux liés à la déstabilisation des équipes informatiques GMF.
Sur les couts de différents programme dont Salesforce-Ecla implémenter sans vision aucune et conduisant à des arbitrages le plus souvent aux dépends des équipes GMF.
Sur la mise à l’écart du management GMF par COVEA.

  • CE 18.12.2018 (Présence de M XXXXXX)

Nous interpellons M XXXXXX sur le coup pharaonique de SaleForce sur son absence de résultat et dans le même temps sur les sous-investissements pour les sujets RGPD.

M. XXXXXX confirme alors que la RGPD est une obligation, même si cet investissement ne permet de vendre aucun contrat supplémentaire.

Ce point est crucial, comprenez qu’il aura ainsi écarté d’un revers de main la problématique sécurité.

Le seul biais utilisé pour prendre en compte la RGPD ayant été d’évaluer le montant d’une éventuelle amende.

  • CE de janvier 2019.

Nous interpellons M XXXXXX sur l’abandon des personnels GMF.
Nous alertons M XXXXXX sur les risques d’une politique de concentration excessive des services.

  • CE de février 2019

Alerte de M XXXXXX sur les sous-investissements graves mettant en danger les infrastructures GMF.
Nous avons à la suite de cet échange récupéré un matériel d’occasion MMA en nombre totalement insuffisant.
A l’évidence, M XXXXXX n’a pas été suivi par la direction Coveatech.
Nous ajoutons le même jour la casse sur les savoir-faire GMF.

  •  CSEE 27 et 28-08-2019

Nouvelle Alerte sur le coût de Saleforce (170 M€ en 2 ans) sans résultat aucun.

  • CSEE Extra du 21-10-2019.

Alerte sur le Sous-investissements sur les infras GMF.

  • CSEC du 28-01-2020.

Nous interpellons Messieurs XXXXXX et XXXXXX sur l’appauvrissement de notre offre de service et la précarisation des missions ainsi que sur l’absence de résultat pour Saleforce.

  • CSEE du 09-04-2020

Alerte sur les sous-investissements CITRIX.

Pendant toutes ces années nous avons demandé à ce que nous soient présentés les dossiers de sélections et choix de nos  onéreux prestataires ce qui nous aura toujours été refusé par la direction.

Nous y reviendrons peut-être dans les prochaines semaines.

Sur l’attaque informatique :

Nous en arrivons donc à la fameuse attaque informatique de juillet.

En l’absence de toute communication officielle, le schéma qui se dessine est le suivant.

  • Au premier trimestre, le pirate prend le control du poste de travail Windows 7 d’un agent.

Première erreur : Windows 7 est mis en obsolescence totale en janvier 2020 l’annonce datant de 2014.
C’est un système ancien remplacé depuis 2010 et comportant des failles de sécurité largement connues.

  • Depuis ce poste, attaque de la Citrix Access Gateway MMA.

Seconde erreur : La CAG comportait une faille de sécurité annoncée par Citrix depuis décembre 2019.
L’alerte a été donnée par les équipes GMF qui auront patché en urgence le matériel.
L’alerte aura également été relayée par les collègues du MCO MMA qui auront été, par le management, empêché d’appliquer le patch sur leurs équipements.

  • Une fois installé sur la CAG, le pirate sera patiemment resté à l’écoute plusieurs semaines voir mois sans être identifié par le prestataire en charge du pilotage.

Troisième erreur : Cette écoute patiente aura permis de récupérer un compte d’administration et son mot de passe compte qui sont en nombre pléthorique sur l’AD.
Là encore, les architectes MMA étaient conscients du problème et ont alerté notamment suite à un rapport de l’ANSSI, mais leur demande de sécurisation aura été ignorée par la hiérarchie.
Une fois doté de ce compte le ou la pirate avait tout loisir d’appliquer sur l’ensemble du SI MMA les dégradations qu’il ou elle avait planifié(e).

  • Durant cette attaque vous avez constaté que les effets de bords ont été nombreux sur les enseignes MAAF et GMF.

Plus de Skype, plus de messagerie, plus d’accès à Coveauth, plus de téléphonie chez APJ, plus d’accès au Wifi, plus d’accès réseau sur les sites de Tivoli, de Montparnasse, et ce ne sont que les sujets les plus visibles.

Voilà qui constitue certainement la quatrième erreur :

La volonté de concentrer les infrastructures pour de supposées économies qui n’ont jamais été étayés autrement qu’en bidouillant un rapport bancale sur les Datacenter. Tout cela conduisant à un appauvrissement de notre offre et à une fragilisation de notre SI en entamant notre résilience.

Nous avions déjà alerté en 2019 sur le risque de concentration à outrance.
Rappelez-vous à ce titre la théorie des jeux.

Les assertions précisant que l’attaque a été identifiée très rapidement sont donc évidement non fondées puisque les actions des pirates se sont inscrites sur plusieurs mois et qu’ils ont eu le temps de chiffrer un grand nombre de serveurs et de postes de travail.

