(Photo: 123RF)
En septembre dernier, la Ville de Longueuil a annoncé qu’elle avait été victime d’un virus informatique nécessitant de bloquer l’accès à Internet de tous les employés. Louis-Philippe Leblanc, directeur, Direction des technologies de l’information de la Ville de Longueuil, donne plus de détails sur la résolution de la crise.
L’histoire commence le jeudi 19 septembre, en début d’après-midi. «Environ 500 employés ont reçu un courriel malicieux. La qualité du message pouvait facilement berner les gens qui le recevaient. Il donnait l’impression d’être la suite d’un échange de messages avec un client externe, avec un document Word en pièce jointe.»
Une centaine d’employés ont cliqué. Le virus s’est activé.
Au printemps dernier, la Ville avait pourtant fait des tests en hameçonnage, pour évaluer le niveau de risque en cybersécurité. Il était dans la moyenne du secteur.
La propagation du virus informatique ne s’est pas manifestée par une fenêtre surgissante ou par un verrouillage des postes. Il n’était pas visible pour les utilisateurs. Ce n’est que grâce à la vigilance de l’équipe des technologies de l’information qu’il a été détecté.
La brèche de sécurité s’est produite malgré une protection des appareils et du périmètre du réseau. «On garde à jour nos systèmes, avec des balayages mensuels, et des tests spécialisés annuellement, pour diminuer les vulnérabilités», souligne M. Leblanc.
Il a été rapidement déterminé qu’ils avaient à faire à un virus appelé Emotet, de type cheval de Troie, qui a la capacité de télécharger une charge virale encore plus dangereuse. Il est aussi polymorphe: il change de forme pour déjouer les défenses.
«On a d’abord voulu s’assurer de protéger les informations de l’organisation. Nous avons pris la décision de suspendre l’accès Internet aux employés pour ‘couper les jambes’ au virus, raconte M. Leblanc. On s’est ensuite attaqué aux postes de travail. Nous avons resserré la capacité du pare-feu, pour diminuer la possibilité que le virus ne se transmette d’un poste à l’autre.»
Le 25 septembre, la Ville a publié un communiqué pour indiquer que la situation était sous contrôle. Comme il n’était pas nécesaire d’éteindre les ordinateurs et que le réseau interne continuait de fonctionner, les services aux citoyens n’ont pas été affectés.
Le virus était de type zero day, donc encore sans correctif. «Même les nouvelles définitions virales ne pouvaient s’en charger. Nous avons dû installer un ‘antimalware’ pour éliminer la menace», explique le directeur.
Son déploiement sur les postes de travail a mis environ 48 heures, le temps que l’installation se fasse sur toutes les machines, incluant les ordinateurs portables, qui devaient se connecter au réseau.
Pas d’Internet pendant une semaine
C’est seulement à ce moment qu’on a pu redonner l’accès à internet aux employés, après une semaine. Un moment critique. «Nous avions confiance. Mais nous avons gardé des mesures de surveillance particulière dans les jours qui ont suivi», affirme M. Leblanc.
On a aussi profité de l’occasion pour changer les mots de passe, «pour ne pas prendre de chance».
La collaboration a facilité les choses. «L’équipe a fait un travail extraordinaire. On a beaucoup communiqué avec les employés, parfois plusieurs fois par jour. Les gens sont plus sensibilisés à la sécurité informatique aujourd’hui, avec les événements récents.»
À la suite de l’incident, les mesures de prévention vont se poursuivre. «Il faut d’abord et avant tout travailler sur la vigilance et la sensibilisation des employés. Nous allons mettre en place un programme qui inclut des capsules d’informations et des jeux, pour rendre ça plus intéressant que des contenus de formation traditionnels.»
Dans le rapport Human Factor 2019, la firme de sécurité informatique Proofpoint indiquait d’ailleurs que 99% des failles informatiques étaient causées par des erreurs humaines.
L’histoire se termine bien. «Nous n’avons subi aucun contrecoup. On a la chance de s’en être bien sortis», exprime le directeur, soulagé.
La Ville n’avait pas de cyberrassurance, mais le risque avait été évalué. Les montants payés aux deux entreprises spécialisées appelées en renfort pour valider le plan d’action sont estimés à un peu moins de 10 000$. Le coût des heures supplémentaires de l’équipe n’a pas encore été comptabilisé.
En février 2018, le virus Emotet avait frappé la ville d’Allentown, en Pennsylvanie. On avait alors évalué à plus d’un million de dollars le coût du rétablissement des affaires.