Attaque par rançongiciel contre Xplain : l’organisation d’intervention de fedpol
La Suisse fait face à une menace croissante d’attaques par rançongiciel. Les criminels piratent des systèmes informatiques, volent ou chiffrent des données et font pression sur des entreprises. L’attaque commise contre un prestataire de fedpol rend impérative une gestion globale des événements.
Les attaques par rançongiciel deviennent une menace sérieuse pour la Suisse. Elles consistent à exploiter les failles de sécurité des systèmes informatiques pour y accéder et voler ou chiffrer des données. Le chantage en est souvent la suite logique. Les pirates lancent un ultimatum aux organisations visées, qui sont sommées de payer une rançon, faute de quoi les données volées sont publiées ou rendues inaccessibles. Il en résulte pour les victimes d’énormes frais aux niveaux du personnel, de l’administration et des finances. Les attaques par rançongiciel sont bien plus graves que la perte immédiate de données, car elles nuisent durablement à des entreprises et à des individus en portant atteinte non seulement à leurs finances, mais aussi à leur réputation.
Plusieurs entreprises sont la cible de telles attaques en 2023 en Suisse, notamment l’entreprise Xplain. Le groupe de pirates Play, composé de professionnels qui font chanter tous les ans des centaines d’entreprises avec cette méthode, attaque Xplain au printemps. La clientèle de l’entreprise est faite en grande partie d’autorités cantonales et fédérales, dont fedpol.
« Le fardeau de la responsabilité que nous portions était énorme, mais je sentais en même temps la cohésion au sein de fedpol et l’immense soutien de mes collègues. »
Dominic*, analyste de police
Une attaque par rançongiciel contre un prestataire peut aussi avoir un impact sur ses clients :
Après l’attaque contre Xplain, fedpol met immédiatement sur pied une organisation d’intervention (EO), soit un état-major de crise interne composé de spécialistes de différentes divisions. Sa priorité absolue est de maîtriser les conséquences possibles de l’attaque contre son prestataire. À certains moments, plus de 60 personnes sont à pied d’œuvre jour et nuit, tandis que leurs collègues se chargent des affaires courantes. La mission de l’EO est la suivante :
- identifier et analyser les données volées ;
- engager des mesures de protection pour les personnes, l’infrastructure et les données ;
- informer les autres organisations concernées ;
- assurer le suivi juridique du cas pour identifier des failles dans les appels d’offres et les contrats et prévenir des incidents futurs ;
- soutenir les partenaires au sein de l’administration fédérale ;
- garantir la communication tant interne qu’externe ;
- et avant tout, apprendre, apprendre encore et toujours.
Vous en saurez plus sur le travail de l’EO en lisant le rapport de Dominic*, analyste de police.
Rapport de Dominic*, analyste de police au sein de l’EO
Lorsqu’on m’a détaché à l’EO, mon quotidien d’analyste de police a été bouleversé du jour au lendemain. J’ai reçu pour mission de mettre sur pied avec mon supérieur hiérarchique le Centre de renseignement et d’analyse de l’EO, du point de vue physique et structurel. Nous travaillions jour et nuit, parfois jusqu’à seize heures d’affilée, y compris le week-end. Le fardeau de la responsabilité que nous portions était énorme, mais je sentais en même temps la cohésion au sein de fedpol et l’immense soutien de mes collègues.
En parallèle, les affaires courantes continuaient. J’ai toujours pu compter sur le précieux soutien de mon équipe pour les traiter. Malgré les épreuves, j’ai toujours été conscient qu’il nous incombait de maîtriser cette crise. C’est cette certitude qui m’a donné un surplus de motivation. Et même dans mon entourage privé, j’ai bénéficié d’une grande compréhension pour cette situation extraordinaire, malgré l’obligation de garder secret.
Je suis très fier d’avoir fait partie de l’EO, qui a travaillé d’arrache-pied. C’était une expérience très enrichissante, qui m’a beaucoup appris et m’a permis de faire connaissance avec beaucoup d’autres collègues. Cette mission m’a marqué et m’a montré combien la cohésion et le soutien mutuel sont importants en temps de crise. Elle m’a rappelé que l’union fait la force.
fedpol informe d’emblée le Préposé fédéral à la protection des données et à la transparence (PFPDT) et dépose une plainte pénale contre inconnu. Un organisme indépendant a pour tâche de découvrir comment les données de fedpol, en partie sensibles, sont parvenues sur les serveurs de Xplain et y ont été conservées.
Lors du bouclage du présent rapport annuel, une enquête administrative demandée par le Conseil fédéral était en cours, en plus de la procédure pénale contre inconnu et des investigations du PFPDT. Beaucoup de questions restent ouvertes. Même si l’affaire a déjà été source de nombreux enseignements, nous ne sommes pas encore arrivés à la conclusion. Toutefois, une chose est sûre : l’engagement de l’EO de fedpol a contribué dans une large mesure à prévenir des risques potentiels pour les personnes, les données et l’infrastructure.
* Prénom modifié