La ville de Saint John triomphe d'une attaque par rançongiciel grâce aux solutions Bulletproof et Sécurité Microsoft

C'était peut-être un scénario un peu trop imaginatif pour un film de série B. 

Au plus profond de l'univers des choses qui « ne s'inventent pas », le vendredi 13 novembre 2020, la ville de Saint John, au Nouveau-Brunswick (Canada), a été frappée par une demande de rançongiciels paralysante. La municipalité, résolue, a refusé de se soumettre aux demandes de paiement. Au lieu de cela, l'équipe informatique de la ville s'est associée à Bulletproof, partenaire Microsoft Global Security de l'année 2021, pour reconstruire les systèmes essentiels et réorganiser la posture de cybersécurité de la ville de manière plus résiliente grâce aux solutions de Sécurité Microsoft, remettant les services essentiels en ligne dans un délai ambitieux de six semaines, évitant ainsi les mois - voire les années - que la construction d'un nouveau réseau aurait pu prendre. Leur histoire est à la fois un avertissement et une réussite. 

Faisant toutes les bonnes choses, mais...

La ville de Saint John est située le long de la baie de Fundy, dans l'est de la province du Nouveau-Brunswick. La plus ancienne ville constituée en société au Canada et la plus grande ville de la province sur le plan géographique, la communauté compte environ 70 000 habitants. L'équipe informatique de la ville, composée de 15 personnes, prend en charge 900 utilisateurs sur le vaste réseau de services nécessaires à une communauté prospère : tout, du développement aux parcs en passant par l'eau et les services de sécurité publique. 

Une préoccupation de longue date pour la cybersécurité a amené la ville de Saint John à mettre en œuvre un programme d'amélioration continue de la sécurité avant l'attaque de 2020. Après avoir évalué sa posture de sécurité à la suite de quelques attaques mineures antérieures, la ville a collaboré avec un tiers pour réaliser une évaluation de la sécurité de son environnement, ce qui a conduit son équipe informatique à créer des politiques à jour. 

Elle a franchi une nouvelle étape dans l'amélioration de sa posture de sécurité en déployant un système de gestion des incidents et des événements de sécurité (SIEM) et en ajoutant une surveillance constante par le centre des opérations de sécurité (SOC) de Bulletproof. Sa feuille de route prévoyait d'étendre la surveillance à d'autres serveurs et points de terminaison des utilisateurs. Comme toutes les municipalités du monde, le service informatique de la ville de Saint John a dû se battre pour obtenir l'approbation budgétaire des solutions de cybersécurité, souvent difficiles à vendre pour les conseils à court d'argent. Le conseil municipal de la ville de Saint John, bienveillant, a financé les améliorations au fur et à mesure que les fonds étaient disponibles, mais les progrès étaient lents. 

Au début de 2020, la ville de Saint John a conclu un accord de licence pour Microsoft 365. Selon Stephanie Rackley-Roach, Directrice responsable du système d'information de la ville, « nous étions encore une organisation sur site, mais nous voulions commencer notre migration », dit-elle. « Notre objectif était de profiter pleinement de la commodité et de la sécurité du cloud. » 

Survivant au cauchemar de tout CIO

Mme Rackley-Roach était en vacances lorsque l'appel est arrivé à 23h00 durant la nuit du vendredi 13. « Mon équipe avait plaisanté en disant que nous n'avions des incidents de sécurité que lorsque j'étais en vacances », dit-elle. « Quand j'ai vu que l'appel entrant provenait d'un des membres de mon équipe de direction, j'ai su que c'était une mauvaise nouvelle avant même de répondre. » Elle ne pouvait pas savoir à quel point la situation était grave. 

