Cyberattaque : les 8 mois de calvaire du bailleur social 1001 Vies Habitat

Dans un témoignage rare, Michel Ogliaro, directeur de la Performance économique et financière du bailleur social 1001 Vies Habitat, raconte à La Tribune le déroulement et les conséquences opérationnelles graves de la cyberattaque par rançongiciel qui a frappé sa structure dans la nuit du 12 au 13 février 2021. Huit mois plus tard, l'entreprise ne s'en est toujours pas entièrement remise et le dirigeant doit gérer à la fois la reconstruction informatique, l'impatience de ses fournisseurs et locataires, mais aussi l'épuisement de ses équipes.
François Manens

10 mn

(Crédits : 1001 Vies Habitat)

Dans un tunnel de galères depuis huit mois. Victime d'une cyberattaque dévastatrice dans la nuit du 12 ou 13 février 2021, le bailleur social 1001 Vies Habitat (MVH) a toujours un genou à terre. Si l'entreprise a reconstruit les systèmes informatiques touchés en quelques mois, elle paie encore au quotidien les conséquences opérationnelles de l'attaque.

Spécialiste du logement social en zones tendues, MVH gère plus de 90.000 biens où habitent plus de 230.000 personnes, principalement en Île-de-France ainsi que dans trois autres régions. Dans un témoignage rare, Michel Ogliaro, directeur de la Performance économique et financière de 1001 Vies Habitat, a accepté de raconter à La Tribune le déroulé et surtout les conséquences de l'attaque. En charge à la fois de la direction financière et des systèmes d'information du groupe, l'homme s'est retrouvé au cœur de la gestion de crise.

En faisant preuve de transparence et en partageant publiquement son histoire, alors que la plupart des victimes de cyberattaques préfèrent se taire par crainte du risque réputationnel, Michel Ogliaro espère « sensibiliser les acteurs du secteur sur un risque qui concerne tout le monde », mais aussi rassurer ses partenaires, qui attendent toujours le paiement de prestations retardées par l'attaque, et « réaffirmer auprès des salariés son engagement fort pour revenir à un fonctionnement normal ».

Le pire des scénarios d'attaque

Si l'entreprise préfère parler simplement d'une "cyberattaque" car elle a refusé tout contact avec les assaillants, 1001 Vies Habitat a bien été victime d'un rançongiciel, un de ces logiciels malveillants capables de paralyser tout un système d'information, dans le but de soutirer des milliers d'euros. Une preuve de plus que les cybercriminels sont avant tout de froids opportunistes : c'est précisément parce que des organismes comme les hôpitaux et les bailleurs sociaux remplissent des missions d'intérêt public dont l'arrêt aurait un impact social fort, qu'il est intéressant de les attaquer.

Dans la nuit du 12 au 13 février 2021, MVH a vécu le pire des scénarios : le hacker a atteint et détruit l'Active Directory, sorte de tour de contrôle du système d'information, qui gère l'identité de ses membres. Autrement dit, le malfaiteur a frappé la colonne vertébrale de son infrastructure informatique. Ensuite, il a chiffré une large partie du système, ce qui rend les documents touchés illisibles et les logiciels inutilisables. Plus tard, l'enquête forensique révélera que le pirate observait le système de l'intérieur depuis un mois, grâce à la compromission du compte d'un employé de l'entreprise.

Comme une mauvaise nouvelle ne vient jamais seule, le cyberattaquant a aussi réussi à compromettre une partie des sauvegardes du système. Concrètement, le samedi 13 février 2021, le système informatique de 1001 Vies Habitat était en ruines et l'organisation n'avait quasiment aucune base pour le reconstruire. Bref, le pire des cauchemars.

Refus de payer la rançon

Michel Ogliaro confie avoir reçu trois courriels de demande de contact de la part de l'attaquant. S'il n'a pas répondu aux sollicitations, une demande de rançon -le but final de l'attaque- se trouvait certainement au bout de la discussion. Pour rappel, en échange du paiement de la rançon, les opérateurs du rançongiciel s'engagent à fournir un outil pour réparer les dégâts causés par leur logiciel malveillant. Plus la situation est critique pour la victime, plus la tentation de choisir cette solution de facilité (en apparence) est grande. Et pour cause : reconstruire un système de zéro prend du temps, coûte cher, et peut mettre la stabilité financière de l'entreprise en danger. Pire, sans les sauvegardes, certaines données ne peuvent être restaurées et resteront perdues à jamais.

Paralysée durement par l'attaque et avec peu de moyens de reconstruction, 1001 Vies Habitat était le profil type de l'entreprise qui cède au chantage. Mais sur les conseils de son service juridique, Michel Ogliaro a refusé le contact avec les attaquants. Une décision encouragée par tous les experts du secteur. « On ne redémarre jamais plus vite en payant la rançon », affirmait récemment à La Tribune le consultant spécialisé Jérôme Saiz.

Puisqu'elle n'avait aucun autre moyen de récupérer les données verrouillées par l'attaquant, l'entreprise a dû entamer un chantier de reconstruction de son système d'information à blanc, avec un déploiement progressif à partir de fin mai. Coût de la remédiation et de la reconstruction : 5,2 millions d'euros, soit 12% de son flux de trésorerie opérationnel.

