Cyberattaque à Longueuil: histoire d'un retour à la normale

Publié le 15/10/2019 à 07:00

Cyberattaque à Longueuil: histoire d'un retour à la normale

Publié le 15/10/2019 à 07:00

Par Pascal Forget
Illustration d'un écran d'ordinateur infecté par un virus informatique.

(Photo: 123RF)

En septembre dernier, la Ville de Longueuil a annoncé qu’elle avait été victime d’un virus informatique nécessitant de bloquer l’accès à Internet de tous les employés. Louis-Philippe Leblanc, directeur, Direction des technologies de l’information de la Ville de Longueuil, donne plus de détails sur la résolution de la crise.

L’histoire commence le jeudi 19 septembre, en début d'après-midi. «Environ 500 employés ont reçu un courriel malicieux. La qualité du message pouvait facilement berner les gens qui le recevaient. Il donnait l’impression d’être la suite d’un échange de messages avec un client externe, avec un document Word en pièce jointe.»

Une centaine d’employés ont cliqué. Le virus s’est activé.

Au printemps dernier, la Ville avait pourtant fait des tests en hameçonnage, pour évaluer le niveau de risque en cybersécurité. Il était dans la moyenne du secteur.

La propagation du virus informatique ne s’est pas manifestée par une fenêtre surgissante ou par un verrouillage des postes. Il n’était pas visible pour les utilisateurs. Ce n’est que grâce à la vigilance de l’équipe des technologies de l'information qu’il a été détecté.

La brèche de sécurité s’est produite malgré une protection des appareils et du périmètre du réseau. «On garde à jour nos systèmes, avec des balayages mensuels, et des tests spécialisés annuellement, pour diminuer les vulnérabilités», souligne M. Leblanc.

Il a été rapidement déterminé qu’ils avaient à faire à un virus appelé Emotet, de type cheval de Troie, qui a la capacité de télécharger une charge virale encore plus dangereuse. Il est aussi polymorphe: il change de forme pour déjouer les défenses.

«On a d’abord voulu s’assurer de protéger les informations de l’organisation. Nous avons pris la décision de suspendre l’accès Internet aux employés pour 'couper les jambes' au virus, raconte M. Leblanc. On s’est ensuite attaqué aux postes de travail. Nous avons resserré la capacité du pare-feu, pour diminuer la possibilité que le virus ne se transmette d’un poste à l’autre.»

Le 25 septembre, la Ville a publié un communiqué pour indiquer que la situation était sous contrôle. Comme il n'était pas nécesaire d'éteindre les ordinateurs et que le réseau interne continuait de fonctionner, les services aux citoyens n'ont pas été affectés.

Le virus était de type zero day, donc encore sans correctif. «Même les nouvelles définitions virales ne pouvaient s'en charger. Nous avons dû installer un 'antimalware' pour éliminer la menace», explique le directeur.

Son déploiement sur les postes de travail a mis environ 48 heures, le temps que l’installation se fasse sur toutes les machines, incluant les ordinateurs portables, qui devaient se connecter au réseau.

Pas d'Internet pendant une semaine

C'est seulement à ce moment qu’on a pu redonner l’accès à internet aux employés, après une semaine. Un moment critique. «Nous avions confiance. Mais nous avons gardé des mesures de surveillance particulière dans les jours qui ont suivi», affirme M. Leblanc.

On a aussi profité de l’occasion pour changer les mots de passe, «pour ne pas prendre de chance».

La collaboration a facilité les choses. «L’équipe a fait un travail extraordinaire. On a beaucoup communiqué avec les employés, parfois plusieurs fois par jour. Les gens sont plus sensibilisés à la sécurité informatique aujourd’hui, avec les événements récents.»

À la suite de l’incident, les mesures de prévention vont se poursuivre. «Il faut d’abord et avant tout travailler sur la vigilance et la sensibilisation des employés. Nous allons mettre en place un programme qui inclut des capsules d’informations et des jeux, pour rendre ça plus intéressant que des contenus de formation traditionnels.»

Dans le rapport Human Factor 2019, la firme de sécurité informatique Proofpoint indiquait d’ailleurs que 99% des failles informatiques étaient causées par des erreurs humaines.

L’histoire se termine bien. «Nous n’avons subi aucun contrecoup. On a la chance de s’en être bien sortis», exprime le directeur, soulagé.

La Ville n’avait pas de cyberrassurance, mais le risque avait été évalué. Les montants payés aux deux entreprises spécialisées appelées en renfort pour valider le plan d’action sont estimés à un peu moins de 10 000$. Le coût des heures supplémentaires de l’équipe n’a pas encore été comptabilisé.

En février 2018, le virus Emotet avait frappé la ville d’Allentown, en Pennsylvanie. On avait alors évalué à plus d’un million de dollars le coût du rétablissement des affaires.


image

Communication interne

Mardi 26 novembre


image

Gestion de la formation

Mardi 03 décembre


image

Marché de l'habitation

Mercredi 04 décembre


image

Sommet Énergie

Mardi 21 janvier


image

Santé psychologique

Mercredi 22 janvier


image

Marketing personnalisé

Mercredi 05 février


image

Forum Contrats publics

Mardi 11 février


image

Expérience

Jeudi 20 février


image

DevOps - Québec

Mercredi 26 février


image

Usine 4.0 - Québec

Mercredi 18 mars

Sur le même sujet

L'OCRCVM instaure un signalement obligatoire des incidents de cybersécurité

Les firmes devront rapporter à l’organisme de l’industrie tout incident de cybersécurité en deux phases.

Cybersécurité financière: Flare Systems obtient un financement d'amorçage de 1M$

17/10/2019 | Pascal Forget

L'entreprise de cybersécurité financière Flare Systems vient de finaliser une ronde de financement d'amorçage de 1M$.

À la une

Les investissements miniers progressent 7% en 2018

14/11/2019 | François Normand

L'Association minière du Québec s’inquiète toutefois de la réduction des dépenses d'exploration.

Immobilier: le Québec termine l'année en force

14/11/2019 | Les Affaires - JLR

BLOGUE INVITÉ. À Montréal, l’ajout de nouvelles unités peine à répondre à la demande, ce qui fait grimper les prix.

Canopy Growth rate la cible, le titre plonge

Mis à jour le 14/11/2019 | Denis Lalonde

Le titre de Canopy Growth termine la journée sur une chute de 14,27% à la Bourse de Toronto.