La ville de Saint John avait été la cible d'une cyberattaque, son environnement d'exploitation informatique étant pris en otage pour plusieurs millions de dollars à payer en Bitcoin. Travaillant toute la nuit, l'équipe informatique de la ville a coupé la connexion Internet de la ville et a commencé à évaluer les dommages. Heureusement, le contrat existant entre la ville et Bulletproof pour les services de réponse aux incidents a permis à l'équipe de Bulletproof de se mettre immédiatement au travail. Avertis de l'événement cette nuit-là, Chris Johnston, Directeur général de Bulletproof, et Jeff Shaw, Directeur de l'exploitation, ont constitué une équipe qui s'est réunie sur place avant 9h00 le lendemain, samedi. Mme Rackley-Roach s'est rapidement jointe à eux pour être informée de la crise, élaborer un plan immédiat et rallier les dirigeants de la ville à ce processus qu'elle décrit comme étant complètement submergée. Mme Rackley-Roach affirme : « Bulletproof a été notre principal partenaire pour le contrôle et la restauration. L'attaque a touché presque tous les systèmes. » 

Pendant que Mme Rackley-Roach travaillait avec l'équipe de direction de la ville pour mettre en place des procédures d'approvisionnement d'urgence afin de s'assurer que les ressources et les services essentiels puissent être acquis sans délai, l'équipe Bulletproof a plongé dans ce que M. Johnston appelle le chaos géré. « L'équipe informatique de la ville de Saint John et nos employés de Bulletproof ont fait un travail phénoménal pour gérer tout ce qui leur a été présenté au cours de ces premières 24 heures surréalistes », déclare-t-il. Les restrictions de distanciation sociale de la COVID-19 ont encore plus compliqué l'opération. « Nous avons soutenu Saint John et notre équipe sur place à partir d'un centre de commandement à distance pour nous assurer que nous équilibrions ce risque », ajoute-t-il. « Je ne sais pas comment le décrire de manière adéquate pour les personnes qui n'ont pas vécu une situation à enjeux élevés d'une telle ampleur. Tout responsable informatique confronté à un incident de rançongiciel doit trouver un équilibre entre les actions urgentes de contrôle et les communications internes et les demandes externes, comme les relations avec les médias, les assurances et le conseil municipal. Imaginez tout ce qui vous tombe dessus en même temps et la pression de prendre de nombreuses décisions critiques combinées à une multitude de pressions extérieures. » 

Assembler les pièces du puzzle

L'équipe Bulletproof a commencé son enquête initiale pour déterminer la source de la brèche. « Cette réponse initiale est une opération très compliquée avec de nombreux éléments mobiles », explique M. Shaw. « Nous avons dû faire face aux problèmes techniques complexes de l'analyse forensique et des connexions des partenaires en plus de l'Internet. Pour le CIO, cela signifie naviguer l'impact opérationnel tout en travaillant avec les forces de l'ordre, les assurances, les avocats externes, les organisations partenaires et d'autres parties prenantes. » Ensemble, les équipes informatiques et Bulletproof de la ville ont élaboré un guide détaillé des étapes de la reprise. 

En collaboration avec l'équipe informatique de la ville, l'équipe Bulletproof a dirigé la reconstruction de l'environnement d'exploitation de la ville de Saint John, en y intégrant la sécurité grâce à la gamme de solutions de Sécurité Microsoft de bout en bout. Elle a déployé le système Bulletproof 365 Enterprise, qui fusionne de manière transparente Microsoft Sentinel et Microsoft 365 pour offrir une sécurité intelligente complète. Le processus a commencé par le remplacement de l'ancien SIEM traditionnel de la ville, basé sur les journaux, par Microsoft Sentinel. « Nous avons déployé Microsoft Sentinel pour remédier à l' « angle mort » des SIEM traditionnels basés sur les journaux », explique M. Shaw. « La visibilité et les capacités que nous obtenons avec Microsoft Sentinel dépassent de loin celles de l'ancien SIEM. Nous avons fait entrer le signal dans notre centre d'opérations de sécurité avec Microsoft Sentinel pour avoir une vue d'ensemble en temps réel de l'ensemble du réseau. Il était essentiel de repérer toute menace susceptible de retarder la réinstallation du réseau et des systèmes d'exploitation afin de rétablir complètement les fonctions informatiques. » 

