Cyberattaque sans précédent: Xplain refait surface
L’attaque contre Xplain, prestataire IT de la Confédération, a défrayé la chronique en 2023. Survenu au printemps dernier, l’incident a permis à des cybercriminels de publier des données sensibles d'autorités suisses sur le darknet. Pour la première fois, Xplain s'exprime sur l'attaque et ses conséquences.
Xplain sort d’une période de turbulences, c’est le moins que l'on puisse dire… Basé à Interlaken, le prestataire de services informatiques de plusieurs offices de la Confédération a été victime d'une attaque par ransomware en mai 2023. Le gang de cyberpirates Play était parvenu à récupérer des données de clients de Xplain et les a ensuite publiées sur le darknet.
Du côté de la Confédération, peu d'inquiétude dans un premier temps, car aucune donnée de production ne devait se trouver sur les serveurs du prestataire. Il ne devait s’agir que de données de test. Sauf que non… Quelques semaines après la révélation de l'attaque, on apprenait via un communiqué du NCSC que des analyses de fond confirmaient que les données dérobées comprenaient des données opérationnelles de diverses autorités et organisations (Fedpol, polices cantonales, armée, douanes, CFF…), dont des informations particulièrement sensibles. Ce qui n’aurait jamais dû être le cas. A qui la faute? Xplain ne s’est jamais prononcé publiquement sur l’affaire… jusqu'à présent. L’entreprise vient d'envoyer un communiqué et son CEO, Andreas Löwinger, a invité les journalistes à un entretien.
Dans son communiqué, Xplain indique que la manière dont s'est déroulée l'attaque n'est toujours pas claire. «Des hackers tels que le groupe Play ne laissent généralement aucune trace et exploitent des vulnérabilités inconnues, rendant difficile pour les enquêteurs de déterminer la méthode exacte de l'attaque», précise le prestataire suisse alémanique.
Qui est responsable?
Durant l’entretien, Andreas Löwinger évoque la possibilité que les pirates aient accédé aux données de son entreprise via un prestataire de services cloud externe. Il reconnaît toutefois que les données ont été récupérées sur les serveurs de sa firme. A la question de savoir si Xplain est coupable de l'attaque, il nuance: là où il était stipulé par contrat que les données classifiées devaient être effacées, Xplain a respecté l'accord, affirme le CEO. Avant d'admettre que de tels accords n'existent toutefois pas pour chaque commande. Et de confier qu’il n'est pas toujours facile pour Xplain de déterminer s'il s'agit de données en production ou de données de test. «Bien sûr, nous y regardons de plus près aujourd'hui», souligne Andreas Löwinger.
Par la suite, Xplain accordera également une plus grande attention aux questions relatives à l'infrastructure d'échange de données: «Les données peuvent-elles être envoyées par e-mail? Qu'est-ce qu'un canal de données sécurisé? Faut-il des postes de travail sur place chez le client?» En principe, explique le CEO, les données devraient leur être soumises déjà anonymisées. Mais il admet que par le passé, des pressions relatives à des délais ont mené l'entreprise à agir de façon précipitée. A l'avenir, il sera donc nécessaire de «savoir, à titre préventif, comment on veut procéder lorsque c'est urgent», ajoute Andreas Löwinger.
Critiques balayées
Après la cyberattaque, Xplain a déposé une plainte pénale. Toutes les informations nécessaires ont été mises à la disposition des autorités et l'entreprise a coopéré avec elles pour éclaircir la situation et limiter les dommages, indique le communiqué. Dans l'entretien, Andreas Löwinger fait l'éloge de cette coopération: «Nous nous sommes sentis très bien entourés». Les clients se seraient également montrés orientés vers la résolution des problèmes.
Interrogé sur les critiques dont Xplain a été la cible, le CEO n'accepte pas celle selon laquelle son entreprise ne s'était pas investie en matière de cybersécurité avant la cyberattaque. Rappelant en outre que l’entreprise fournit certes des logiciels pour le traitement des données, mais n'offre pas de services d'hébergement. C'est pourquoi Xplain n'est pas certifiée selon des normes de sécurité de l'information telles qu'elles sont exigées pour les fournisseurs d'hébergement. «Nous sommes certifiés ISO-9001, nous contrôlons chaque année les processus correspondants et nous les vivons activement dans notre entreprise», précise le CEO.
Remplacement des systèmes
Suite à la cyberattaque, Xplain a dû reconstituer son infrastructure informatique: «Notre ancienne infrastructure a été confisquée comme preuve. D'un point de vue positif, nous avons pu repartir entièrement à zéro sur un terrain vierge»», explique Andreas Löwinger. L’entreprise a aussi remplacé des prestataires de services externes et procédé à une révision de divers processus. «Nous contrôlions déjà régulièrement nos systèmes avant l'attaque. Maintenant, nous savons qu'il faut le faire en permanence», ajoute le CEO. Qui souhaite désormais aller de l'avant.
Dans son communiqué, Xplain indique être dans une situation financière stable, avec un bilan d'exercice 2023 équilibré malgré l'incident. Le prestataire affirme en outre n’avoir perdu aucun client. La majorité des clients ont continué les travaux de projet, mais ont dû attendre l'autorisation d'installer les versions. Les paiements correspondants retardés ont entraîné temporairement une situation de liquidité tendue, que les actionnaires ont pu surmonter avec le soutien des banques.