Effet domino dévastateur et crise de confiance

Malgré la violence de l'attaque, le bailleur social a réussi, dès le premier mois, à payer ses salariés et à émettre les quittances de loyers, deux priorités essentielles à la continuité du fonctionnement de l'entreprise. En revanche, ses outils informatiques ont mis entre 3 et 8 mois avant d'être rétablis. « Nous avons dû racheter, reparamétrer et redéployer tous nos serveurs, et reconstruire toutes nos interfaces », rappelle le dirigeant. Pendant ce temps de flottement, l'entreprise est repassée au fonctionnement papier-crayon pour gérer le flux quotidien.

Problème : cette dégradation de l'outil de travail a laissé des traces. À cause de l'indisponibilité prolongée du logiciel de paiement des factures, un terrible effet domino s'est enclenché. Le retour au papier-crayon a rapidement engorgé le service en charge des factures et créé des retards de paiements. « Quand nous avons rétabli les systèmes, il a fallu rattraper plusieurs mois de travail administratif. À ce retard, s'est ajouté du désordre organisationnel dans le paiement de nos fournisseurs, et c'est aujourd'hui un de nos principaux problèmes », constate gravement Michel Ogliaro.

« Notre compatibilité gère 170.000 factures par mois, mais elle ne peut les traiter correctement que depuis le 15 septembre. Et donc mi-novembre, nous avions encore un encours de 40.000 factures, que nous devrions régulariser aux alentours du 20 décembre », promet-il.

Résultat, certains artisans -notamment les plus petits- ont menacé de quitter les chantiers de rénovation et de construction s'ils n'étaient pas rémunérés dans les temps. Leur grogne a mené à une dégradation de la gestion locative, puisque les interventions sur le terrain tardent. Et, en bout de chaîne, les locataires se plaignent du manque de réactivité du bailleur.

Pour casser la chaîne de dominos, le groupe a décidé de créer une équipe composée d'une dizaine de personnes, dédiée à la gestion des situations de crise. Un pansement essentiel le temps de revenir à un fonctionnement normal. « Notre priorité est de régler les problèmes dans le meilleur délai possible, et d'éviter au mieux de mettre nos partenaires et nos locataires en difficulté », insiste le dirigeant, en ajoutant qu'un soin particulier est apporté aux petites entreprises dont la pérennité pourrait être mise en danger par les retards de paiement.

Cyberattaque et Covid-19, la double peine

Les 1.300 employés de 1001 Vies Habitat se retrouvent en première ligne de l'après-attaque. « La gestion de ces crises à répétition fatigue nos collaborateurs, d'autant plus qu'elles s'ajoutent à la fatigue liée à la crise Covid », constate Michel Ogliaro. « Ma responsabilité est de m'assurer que le rythme du retour à la normale soit le bon, sans épuiser les équipes », complète-t-il.

Dans une enquête interne que La Tribune a pu consulter, le personnel note à 5,1/10 la gestion de la crise informatique par l'employeur. « Je dois souvent agir dans l'urgence ou faire face à des imprévus », rapporte un employé. Le directeur financier a conscience des efforts supplémentaires demandés, et explique avoir donné une prime financière à ses employés pour « acter leur surengagement ». Mais les équipes attendent davantage de réponses sur l'évolution de la situation.

« Un de nos principaux problèmes, c'est que nous avons du mal à donner de la visibilité sur le retour à la vie normale. Il y a un effet de tunnel difficile à gérer », diagnostique le dirigeant.

L'entreprise doit jongler entre trois flux: l'activité du quotidien, le rattrapage du retard lié à l'attaque, et la formation aux nouveaux outils numériques, à peine entamée avant l'attaque. Sur ce dernier point, MVH joue de malchance : elle avait lancé un projet de rénovation du système d'information -liée à des changements organisationnels plus larges- dès 2017, et prévoyait de le déployer mi-2020. La réforme, dans laquelle l'entreprise a investi 24 millions d'euros, intégrait notamment de nouveaux outils pour le personnel administratif. Mais son déploiement a pris du retard avec la crise sanitaire et la mise en place du télétravail généralisé. En conséquence, les logiciels, comme celui de la comptabilité, n'ont été déployés qu'au début de l'année 2021.

La formation à ces outils a, elle aussi, été retardée par les contraintes liées au Covid, de sorte que, juste avant l'attaque, les employés prenaient à peine leurs marques. La cyberattaque a balayé ces efforts puisque les employés n'ont pas pu accéder aux nouveaux outils pendant plusieurs mois. Résultat, l'entreprise doit former à nouveau son personnel administratif (59% de ses employés, soit près de 800 personnes) aux logiciels.

Retour à la normale prévu dans "quelques mois"

« En même temps que nous investissions dans le logiciel, nous avions lancé un plan de sécurisation avec des mesures basiques, et des solutions plus "robustes" devaient être déployées en mars 2021. Nous aurions alors opposé un obstacle plus important à l'attaquant », regrette Michel Ogliaro. Finalement, cette consolidation s'est faite en marche rapide lors de la reconstruction du système informatique.

