La cyberattaque est tombée au plus mauvais moment, dans la nuit du vendredi 11 ou samedi 12 octobre 2019. "Depuis je déteste les vendredis soirs", souligne Jérôme Lefébure, membre du directoire en charge de la finance et des métiers de support du groupe M6 qui a géré en direct la crise. Le dirigeant s’exprimait exceptionnellement sur la cyberattaque qui a frappé le groupe de médias, à l’occasion de la cérémonie des vœux organisée mardi 21 janvier par l’ANSSI (agence nationale des systèmes d’information). Il est revenu en détails sur cette situation de crise.

Plus d'accès Internet pour les journalistes radio

Au petit matin du samedi 12 octobre, Jérôme Lefébure reçoit un coup de fil de ses équipes l’avertissant d’une cyberattaque en cours. "Notre groupe a fait l’objet d’une violente cyberattaque de type ransomware", explique-t-il aujourd'hui. A la rédaction, les journalistes radio sont sous pression, n’ayant plus d’accès Internet alors qu’il faut traiter l'actualité liée à l’arrestation de Dupont de Ligonnès qui captive la France entière. Devant eux, les PC ne fonctionnent plus, l’écran est bloqué sur l’affichage de l’attaquant informatique.

Comment réagir ? Avec 4 chaînes nationales, 8 chaînes de TV payantes, 3 radios nationales et de nombreux sites Internet, le groupe M6 touche chaque jour 22 millions de Français. La priorité est claire : continuer de diffuser. Heureusement, depuis l’attaque de TV5 Monde en 2015, le groupe de médias s’était préparé à ce genre d’attaque. Du moins il le pensait. "Cela avait été l’occasion très nette de renforcer nos infrastructures et de développer la sécurité des systèmes d’information", rappelle le dirigeant. Mais cela n’a pas été suffisant.

Eviter la propagation de l'attaque

Heureusement, dès le samedi matin, les équipes techniques d’astreinte prennent les bonnes décisions. Elles ferment immédiatement les cloisons mises en place entre les différents réseaux du groupe pour la TV, la radio et la bureautique de manière à éviter la propagation trop forte. "Une crise, c’est un vrai combat rapproché avec un ennemi que vous ne voyez pas et qui en plus est déguisé dans vos habits. Ceux qui sont d’astreinte se battent contre quelqu’un qui est peut-être l’un des nôtres. C’est un stress très fort", se remémore Jérôme Lefébure.

Sans perdre de temps, les équipes techniques mettent sur pied une war room et s’assurent que les systèmes de diffusion sont opérationnels. Les journalistes peuvent continuer à travailler grâce à des connexions Internet en 4G et réussissent tant bien que mal à traiter l’affaire de l’arrestation supposée de Dupont de Ligonnès.

En parallèle, le groupe appelle à l’aide tous les experts numériques qu’il peut. Dès les premières heures de la crise, M6 fait appel à son prestataire en service de sécurité informatique. Mais également l’ANSSI et le centre de lutte contre les criminalités numériques de la gendarmerie… Durant le week-end seront également informés la CNIL en cas de fuite de données personnelles, les actionnaires, le conseil de surveillance et aussi… l’assureur.

Fatigue nerveuse et adrénaline

Dès le dimanche matin, les cyber pompiers de l’ANSSI sont dans les locaux de M6 pour prendre la mesure des dégâts. Grâce à leur expérience des cyberattaques, elles apportent un vrai soutien aux équipes techniques de M6. "Dans le calme, la gestion de crise est entrée dans une seconde phase alors que nos équipes étaient complètement sous adrénaline de s’être faites attaquer et montraient des signes de fatigue nerveuse. Il fallait comprendre et chercher des remèdes et nous rassurer sur notre capacité à poursuivre la diffusion", explique le dirigeant de M6.

Lundi matin, c’est le choc pour les salariés qui reprennent le travail. Ils sont face à une table sans ordinateur. La plupart des machines avaient été retirées durant le week-end. Les mines sont déconfites, chacun se demandant ce qu’il va faire. Après le choc, c’est l’inquiétude et la panique pour savoir si les précieuses données de travail (fichiers clients, agenda, dossier de travail…) sont définitivement perdues ou non. La veille, une chaine Whatsapp avait été créée pour connecter tous les collaborateurs du président jusqu’aux équipes de terrain.

Les jours suivants, vient alors l’étape de la reconstruction. Les systèmes informatiques ont redémarré par étapes, très progressivement. La messagerie électronique est revenue dès le jeudi après-midi au grand soulagement des salariés. Ensuite cela été le tour des applicatifs métiers. En respectant scrupuleusement les consignes souvent contraignantes mais indispensables de l’ANSSI et de son système de référentiel d’hygiène informatique.

Construire des châteaux forts numériques

In fine, M6 estime s’en être bien sorti. "On a repoussé l’ennemi. Il nous a fait peu de dégâts et nos antennes ont été préservées. Le public ne s’est douté de rien ou presque", estime le responsable des métiers de Support du groupe M6. Quelles leçons tirer de cette crise ? M6 a pris réellement conscience de sa vulnérabilité face au risque cyber. La direction a compris que la souplesse informatique offerte aux utilisateurs et l’ambition de productivité pouvaient ouvrir de grosses failles.

"Avec le digital, il est indispensable d’investir dans des châteaux forts numériques. Ils doivent être cloisonnés, protégés, organisés pour notre défense. Ils doivent aussi rester ouverts, connectés au monde entier…", défend Jérôme Lefébure. Et de poursuivre: "On est passé d’une étape où le risque cyber dans l’inconscient de nos collaborateurs ressemblait plus à une bonne fiction américaine diffusée sur nos antennes plutôt qu’à une réalité vécue".

Depuis quelques semaines, les directions informatiques et des ressources humaines du groupe de média travaillent à créer un environnement sécurisé et au maintien permanent d’une prise de conscience que le risque zéro n’existe pas. La crise a été traumatisante, vécue comme un véritable électrochoc. "Je déteste toujours les vendredis soir. Je crains toujours qu’une telle cyberattaque se produise à nouveau", avoue le dirigeant M6.