Incident Vanadium (Partie 2 ) : ne jamais lâcher!

Incident Vanadium (Partie 1) : vous avez des backups à jour mais vous allez vivre un cauchemar

 

Partie 2 : ne jamais lâcher

Samedi à 20h57 - il faut envisager d’autres solutions. Nous appelons le fournisseur de la solution de sauvegarde de Toronto afin de connaître les alternatives de solutions qu’il propose pour que nous puissions avoir accès rapidement aux sauvegardes. Aucune réponse au téléphone. Un courriel est envoyé et nous attendons la réponse. L’attente est insoutenable, les secondes sont longues.

Samedi à 22h - l’espoir renaît: le fournisseur de la solution de sauvegarde nous informe que l’arrêt du téléchargement est sûrement dû au gros volume des données. Il recommande de venir chercher une copie des données directement chez lui à Toronto! Silence de mort dans la salle.

Le réaliste reprend le dessus. Mais a-t-on vraiment le choix? C’est toujours mieux de faire 10h de route (aller/retour) pour aller chercher les données à Toronto plutôt que d’attendre un téléchargement hypothétique.

L’option d’aller chercher les sauvegardes à Toronto fait l'unanimité pour l’instant. Mais il faudra passer le lendemain pour récupérer les données. Un volontaire est identifié pour partir à Toronto à la première heure.

Samedi à 22h36- les données seront finalement envoyées par avion. Un membre de la Haute Direction a passé des appels et heureusement l’un de ces contacts actuellement à Toronto revient à Montréal le lendemain. Son contact accepte d’aller chercher une copie des données chez le fournisseur de sauvegardes et de le livrer à Montréal.

Celui qui avait été désigné pour aller chercher les données à Toronto cache mal son soulagement. Il redoutait visiblement de devoir aller à Toronto et on le comprend. Cela faisait plusieurs heures qu'il ne s’était pas reposé.

Samedi à 23h: pizza, café à volonté, continuation des travaux. Certains membres de l’équipe TI de l’organisation victime quittent les lieux pour aller se reposer.

Dimanche 1h00 AM: rotation de l’équipe de réponse aux incidents Streamscan.

Dimanche 2h30 AM: café à volonté, continuation des travaux

Dimanche 5h30 AM: café à volonté, continuation des travaux

Dimanche - 18h17: les données sont livrées par avion: le voyage s’est bien passé et les données sont enfin arrivées à Montréal. Un membre de la Haute direction s’est déplacé expressément à l'aéroport pour récupérer les données. Ensuite, direction le bureau. Chaque minute compte et il est important de démarrer la restauration des données le plus tôt possible pour éviter que les employés ne puissent pas travailler le lundi.

Dimanche à 20h38 - début de la restauration des données: nous validons que les sauvegardes sont intègres et ne contiennent aucun outil malicieux. Nous autorisons leur restauration, qui démarre aussitôt.

Nous commençons à restaurer les données des applications prioritaires.

Dimanche à 22h00 - la restauration des données continue et tout se passe bien. L’atmosphère se détend.

L’on assure aussi qu’on a encore de la pizza. La machine à café tourne à plein régime!

Dimanche à 23h50- la restauration des données est toujours en cours: aucun problème constaté, tout se passe bien. Il y a espoir qu’au moins une application soit fonctionnelle au cours de la journée de lundi.

Une personne est désignée pour surveiller la restauration des données et le reste de l’équipe TI de l’organisation victime se repose afin de faire le plein d'énergie pour le lendemain.

Lundi à 7h00 - une partie des données est restaurée: on continue de croiser les doigts.

Lundi à 8h45 - retour en production de AD et du serveur de courriel: le serveur de courriels est remis en production. L’équipe de support est prête à répondre aux utilisateurs qui auraient des problèmes de connexion.

Lundi à 8h45 - début du monitoring de sécurité post-incident: à distance notre équipe MDR surveille la sécurité du réseau a la recherche de la moindre activité malicieuse ou suspecte. Le réseau peut maintenant revenir en production de manière sécuritaire. Streamscan s’assure que le réseau est sécurisé.

Lundi entre 8h50 et 13h: quelques problèmes de connexion sont signalés par des utilisateurs mais globalement tout se passe bien.

Du lundi à 13h05 au vendredi: début du retour progressif en production pour les autres applications: pendant toute la semaine, nous accompagnons l’équipe TI dans la restauration des serveurs et des données. Pour chaque serveur re-installé, nous nous assurons qu’il est bien sécurisé. Nous identifions les points d’amélioration immédiate à mettre en place et travaillons avec l’organisation pour leur application. Le retour en production prendra plusieurs jours.

1 semaine plus tard: nous rencontrons l'organisation pour un retour global sur l'incident (rencontre post-mortem). Le client est satisfait de notre réaction rapide (prise en charge rapide de l’incident dans ses locaux) ainsi que de notre gestion efficace de l'incident, ce qui lui a permis de revenir rapidement en production.

À la demande du client, notre système de détection de cybermenaces (CDS) est installé de façon permanente dans leur infrastructure. La supervision de la sécurité du réseau sera faite par notre équipe MDR qui s'assure 24/7 que le réseau est sécurisé.

A l'instar des pompiers appelés à agir en cas d'incendie, agir rapidement en cas d'incident de cybersécurité est normal pour nous, car nous savons que chaque minute compte. Nous sommes des cyber-pompiers.

Pensez-vous encore que pour se protéger contre les rançongiciels il suffit d’avoir des sauvegardes à jour?

 

Comment Streamscan peut vous aider?

Les cyberattaques explosent sans cesse. Sans surveillance de sécurité en continu, vous êtes complètement aveugle sur les attaques qui vous ciblent. Or vous ne pouvez pas vous défendre contre ce que vous ne voyez pas.

Laissez-nous mettre nos yeux sur votre réseau. Adhérez à notre plateforme de surveillance gérée MDR propulsée par notre technologie de détection de cybermenaces CDS et mettez vous à l'abri des cyberattaques.