Après la tempête: comment Knauf Insulation a renforcé sa cybersécurité

S’il est un acteur qui a su transformer une cybercrise en opportunité, c’est bien Knauf Insulation. Le spécialiste mondial de l’isolation regroupe à Visé près de 400 employés et un important site de production de laine de verre.

Nous sommes un mercredi de l’été 2022. Romain Roggemans monte dans sa voiture pour rejoindre l’usine. Comme toujours, il appelle la centrale téléphonique afin de joindre le superviseur en poste. Mais cette fois, impossible d’obtenir la communication. Arrivé sur le site, ce dernier l’informe: si les machines et les PC qui les commandent fonctionnent encore, le système IT, lui, est entièrement bloqué.

Knauf fait l’objet d’une attaque massive sur l’ensemble de ses serveurs d’Europe du Nord, affectant plus de 50.000 employés. Le début d’une période un peu folle dans la carrière du Continuous Improvement Manager,et le point de départ d’un processusqui impactera l’ensemble du groupe.

Transparence

Très vite, l’entreprise fait le choix de la transparence et informe ses employés, clients et fournisseurs. Sur la brèche, les équipes customer services, gestion des stocks et productions collaborent pour reconstituer en toute hâte un ERP maison "à l’ancienne", au moyen de fichiers Excel. "En répertoriant les prises de commandes, les niveaux de stocks, la réception des matières premières et les productions en cours, il nous a permis de reprendre, en cinq jours, un réel niveau de contrôle sur les flux", se remémore Romain Roggemans. "En effet, nous avions très vite décidé de continuer à produire puisque les machines n’étaient pas affectées."

Il en est allé de même pour le système de contrôle de qualité. Là encore, c’est une copie des spécifications produits conservées sur disque dur qui assurera l’essentiel. Romain Roggemans s’appuiera ensuite sur l’intelligence et la mémoire collectives dans et autour de l’entreprise afin de reconstituer progressivement une base de données. Ses équipes l’utiliseront pendant de nombreux mois, avant la remise en service totale de l’ERP.

Pare-feu étanches

Le groupe s’emploie par ailleurs à vérifier immédiatement l’étanchéité de ses pare-feu internes. Fort opportunément séparés des systèmes IT, ses systèmes OT (Operational Technology) sont demeurés intacts. Une chance considérable, ces derniers guidant véritablement le cœur de l’usine. "Une paralysie des fours les aurait mis hors d’usage définitivement", précise le responsable. "C’est tout le site qu’il aurait fallu reconstruire, avec des conséquences gigantesques pour tout le groupe."

Reconstruction optimale

Accompagnée par plusieurs experts et sociétés spécialisées en cybersécurité, la façon dont Knauf reconstruira ensuite ses réseaux et redéfinira sa cyberstratégie est exemplaire et saluée par l’Agence du numérique. Pour commencer, le groupe systématisera les back-up de ses serveurs dans le cloud et en local. De quoi disposer de toutes les données nécessaires en cas de nouvelle attaque et de déploiement d’un "plan B".

Aujourd’hui, les systèmes sont analysés en continu afin d’identifier des flux anormaux, indices d’une possible attaque. Ils sont aussi nettement plus segmentés qu’auparavant, avec plusieurs niveaux de plateformes et sous-serveurs qui limitent au maximum les risques de contamination. "Nous avons également sécurisé tout l’OT. Notamment en coupant l’exposition via les connexions 4G avec les fournisseurs. Et nous formons intensivement notre personnel."

Rançongiciel

Victime d’un ransomware – véritable prise en otage de ses systèmes par des criminels –, Knauf décidera de ne jamais payer la rançon exigée. "C’eût été comme un encouragement", confie Romain Roggemans, qui met toutefois en garde: "Les conseils que prodigue l’Agence du numérique ressemblent en tous points à ce qu’un grand groupe comme le nôtre a mis en place. Les PME feraient bien de les suivre. Car la question n’est pas de savoir si on va être attaqué, mais quand."