Le fournisseur n’avait pas mis en place de sauvegarde déconnectée lors de sa prestation de remplacement des serveurs. Bien mal lui en a pris. Son ancien client, victime d’un rançongiciel, vient d’obtenir il y a deux mois sa condamnation devant la justice. Le plaignant avait d’abord été débouté en première instance.
Selon l’arrêt de la cour d’appel de Rennes, daté du 19 novembre 2024 et consulté par ZDNET.fr, le prestataire doit désormais verser 55 000 euros à son ancien client. Ce dernier avait demandé un total de plus de 482 000 euros en réparation de son préjudice. Plusieurs éléments dans l’arrêt permettent de comprendre que l’entreprise victime est le fabricant breton de portails et de clôtures “Maison Cadiou”.
Cette société revendique être le numéro un du portail en France. Elle avait été victime d’une attaque par rançongiciel le 17 juin 2020. Comme indiqué dans l’arrêt, les attaquants avaient pu chiffrer le système d’information, dont les systèmes de sauvegarde. La société avait alors perdu la main sur les données de ses salariés et de ses clients.
Pas de sauvegarde déconnectée
L’attaque informatique s’était soldée par une semaine d’arrêt pour l’entreprise. Soit une facture totale estimée à plus de 62 000 euros. La PME bretonne s’était alors retournée contre son fournisseur, l’entreprise de services informatiques Mismo. Le fabricant de portails venait en effet de lui confier un an plus tôt, un projet de remplacement de serveurs. Ce chantier de renouvellement de son infrastructure informatique facturé plus de 190 000 euros était censé renforcer sa sécurité.
Dans son rapport, l’entreprise chargée de la réponse à incident lors de l’attaque par rançongiciel, Diateam, estimait que la gravité de l’attaque était à mettre en relation avec l’absence de mécanisme de sauvegarde déconnecté du réseau de production et une série de manquements dans la configuration de l’infrastructure. Le spécialiste avait ainsi pointé une mauvaise configuration du contrôleur de domaine Active directory.
C’est pourtant “la pierre angulaire des parcs informatiques de ce type”, relevait-il. “Une multitude de comptes à forts privilèges ont été retrouvés, sans aucune justification apparente d’un tel besoin puisque la plupart jamais utilisés”, poursuivait Diateam.
Pas dans le contrat
Un second prestataire, Asten, signalait également qu’il aurait été possible d’éviter les dégâts de l’intrusion en mettant en place des sauvegardes externalisées. L’entreprise recommandait a posteriori la mise en place de mots de passe administrateurs différents sur chaque équipement. Et également une série de règles d’hygiène numérique, comme une solution antivirale sur tous les serveurs et les postes de travail ou l’application des derniers correctifs logiciels.
Devant la justice, le fournisseur mis en cause avait signalé que la sauvegarde des données n’était pas dans le périmètre du contrat. Et qu’il appartenait au client de préciser sa demande. Ce dernier utilisait la solution Veeam pour la sauvegarde de ses machines virtuelles. L’ancien prestataire faisait “encore valoir que la présence d’un service informatique” chez son ancien client, une équipe de trois personnes, “était de nature à le dispenser de ses obligations d’information et de conseil en matière de sécurité”, signale l’arrêt.
Mais pour les juges, c’était au prestataire d’informer son client “de la nécessité d’adapter, et le cas échéant de modifier le système de sauvegarde, de manière à ce que ses données puissent toujours être sauvegardées et restaurées en cas de sinistre affectant le serveur”. A aucun moment, l’entreprise “ne démontre qu’elle a informé sa cliente de ce risque et donc qu’elle a respecté son devoir de mise en garde alors que sa proposition commerciale prévoyait l’accompagnement au changement pour les utilisateurs”, poursuivent-ils.
Plus de détails sur l’article original.