Chez Stoïk, nous avons internalisé le service de réponse aux incidents de sécurité pour prendre en charge nos assurés depuis la prévention jusqu’à la gestion de crise. Des cyberattaques, il y en a tous les jours chez les entreprises du monde entier. Quand un de nos assurés est touché, c’est le téléphone du CERT-Stoïk qui sonne et ce sont nos experts en cybersécurité qui décrochent, qui qualifient l’attaque et qui réagissent en conséquence.

Découvrez ici comment le CERT-Stoïk a localisé et isolé un attaquant qui s’était introduit dans le système d’information d’une entreprise de e-commerce en pleine période de soldes pour y déployer un ransomware.

Le site internet à l’arrêt et une demande de rançon de 50 000 euros

Un vendredi en fin d’après-midi, le site e-commerce de l’entreprise assurée est soudainement inaccessible. En se connectant, le responsable informatique découvre un message : une rançon de 50 000 euros est demandée en échange de la remise en service du site. L’incident ayant lieu la veille du dernier week-end des soldes, rétablir la connexion est critique pour la santé financière de l’entreprise.

Le responsable informatique a le bon réflexe de prévenir ses équipes et d’appeler le CERT-Stoïk dans les plus brefs délais. Celles-ci sont immédiatement mobilisées pour faire face à la cyberattaque.

Le ransomware ESXiargs identifié

Les experts en cybersécurité Stoïk identifient rapidement le ransomware “ESXiargs” : l’attaque d‘ampleur mondiale exploite des milliers de serveurs vulnérables exposés sur Internet depuis 2 jours. Plusieurs entreprises assurées par Stoïk ayant été ciblées par cette attaque, l'identification de la vulnérabilité technique est immédiate.

Restauration des sauvegardes et reconstruction de l’infrastructure

Un travail de remédiation est mené conjointement avec le DSI de l’entreprise assurée afin de récupérer les sauvegardes et de reconstruire l’infrastructure informatique. En parallèle, une seconde équipe s'attelle à la reconstruction ciblée des actifs critiques impactés, dans le cas où ces sauvegardes seraient vérolées ou inutilisables.

Remise en service du site internet en quelques heures seulement

En quelques heures seulement, l’attaquant est isolé de l’infrastructure et le système d’information remis en état : le site e-commerce est de nouveau accessible et l’entreprise peut vendre ses produits en ligne pour ce dernier week-end de soldes.