En août dernier, Lagoon a été frappé par une cyberattaque de type ransomware qui a mis à mal son réseau et son infrastructure. Comment le leader des fournisseurs d’accès à internet en Nouvelle-Calédonie a-t-il réagi face à cette menace venue du cyberespace ? NeoTech est allé à la rencontre de Stéphane Mateo, directeur général de Lagoon, pour en savoir plus sur les actions mises en place pour protéger ses clients, ainsi que sur les nouvelles stratégies adoptées pour renforcer la cybersécurité de l’entreprise. Retour dans les coulisses de cette cybercrise…

__

Bonjour Stéphane, et merci de nous accorder cet entretien sur NeoTech. Pour commencer, pourrais-tu nous résumer la récente cyberattaque que Lagoon a subie ? 

Bonjour NeoTech merci de me recevoir. En effet, le 18 août dernier Lagoon a subi une cyberattaque d’envergure de type ransomware. Celle-ci a débuté le 18 août 2024, à 3h30 du matin, et nous l’avons détectée vers 8h. Immédiatement, nous avons mis en place une cellule de crise et avons fait appel à une entreprise locale spécialisée en cybersécurité, qui avait déjà une expertise dans la gestion des ransomwares. Nous avons également contacté la police nationale, la gendarmerie pour déposer plainte ainsi que l’ANSSI (Agence nationale de la sécurité des systèmes d’information), basée à Paris pour nous accompagner tout au long du processus. Enfin, nous avons également sollicité la DINUM du gouvernement de Nouvelle-Calédonie pour mettre en place un protocole de traitement de cette attaque.

À titre personnel ainsi que pour l’entreprise, c’était la première fois que nous rencontrions une attaque de cette envergure, et nous avons fait le choix, dès le premier jour, d’être le plus transparent possible avec nos abonnés. À ce moment-là, l’attaque nous avait rendu notre plateforme d’hébergement et certains de nos services clients inaccessibles. Nous avons donc communiqué via les réseaux sociaux. En parallèle, nous avons aussi contacté directement par téléphone certains de nos clients professionnels pour les avertir.

Lagoon
Chronologie de la gestion de crise

__

Quels ont été les impacts principaux sur vos infrastructures et vos clients ?

L’attaque visait principalement notre plateforme d’hébergement. Les services affectés incluaient notre messagerie, notre site internet et l’espace client. Heureusement, notre service principal d’accès à internet est resté fonctionnel. Toutefois, certains services d’authentification pour nos abonnés ont été interrompus pendant 48 heures. Il nous a fallu deux jours pour résoudre les problématiques de connexion pour nos clients.

Pour nos clients professionnels, environ 1% de ceux hébergés sur notre infrastructure ont été touchés. Dès les premiers moments de l’attaque, nous avons rapidement contacté nos clients les plus sensibles, notamment dans le secteur bancaire, pour les alerter et prévenir tout risque de propagation. 

__

Lagoon est un acteur majeur de l’accès Internet en Nouvelle-Calédonie depuis de nombreuses années. Est-ce que cette attaque a modifié votre approche de la cybersécurité ? 

Absolument. Avant l’attaque, nous avions déjà perdu un site de secours basé au Plexus lors des événements du mois de mai, ce qui nous avait  affaiblis. Aujourd’hui, notre objectif est de limiter au maximum le risque de récidive. Dès lors, nous avons renforcé considérablement nos mesures de cybersécurité et nous sommes accompagnés par une entreprise spécialisée. Nous avons décidé de suivre la directive européenne NIS 2, qui impose des normes strictes en cybersécurité. Cette loi n’est pas encore transposée sur le territoire, mais nous avons pris les devants.

__

Après cette crise, quelles mesures concrètes avez-vous mises en place pour renforcer vos systèmes et garantir la sécurité de vos clients, qu’ils soient particuliers ou professionnels ?

