"Aucune entreprise française n’a subi, à ce jour, une cyberattaque en déni de services d’une telle intensité"
De quel type de cyberattaque La Poste a‑t‑elle été la cible lors des fêtes de fin d’année ?
Philippe Bertrand : Nous avons été confrontés à une cyberattaque de type DDoS, c’est-à-dire une attaque en déni de services. Le but de ce type d’attaque est assez simple : saturer les accès au système informatique en le "bombardant" de milliards de tentatives de connexion de manière à le rendre indisponible. C’est un type d’attaque que nous connaissons bien et auquel nous savons faire face même si, dans le cas présent, cette cyberattaque était sans précédent à plusieurs égards.
Qu’est ce qui rend cette cyberattaque différente de celles que le groupe La Poste a pu connaître jusqu’ici ?
Philippe Bertrand : Il s’agit, tout d’abord, d’une attaque inédite par sa sophistication technique. Elle s’est révélée d’une grande complexité car nos assaillants s’adaptaient en permanence aux réponses défensives que nous mettions en place. Inédite aussi par son intensité. On parle de milliards de requêtes envoyées chaque seconde sur nos serveurs par des millions d’adresses IP, d’ordinateurs "zombies" sur lesquels les hackers ont pris la main. Pour vous donner une idée du volume massif de requêtes dirigés vers nos services en ligne, nous avons enregistré jusqu’à 2,5 milliards paquets de données par seconde.
Enfin, c’est une cyberattaque inédite par sa durée car elle a commencé le 22 décembre et a perduré jusqu’à début janvier. Aucune autre entreprise en France n’a subi, à ce jour, une cyberattaque en DDoS d’une telle intensité.
Il est important de souligner que cette attaque a certes rendu momentanément inaccessibles nos services en ligne, mais elle n’a donné lieu à aucune intrusion dans nos systèmes ni à aucune fuite de données.
Quelles priorités opérationnelles s’imposent lorsqu’une organisation subit une cyberattaque de ce type ?
Philippe Bertrand : La capacité de détection est la première priorité. Nous avons des équipes cyber qui surveillent nos systèmes informatiques 24h/24, 7j/7. C’est grâce à la solidité de notre organisation que nous avons immédiatement détecté cette attaque.
La deuxième priorité, c’est la capacité de réaction. Nous disposons d’équipes formées, capables de mettre immédiatement en place les premières mesures de protection.
Ensuite, il y a évidemment le partage d’informations et la coordination. La Poste est un grand groupe. Les services potentiellement concernés sont nombreux, nos systèmes d’information sont très connectés. Les différentes équipes doivent être mobilisées très rapidement pour que soient mises en œuvre les mesures urgentes avec trois objectifs : protéger nos systèmes, préserver les données de nos clients et maintenir le fonctionnement opérationnel de l’entreprise. Nous sommes parvenus rapidement à enchaîner ces différentes étapes, ce qui nous a permis de contenir cette attaque, malgré sa violence.
Peut on réellement prévenir ce type d’attaque ou seulement en limiter les effets ?
Philippe Bertrand : Quels que soient les moyens mis en place, aucune organisation ne peut empêcher les cyberattaques. Notre responsabilité est d’avoir les moyens d’y faire face. C’est ce que nous faisons. Nous n’avons jamais été à l’arrêt. Nos sites industriels et nos bureaux de poste ont continué leur activité. Pour preuve, nous avons distribué 180 millions de colis pendant les fêtes de fin d’année, conformément à nos prévisions, et nos clients qui désiraient retirer de l’argent ont pu le faire. Le groupe La Poste a fait front grâce à la mobilisation collective, des 400 collaborateurs experts en cybersécurité, aux facteurs et chargés de clientèle dans les bureaux de poste.
Toutes les organisations sont désormais exposées aux attaques DDoS. A t on constaté ces derniers mois une montée en puissance ou en fréquence de ces offensives ?
Philippe Bertrand : Il y a deux ans, une attaque de cette ampleur n’était techniquement pas envisageable. À mesure que la puissance informatique progresse, les acteurs malveillants deviennent aussi plus dangereux. Nous ne sommes plus face à des hackers isolés à la recherche d’un coup d’éclat mais à des organisations criminelles de plus en plus structurées, parfois diligentées par des États, qui disposent de moyens colossaux. Si le nombre d’attaques que nous subissons est assez stable, leur puissance et leur intensité augmentent. C’est pour cela que nous nous adaptons en permanence et que nous allons continuer à élever nos niveaux de sécurité. Nous nous appuyons également sur les échanges que nous entretenons avec les responsables de la cybersécurité des autres grandes entreprises et avec les services de l’État comme l’ANSSI* ou la DGSI**, en charge de l’enquête sur cette attaque.
*ANSSI : agence nationale de la sécurité des systèmes d’information. **DGSI : direction générale de la sécurité intérieure