Heureusement, la ville de Saint John s'était préparée à déployer la gamme de Sécurité Microsoft, et l'équipe de Shaw a préconisé le déploiement immédiat de Microsoft Defender pour points de terminaison afin de sécuriser les serveurs et autres points de terminaison de la ville, de Microsoft 365 Defender, et insérer une balise Microsoft Defender pour le cloud. « Dans cette situation, où nous avions besoin d'une confiance absolue pour nous assurer que tout ce qui était remis en ligne était hautement sécurisé, la suite Microsoft Defender était essentielle », déclare M. Johnston. « Defender pour points de terminaison est inestimable pour atténuer la crainte de logiciels malveillants résiduels dans les serveurs sur site lorsque les systèmes sont remis en ligne. » 

L'équipe a ensuite déployé Microsoft Defender pour les applications cloud afin de protéger davantage les comptes et les applications des utilisateurs qui se remettent en ligne et se connectent au réseau de la ville. La visibilité des déplacements de données et l'application de la politique de sécurité permettraient de renforcer la formation à la sécurité assurée par la ville de Saint John. 

Gagnant le bon combat

La ville avait pour objectif de rétablir l'environnement opérationnel informatique de base en six semaines. « Nos partenaires avaient du mal à croire que nous pouvions être de nouveau en ligne aussi rapidement », explique Mme Rackley-Roach. « Ils pensaient qu'un délai de six à huit mois était plus réaliste. Mais grâce aux longues heures de travail de notre équipe informatique et de Bulletproof, notre réseau principal, y compris les services essentiels, a été opérationnel en six semaines. » M. Shaw a présenté les arguments en faveur de l'activation du nouveau réseau. « Avant de pouvoir reconnecter les systèmes de communication de la ville pour la sécurité publique et les forces de l'ordre, nous avons dû franchir de nombreux obstacles pour que les parties prenantes prouvent que la nouvelle infrastructure était bien protégée. Nous avions une histoire solide à raconter car nous pouvions montrer à quel point nous avions protégé le domaine avec la gamme de solutions de Sécurité Microsoft. »

Il a fallu 18 mois pour reconstruire complètement la majeure partie du réseau de la ville et restaurer les applications. Mme Rackley-Roach n'approuverait pas la façon dont cela s'est produit, mais elle est ravie du réseau modernisé et résilient de la ville, alimenté par Microsoft Cloud et protégé par les capacités de sécurité clés de Microsoft mises en œuvre avec la suite de produits Defender. « Le bon côté de notre attaque par rançongiciel est que je rentre chez moi le soir en me sentant bien dans l'état de notre réseau », dit-elle. « Maintenant, nous travaillons en partant du principe que nous sommes attaqués en tout temps. Grâce à Microsoft Sentinel, nous savons que c'est le cas. La différence, c'est que nous savons maintenant que nous pouvons gérer tout ce qui se passe grâce à une visibilité et à des capacités de réaction accrues. » 

L'équipe informatique de la ville se réunit avec Bulletproof tous les mois pour examiner les renseignements de Microsoft Sentinel et élaborer des stratégies proactives. « Nous avons une visibilité sur les entrées et les points de terminaison à partir de nos solutions de Sécurité Microsoft que nous n'avions jamais eue auparavant, et c'est essentiel pour éduquer les utilisateurs et maintenir un réseau plus résilient », dit Mme Rackley-Roach. 

Même avec sa grande expérience en secours de cybersécurité, M. Johnston considère cette affaire comme un cas particulier. « C'est l'histoire d'un travail acharné de la part de nombreuses personnes qui ont réussi à se rétablir plus rapidement que ce que l'on aurait cru possible », dit-il. Pour lui, la ville de Saint John est un témoignage de la nature interopérable des solutions de Sécurité Microsoft. « Nous avons tous vécu dans un monde à fournisseurs multiples avec une visibilité limitée de la sécurité », ajoute-t-il. « C'était le mieux que nous pouvions espérer jusqu'à ce que la gamme de solutions de Sécurité Microsoft soit disponible, nous donnant ainsi un moyen de protéger les clients. Nous protégeons nos propres affaires grâce à cela. »  

Des mois après la restauration, les liens de l'équipe sont plus forts que jamais. « C'est un moyen difficile de rencontrer des gens », dit Rackley-Roach. « Mais nous avons des amis pour la vie avec Bulletproof. » 

Apprenez-en davantage sur la ville de Saint John sur Twitter, Facebook et LinkedIn.