Pour commencer, pouvez-vous nous représenter l'Afnor et ses métiers ?
L'Association française de normalisation (Afnor), comme son nom l'indique, est une association loi 1901 exerçant depuis 1926 une mission d'intérêt général d'organisation de la normalisation en France. La volonté du pouvoir politique de normaliser au plan national est plus ancienne que cela. L'unification des poids et mesures, la convention du mètre au moment de la Révolution française s'inscrivent déjà dans cette logique. Idem pour les pratiques et responsabilités des structures ordinales et autres guildes. Actuellement, bien sûr, la normalisation s'inscrit dans un cadre largement international.
Aujourd'hui, l'Afnor a quatre métiers. La normalisation reste notre métier historique. De manière connexe, nous menons de la certification (anciennement mission de l'Afaq avant la fusion avec l'Afnor). Nous éditons les normes, des réglementations, de la documentation... Enfin, nous avons une activité de formation. Si notre coeur d'activité est en France, nous avons 39 points de présence hors du territoire national pour nos activités hors normalisation. L'association elle-même s'occupe de la normalisation et de l'édition. Les deux autres activités et un certain nombre de points de présence à l'étranger reposent sur des filiales.
Du coup, comment est organisée la DSI et le SI ?
En tant que DSI, je pilote la totalité du système d'information de toutes les entités en France et la DSI France met à disposition des entités à l'étranger des applications métier.
Nous disposons bien entendu d'un « core SI » avec un ERP, des applicatifs RH, etc. A cela s'ajoute un « SI » par métier, c'est à dire un ensemble d'applicatifs dédiés. L'essentiel est on premise, même si nous utilisons quelques SaaS (webconférence, gestion de notes de frais, micro-messaging...).
Les applicatifs métiers résultent en principe de développements maison, éventuellement autour de progiciels. Par exemple, la gestion des normes est construite autour d'une GED car nous n'avions aucun intérêt à reconstruire un moteur de workflow en tant que tel.
Côté bureautique, nous utilisons les versions on premise de Microsoft Exchange et Microsoft Office.
Le choix de ne pas déployer Office365 est-il lié aux instructions de la Direction Interministérielle du Numérique (Dinum) ?
Nous sommes une association loi 1901 et ne sommes donc pas destinataires des instructions de la Dinum.
Frédéric Leconte rappelle que l'AFNOR est une association loi 1901 qui n'est donc pas destinataire des instructions de la Dinum.
Le jeudi 18 février 2021, l'Afnor a rencontré un incident grave de cybersécurité. Que s'est-il passé exactement ?
J'étais en vacances à la montagne et j'ai reçu un SMS à huit heures du matin indiquant que des fichiers étaient chiffrés sur les serveurs et sur des postes, que les personnels rencontraient des problèmes d'accès, etc. J'ai immédiatement appelé le responsable de la production et mon directeur général. Nous avons convenu de diffuser immédiatement un ordre impératif d'arrêt total d'utilisation du système d'information de l'Afnor, y compris les postes de travail. Nous avons aussitôt stoppé les serveurs. Des collaborateurs sont passés dans les étages pour diffuser l'interdiction. Comme nous étions encore en période pandémique, ceux qui étaient en télétravail ont été prévenus par SMS. Nous avons décidé de faire revenir tous les collaborateurs de la DSI dans les locaux pour que nous puissions mettre en place le plan de réponse à incident . Il fallait en effet réagir rapidement. Comment faire pour permettre aux collaborateurs de travailler ? Comment communiquer avec nos collaborateurs, nos clients et nos partenaires ? Le RSSI a simultanément sollicité notre prestataire Airbus Cybersecurité. Après les vérifications d'usage à distance, deux experts étaient sur site le soir même.
Qu'avez vous fait pour analyser l'incident et quelles décisions ont alors été prises ?
Tout était arrêté et les experts ont donc pu travailler sur le diagnostic durant la soirée du jeudi puis sur l'analyse complète le vendredi et le samedi, y compris sur les PC individuels. La porte d'entrée du rançongiciel se situait sur un poste de travail avec un utilisateur ayant cliqué sur un lien d'un courriel d'hameçonnage. Sans que je puisse vous donner trop de détails, il s'agissait d'un ransomware classique mais dans une nouvelle version inédite, plus contagieuse, qui a d'ailleurs été transmise à l'ANSSI.
En termes d'organisation, comment l'Afnor a réagi ?
La gestion de crise a été pilotée directement au niveau du comité exécutif. La DSI s'est bien sûr chargée de l'aspect informatique et chaque métier a géré la crise pour son propre périmètre. Nous communiquions, dans un premier temps, avec les salariés par SMS en utilisant une plate-forme
Il se trouve que, suite aux attentats de Saint-Denis en 2013, nous avions mis en place un site web permanent de gestion de crise. Et j'avais pris l'initiative, quelques mois plus tôt, de sortir ce site de nos infrastructures pour l'installer sur un hébergement externe mutualisé. L'adresse de ce site est précisée sur nos badges professionnels individuels d'accès à nos locaux avec une mention indiquant de consulter ce site en cas d'incident. Rapidement, nous avons donc utilisé ce site pour piloter la crise et communiquer avec nos collaborateurs.
