Le 27 octobre, Corsica Ferries a détecté une attaque en cours contre son réseau informatique et a rapidement isolé les serveurs qui n’avaient pas été affectés. Pendant une période de 24 heures, le site de réservation est resté hors service, mais les voyages et les réservations déjà effectuées ont été maintenus.
L’attaque a été revendiquée par le groupe de cybercriminels pro-russe NoName057 (16), suivant un scénario classique de demande de rançon. Conformément aux recommandations des autorités, la compagnie a refusé de céder au chantage. Des enquêtes sont actuellement en cours pour identifier les données et les contenus qui ont été compromis, en vue d’informer individuellement les personnes, prestataires et tiers concernés. Corsica Ferries a déposé une plainte en vertu des articles 323-1 et 323-7 du Code pénal, relatifs à la tentative d’accès à un système de traitement automatisé de données. Par ailleurs, un signalement a été fait à l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Les données bancaires épargnées
Par mesure de précaution, l’incident a également été signalé à la Commission nationale de l’informatique et des libertés (CNIL), et les clients de la compagnie ont été informés d’une éventuelle compromission de leurs données personnelles (telles que leur nom, leur adresse e-mail, et leur numéro de téléphone). Leurs données bancaires n’ont pas été affectées, car les transactions effectuées sur le site sont habituellement traitées par les réseaux bancaires auxquels la compagnie n’a pas accès. À ce jour, les enquêtes n’ont pas révélé d’autres fuites de données ni d’intrusions dans les autres systèmes de Corsica Ferries. Toutes les personnes touchées par cet incident recevront une notification individuelle dans les plus brefs délais.
Une réaction rapide et organisée
Dès la découverte de l’incident, Corsica Ferries a réagi rapidement en mettant en place les mesures suivantes :
- Création d’une cellule de crise en collaboration avec Orange CyberDéfense et l’ANSSI, avec le soutien d’un cabinet d’avocats spécialisé
- Fermeture immédiate de l’accès à tous les serveurs susceptibles d’avoir été touchés par l’incident, suivie de l’isolation du système d’information
- Envoi d’un premier courrier électronique à tous les clients susceptibles d’être concernés, afin de les informer de la situation et des nouvelles mesures mises en place pour renforcer la sécurité
- Modification des mots de passe
- Renforcement des configurations de sécurité.