Nous avons ici à faire à des négligences de la Direction Informatique au risque de s’exposer à des vulnérabilités identifiées par des alertes reçus de la part des éditeurs, des constructeurs et des cabinets spécialisés en cyber-sécurité mais aussi des équipes techniques et architecture des 3 enseignes.

Sur la prise de conscience du risque :

MMA dont nous sommes maintenant en grande partie dépendant a été l’objet en juin d’un audit de l’ANSSI (agence nationale de la sécurité des services informatiques) « nb : il semble qu’il s’agissant en fait d’un audit technique interne portant sur l’AD qui on l’a vu aura été corrompu lors de l’attaque. Cette faille était donc encore mieux connue que nous le pensions« .
La note : 1 sur 5.

Pourtant rappelons le, les équipes techniques et architecture MMA ont été empêchées dans la remédiation des défauts par des blocages hiérarchiques.
On promet en 2021 des équipements pour la GMF. Equipements d’occasions dont l’espérance de vie est des plus restreintes à supposer même qu’ils soient délivrés en nombre suffisant.
On charge les équipes de terrain en leur rejetant la faute alors qu’elles auront largement communiquées en amont.

Et puis après cette attaque le risque a-t-il été intégré ?
Morceau choisi lors d’une réunion début septembre.
Un directeur aux commandes indique lors d’une réunion que la sécurité est un effet de mode.

Nous vous laissons en tirer vos propres conclusions.

Sur l’état du SI GMF et des équipes :
  • Notre SI est dans un état de risque critique.

Malgré plusieurs années d’alertes, une partie de la hiérarchie Covea-Tech aura laissée se dégrader nos environnements.

      • Nous sommes aujourd’hui en obsolescence avancée et risques sur XXXXXX.
      • Nous sommes en obsolescence sur XXXXXX
      • Nous sommes en obsolescence sur XXXXXX
      • Nous sommes en obsolescence sur XXXXXX
      • Nous sommes en obsolescence sur XXXXXX
  • Tout cela s’accompagnant comme il se doit de problèmes psychosociaux.

Nous avons actuellement une alerte CSSCTE en cours pour le site de Montparnasse.
L’état est si grave qu’il y a une désertion du management de proximité sur les trois enseignes.
Cinq départs en quelques mois, le dernier manager arrivé et qui est pourtant extrêmement expérimenté aura tenu moins de 6 mois dans ce contexte et nous sommes en mesure de donner le « qui » et le « comment ».
Les salariés de toutes les enseignes ont eu à souffrir à divers titre de cet état de fait.
Alors que nous pouvions espérer de belles synergies, nous n’avons obtenu qu’une mise en concurrence douteuse.

Sur le résumé des raisons d’une telle débâcle.

Risquons-nous à identifier les causes premières :

  • Politique de l’annonce et du court-termisme nous réduisant à l’immédiateté en ignorant le fond.
  • Abandons des sujets sécurités pour des raisons de courtes vues financières.
  • Volonté de concentration sur un phantasme de réduction des coûts via à terme une réduction d’effectif en ignorant « volontairement » les aspects sécurités, RGPD.
  • Une gestion projet via des acteurs extérieurs aussi compliquée qu’inefficace.
  • Mise à l’écart d’équipes et de compétences par affinités de marques et institutionnalisation du harcèlement à ces fins.
  • Et surtout contrats mirifiques sur des sujets externalisés non bordés et devenant improductifs.

Jamais la direction n’a souhaité nous communiquer les dossiers de choix pour ces contrats dont  certains passent au-delà de la centaine de million d’euro.

Nul-doute cependant que l’avenir nous instruira des modalités de ces choix.

Pendant ce temps les salariés souffraient en écoutant des discours moralisateurs.

Nos propositions :

  • En premier lieu transparence jusqu’au plus haut niveau de nos entreprises (salaires, prise de décisions, choix des contrats).
  • Mise en place d’un RSSI par marque attaché à la direction générale de chaque marque. Aujourd’hui attaché à une sous-direction il ne dispose pas de l’autonomie requise pour une action se devant d’être transverse.
  • Transparence de l’état de notre conformité auprès des représentants du personnel.
  • Abandon clair de la stratégie Datacenter et de centralisation sur un seul DC.
  • Engagement immédiat assortit d’investissement pour notre mise à niveau vis-à-vis de la RGPD et de L’ANSSI incluant un plan d’investissement d’urgence pour la remise à niveau de nos infrastructures sans tour de passe-passe comme celui dont nous sommes aujourd’hui témoins.
  • Enfin et pour terminer, sanctuarisation des disponibilités des équipes internes pour répondre à ces enjeux sur les années à venir.

Merci pour votre écoute.

La délégation CGT au CSEE Levallois

Imprimer cet article Télécharger cet article

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.