Ensuite, nous avons créé une messagerie provisoire totalement externalisée. Tous les numéros téléphoniques ont été reroutés vers un centre d'appel qui prenait les messages et les transmettait par mails aux personnes concernées. En effet, notre téléphonie, ToIP, était gérée en interne sur nos propres infrastructures. Donc elle était stoppée. Nous avons également traité en urgence des questions comme le paiement des salaires de la fin du mois en reprenant un fichier télétransmis le mois précédent à notre banque. Face à la crise, nous avions besoin d'une totale mobilisation de tous nos collaborateurs et il était hors de question d'accroître l'angoisse en ayant un retard sur les versements des salaires.
Frédéric Leconte avait installé un site web de gestion de crise dont l'adresse est indiquée sur les badges professionnels individuels.
Comment avez-vous communiqué vers l'extérieur au moment de la crise ?
Alors que le sujet émergeait, nous avons rapidement communiqué. En retour, nous avons eu beaucoup de manifestations de soutien et de solidarité. Cela nous a fait chaud au coeur.
Une fois l'urgence traitée, il a fallu remonter le SI. Comment avez-vous procédé ?
Nous nous sommes appuyés sur les experts qui nous ont accompagné durant toute la crise. Précisons que nos sauvegardes étaient protégées, ce qui nous a évidemment facilité la tâche.
Nous avons estimé que les pirates avaient sans doute pu examiner la totalité de notre infrastructure. Nous l'avons donc réarchitecturée pour nous protéger d'une nouvelle attaque.
Ensuite, nous avons remonté le SI, application par application, dans un ordre validé par le comité exécutif et la direction générale. Côté sites web, Afnor.org a pu être remis en fonctionnement dégradé au bout d'une semaine, avec un processus de diffusion des normes manuel. Là aussi, le remontage a été progressif.
Dernier aspect de l'après-crise : il faut éviter une répétition. Quelles ont été les mesures prises ?
Tout d'abord, il faut rappeler que, dans l'absolu, personne n'est à l'abri d'une cyber-attaque. Bien entendu, nous avons mis en place un SOC, déployé un EDR...
Nous avons aussi mis en oeuvre une série de communications auprès des collaborateurs pour les sensibiliser aux bonnes pratiques en matière de cybersécurité. Nous lançons régulièrement des opérations de hameçonnage de test. Et nous avons rendu plus sévères les règles des mots de passe.
Depuis l'attaque, nous avons constaté une vraie prise de conscience. Maintenant, il arrive que des collaborateurs nous amènent leur PC s'ils ont un doute sur quelque chose (un mail, un incident...). Auparavant, cela n'arrivait jamais. C'est bien sûr beaucoup plus sain. Enfin, nous avons entamé une démarche de certification ISO 27001. Cette démarche est e couronnement des travaux antérieurs, en assurant ainsi une validation et une valorisation. Lors des premiers contrôles, très peu de non-conformités ont été relevées.
Frédéric Leconte peut se réjouir d'une vraie prise de conscience des collaborateurs.
Au delà de cette crise, quels sont vos autres défis actuellement ?
Nous poursuivons actuellement la digitalisation du SI de la normalisation avec, en objectif, les « normes du futur ». Il s'agit de diffuser les normes en format XML voire sous forme d'API pour accélérer l'intégration des normes dans le système d'information des entreprises. Dès aujourd'hui, la vente de normes en format papier est tout à fait épisodique. Côté formations et certifications, nous avons à rendre le parcours le plus fluide possible. Et, bien entendu, nous nous devons d'accroître les formations en mode distanciel. La certification des entreprises est réalisée par des auditeurs et ceux-ci bénéficient déjà depuis longtemps d'une application qui accompagne la rédaction du rapport final. Bien sûr, il s'agit de poursuivre l'évolution de celle-ci.
Et côté infrastructures ?
Nous sommes en ce moment en train de migrer notre datacenter vers l'hyperconvergence. Nous procédons progressivement. Notre téléphonie est actuellement hébergée sur nos infrastructures et est donc bloquée si le SI rencontre un problème. De plus, elle est un peu ancienne. Nous avons donc lancé un appel d'offres qui est toujours en cours. L'objectif serait d'éviter que, en cas de nouvelle attaque, tous nos outils soient atteints. Il s'agit de répartir les risques pour assurer notre résilience.
Notre plus grand engagement post-attaque a été de nous investir dans la rédaction d'un guide pour aider les entreprises qui vivront cette situation à faire face. Ce document, que l'on appelle chez nous AFNOR Spec, a vocation à recenser les bonnes pratiques utilisées par les structures victimes de cyberattaques, afin d'assurer une continuité d'activité. L'objectif est de partager de l'expertise et des savoir-faire pour contribuer à améliorer la résilience collective aux cyberattaques.