L'entreprise dispose désormais d'antivirus plus performants et de nouveaux outils de surveillance et de supervision. Elle a également embauché depuis septembre un responsable de la sécurité des systèmes d'information (RSSI) externe, une mesure déjà prévue dans son plan initial. De quoi éviter de revivre le même cauchemar, espère-t-elle. « Nous avions déjà une culture de la sécurité. C'est le degré d'urgence qui n'était peut-être pas à la hauteur », conclut le dirigeant. Le renforcement express de la sécurité ne s'est pas fait sans accroc : il a causé à l'entreprise quelques problèmes d'incompatibilité avec certains logiciels métiers, trop peu souvent mis à jour par les éditeurs. 1001 Vies Habitat a donc dû faire réécrire une partie d'entre eux, ce qui a encore causé un décalage opérationnel supplémentaire...

Sauvée par sa stabilité économique, qui lui a permis d'encaisser le coût de l'attaque, l'entreprise peut désormais espérer une sortie de crise dans quelques mois, et vise de poursuivre sa dynamique d'avant crise.

« Notre niveau de trésorerie va nous permettre de continuer à investir, et notre objectif de développement record pour 2022 est maintenu. Nous prévoyons de financer 2.500 logements et d'investir plus de 600 millions d'euros sur le développement et la rénovation du parc immobilier. »

Désormais, Michel Ogliaro souhaite sensibiliser. « Le sujet de la cybersécurité peut paraître à certains d'entre nous une priorité moindre par rapport à la crise du logement. Car notre priorité à tous est de construire pour loger et nos efforts se concentrent sur cette question. » Dès lors, difficile de voir d'autres priorités, sauf que, lorsque la cyberattaque réussit, elle passe devant tous les autres chantiers...

François Manens

10 mn

Sujets les + lus

|

Sujets les + commentés

Commentaires 10
à écrit le 10/12/2021 à 16:35
Signaler
Les syndicats cgt, FO, UNSA, CFTC, de 1001 Vies Habitat, tout en confirmant la réalité de l'attaque informatique, souhaite apporter un correctif quant aux conséquences de celles-ci. De mauvais choix de gestion sont à l'origine des dysfonctionnements ...

à écrit le 05/12/2021 à 1:39
Signaler
désolé m. ogliaro, mais la 1ere erreur est qu'un financier ne devrait pas cumuler dsi ! ! mais bon sang, c'est 5ans d'études d'ingénieur et 15 ans de carrière préalable qu'il faut pour être débutant dsi en pme. vous croyez que le S.I. est un poste ...

le 09/12/2021 à 8:43
Signaler
Bonjour, Je suis d'accord à 100 % avec cette analyse, étant informaticien moi même ! Malheureusement il n'y a pas que dans le domaine informatique que cette organisation a des "lacunes". Les premières victimes sont les "clients" comme moi qui doive...

à écrit le 04/12/2021 à 9:48
Signaler
il refuse de vivre ensemble avec des pirates sauvageons! Cazeneuve va etre furieux!!!!!! bon, sinon, normalement, y a des back ups, en particulier sur bande dat ( en plus du raid); tout de suite ca enleve une epine du pied

le 04/12/2021 à 16:38
Signaler
Dat et raid... Vous connaissez 2 mots... Pour le reste on lit que vous êtes vraiment à côté de la plaque...

le 05/12/2021 à 18:56
Signaler
effectivement "dat" nous ramene presque à l' époque de Winston...Rien de pire que les pianoteurs du dimanche derriere leur PC pour vous expliquer l'informatique. Votre serviteur : diplomé informatique en 1974 (appélé encore mathématiques appliquées...

à écrit le 04/12/2021 à 9:36
Signaler
Il y a d'un côté les cybercriminels MDR ! De l'autre les cyberimbeciles .. Il y a un fort business à faire pour les cyberprofiteurs vendeurs de protections pour cyberimbeciles . Encourageons la cybercriminalité et le cyberjournalisme anxiogène po...

à écrit le 04/12/2021 à 7:55
Signaler
Ouais ouais... Les gars ont perdus leur annuaire.... Ouais ouais... Et le pirate il atout chiffrer sauf que..... C est pas comme ça que ça marche... Si tu perds ton ad tu perds tout et le pirate se coupe les jambes... Chiffrage des postes de ...

à écrit le 03/12/2021 à 20:32
Signaler
Aucun hacker ne s'est introduit dans la colonne vertébrale du système informatique. .. c'est juste un(e) salarié(e) qui a cliqué sur un lien pourri soit dans un mail pourri soit dans un site internet pourri. Ce n'est pas plus que ça.

à écrit le 03/12/2021 à 17:18
Signaler
Heu... ya de plus en plus de lièvres soulevés ça et là sur internet concernant 1001 habitats et les bailleurs sociaux de façon générale non... ? Oups pardon ! Les cyberpirates sont méchants et les bailleurs sociaux sont gentils bien sûr voyons !

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.