Fin 2021, une attaque informatique via sa messagerie professionnelle Microsoft Exchange frappe une importante PME du bassin annécien. L’incident est tel qu’il bloque le fonctionnement de l’entreprise. Dans l’urgence, et après audit du sinistre par son assureur, la société décide de migrer sa messagerie dans le cloud. Elle charge AD-DS de superviser l’opération de transfert vers Microsoft Exchange 365 et de renforcer la sécurité. Retour d’expérience.
Microsoft Exchange vulnérable malgré la sécurité mise en oeuvre
Microsoft Exchange est une solution de messagerie électronique très répandue en entreprise. Elle s’utilise en tandem avec Microsoft Outlook, le célèbre client de messagerie de Microsoft Office. En 2021, des groupes criminels spécialisés dans la cyberattaque découvrent et exploitent plusieurs failles Microsoft Exchange. Un simple e-mail vérolé par un malware suffit à semer la panique. De nombreux serveurs de messagerie professionnelle équipés des versions 2013, 2016 et 2019 du logiciel Microsoft Exchange Server sont piratés en l’espace de quelques semaines, un peu partout dans le monde.
Une attaque informatique paralyse une PME d’Annecy
Malgré la sécurité déployée sur son site (antivirus, antispam, antimalwares, pares-feux, chiffrement des flux), une importante PME de Haute-Savoie est victime d’une cyberattaque via Microsoft Exchange Server fin 2021. L’incident paralyse l’activité de la société annécienne qui emploie plus d’une centaine de personnes. Malgré l’arrêt des équipements de communication et la coupure de l’accès à Internet, l’infection se répand et rend inutilisable l’ensemble des boîtes mails des salariés. Heureusement, le serveur de messagerie attaqué dispose de sauvegardes hors ligne exploitables. Mais à ce stade, il est encore trop tôt parler de restauration… Le prestataire informatique de la société, chargé du support technique, doit rétablir en priorité le fonctionnement du réseau.AD-DS jalonne la migration vers Microsoft Exchange 365
En parallèle, la compagnie d’assurance procède à un audit du sinistre. Elle impose d’abord à son client l’arrêt définitif de la machine Microsoft Exchange Server incriminée. Pas question de se contenter d’installer un correctif (patch), l’affaire est trop grave. A tel point que la PME décide d’anticiper la migration sa messagerie professionnelle vers une solution de type cloud. Initialement prévue en 2022, il devient impératif de la réaliser au plus tôt. Un contexte exceptionnel qui pousse le prestataire informatique de la société d’Annecy à solliciter AD-DS pour son expertise sur Exchange et Microsoft 365.Messagerie professionnelle : en quoi le cloud est-il plus sécurisé ?
Les pirates informatiques savent qu’il est plus facile d’attaquer un serveur Microsoft Exchange isolé. En effet, beaucoup de TPE/PME ne déploient pas les correctifs de sécurité à temps, voire ne les installent jamais ! De plus, les équipements informatiques qu’elles possèdent sont vulnérables à bien d’autres aléas : incendie, inondation, vol, vandalisme. A contrario, le cloud s’appuie sur des centres de données (datacenters) sécurisés physiquement. Accès filtrés, systèmes anti-incendie de pointe, redondance des machines et des supports de stockage, alimentation électrique de secours, ce sont de vraies forteresses ! Par ailleurs, des équipes de spécialistes y mettent quotidiennement à jour l’ensemble des produits logiciels (dont Microsoft Exchange) mis à disposition de leurs clients. Un environnement bien plus fiable pour héberger ce que les entreprises ont de plus précieux : leur patrimoine immatériel.Failles Microsoft Exchange : transfert de la messagerie locale vers le cloud
Le démarrage de la migration commence par la préparation de l’environnement Microsoft 365 de la PME annécienne. L’opération s’effectue grâce à l’outil Azure AD Connect qui permet de créer les utilisateurs dans le cloud Microsoft rapidement et facilement. Quelques heures plus tard, les salariés accèdent de nouveau à une boîte-aux-lettres, certes vide, mais opérationnelle. Ils peuvent notamment recommencer à envoyer des messages à leurs destinataires habituels. Après redirection du trafic, les flux de messagerie sont de nouveau actifs et autorisent le courrier entrant, l’activité de l’entreprise reprend lentement…
La machine Microsoft Exchange Server locale interdite aux connexions !
Pour restaurer le contenu des boîtes-aux-lettres (mails, agendas, notes), la migration d’un serveur de messagerie Exchange privé vers le cloud s’effectue généralement par le biais d’une configuration « hybride ». Les serveurs locaux (sources) et distants (cibles) cohabitent alors pendant le transfert des données afin de rendre l’opération transparente aux utilisateurs. Mais ici la situation est plus complexe ! A la suite de la décision de l’assureur d’interdire tout redémarrage ou reconnexion du serveur Exchange attaqué, impossible de mettre en oeuvre la « méthode douce ». Le prestataire informatique de la PME et AD-DS opèrent alors une restauration des comptes de messagerie « à froid ». Heureusement, des outils spécifiques, mis à disposition par Microsoft, les aident dans cette intervention délicate.L’attaque informatique complique la restauration
La reconstruction du serveur Microsoft Exchange local piraté s’effectue dans une machine virtuelle. C’est une sorte de « boite noire », isolée du système d’information de la PME d’Annecy et surtout d’Internet. Ce point de restauration fiable, datant de quelques heures avant l’attaque, permet de récupérer le contenu de la boîte mail de chaque utilisateur (les fichiers PST). Mais cette opération s’effectue au prix d’un long travail d’extraction ! Ce dernier est en effet réalisé via un script Powershell ou à l’aide de la solution de sauvegarde Veeam Backup. Celle-ci, très performante, autorise même l’extraction des données directement depuis la sauvegarde, sans avoir à tout restaurer.Microsoft Exchange 365 prend le relais du serveur piraté
Progressivement, l’opération pilotée par AD-DS permet de reconstituer la boîte de réception de chaque salarié dans l’environnement virtuel avant de l’envoyer vers le cloud Microsoft. Les règles de traitement des courriels (filtrage) sont recréées. Jour après jour les utilisateurs retrouvent leurs anciens emails, leurs pièces-jointes et leurs calendriers dans l’application Outlook. Au bout de quelques semaines, le système de messagerie professionnelle de l’entreprise est entièrement restauré et configuré dans Microsoft 365. Qui plus est, sur une plateforme centralisée, sécurisée et à haute-disponibilité (datacenter). Comme si l’attaque informatique n’avait jamais eu lieu !Après la cyberattaque, l’entreprise renforce sa sécurité et son image de marque
AD-DS intervient enfin en aval du chantier pour configurer deux outils destinés à fiabiliser ses échanges par mail. Mais aussi, pour accompagner les collaborateurs de l’entreprise dans l’adoption de leurs nombreuses fonctionnalités.