Nous avons fait le choix de mettre en place des mesures en plusieurs étapes. D’abord, nous avons investi dans de nouveaux équipements ainsi que dans le déploiement d’outils de détections supplémentaires pour nos systèmes et nos clients. En matière de sauvegarde des données, nous sommes actuellement en train d’améliorer nos systèmes avec l’accompagnement de l’ANSSI et d’Ikigai, une entreprise locale en cybersécurité. Ces mesures techniques ont pour objectif d’être en conformité avec la directive NIS 2 d’ici janvier 2025.

En parallèle, nous mettons l’accent sur la formation et la sensibilisation, à la fois en interne pour nos équipes, mais aussi pour nos clients. Nous préparons des campagnes de sensibilisation pour aider nos abonnés à mieux comprendre et gérer les risques cyber. 

Lagoon
Retour avec les journalistes lors de la conférence de presse du 2 octobre © NeoTech

__

Durant cette crise, vous avez travaillé en étroite collaboration avec des acteurs comme l’ANSSI et d’autres partenaires locaux et nationaux. Peux-tu nous parler de ces collaborations et de la manière dont elles vous ont aidé à gérer cette crise ?

L’ANSSI a joué un rôle clé en analysant les données pour comprendre l’ampleur de l’attaque et identifier des failles potentielles. L’équipe présente sur place nous a aussi aidés à restaurer notre infrastructure. La gendarmerie et la police nationale se sont chargées de l’enquête pour identifier les auteurs. Du côté d’Ikigai, une entreprise locale, elle nous a guidé dès le premier jour avec un plan d’action clair pour gérer la crise. Comme je le disais précédemment, nous travaillons encore avec eux aujourd’hui, pour renforcer notre sécurité.

__

Lagoon a une clientèle professionnelle importante. Comment avez-vous accompagné vos clients professionnels pendant et après la crise ? 

Pour nos clients professionnels, chaque cas a été traité individuellement. Nous avons proposé des solutions de sécurité renforcées, et nous avons collaboré avec eux pour restaurer leurs données de manière sécurisée. Nous avons également transféré leurs services sur une nouvelle plateforme d’hébergement plus sécurisée. Aujourd’hui, une de nos priorités est de regagner la confiance de nos clients en renforçant notre infrastructure.

__

Après cette attaque, quelles sont vos priorités stratégiques pour les mois et années à venir ? 

Notre priorité absolue est désormais la cybersécurité. Après avoir perdu notre site de secours à la suite des événements du 13 mai, nous avions déjà revu notre feuille de route pour 2024.

Pour 2025, suite à cette cyberattaque et avec le contexte économique local, notre deuxième coût budgétaire sera dédié à la cybersécurité. Avant les exactions, nous étions en phase de diversification, mais aujourd’hui nous souhaitons nous recentrer autour de ce domaine, en interne dans nos infrastructures et en externe auprès de nos clients.

__

Pour conclure, quel message souhaiterais-tu transmettre aux Calédoniens, professionnels et particuliers, en matière de prévention et de préparation face aux cybermenaces ?

Il est vrai que dans le numérique, en règle générale, nous avons tendance à ne pas appliquer ce que nous ferions dans la vie réelle. Pourtant, il est important de faire ce parallèle et d’avoir la même philosophie dans le monde virtuel. Je recommande vivement à chacun de toujours mettre à jour ses logiciels, de ne pas utiliser le même mot de passe partout, et de se méfier des e-mails suspects. Il est également important de sauvegarder régulièrement ses données, que ce soit en ligne ou localement. Et si cela vous intéresse, il y a aujourd’hui des vidéos sur la cybersécurité dédiées au grand public ainsi qu’aux professionnels.

Il est important de comprendre qu’à partir du moment où on est sur internet, on est ouvert à une attaque. Le travail de la protection réside dans le fait de rendre cette attaque la plus difficile possible. C’est comme un voleur dans une maison. Si la porte est ouverte, il va venir facilement, si celle-ci est fermée, cela va être plus difficile. Dans le monde virtuel comme dans la vie réelle, avoir différents niveaux de sécurité n’empêche pas d’être victime, mais permet de dissuader. Il est important de ne jamais négliger cet aspect.

__