Comment l’ITNV a Transformé une Cyberattaque en Opportunité

DÉFI

Tout a commencé par un simple clic de souris.

Lorsqu'un membre de l'environnement de l’Institut de technologie Nicola Valley (ITNV) a ouvert ce qu'il croyait être une pièce jointe électronique inoffensive, il n'avait aucune idée qu'il venait d'ouvrir les portes d'une attaque de rançongiciel qui mettrait toute l'organisation sur pause.

En décembre 2019, le vice-président associé des finances et de l'administration, Ernie Gran, occupait son nouveau poste depuis deux semaines lorsqu'il a appris que quelque chose n'allait pas.

« Au début, nous pensions que c'était juste un problème dans le système, mais au milieu de la journée de travail, notre système était totalement anéanti », dit Gran.

L'attaque a coupé l'accès au réseau, ce qui a affecté presque tous les aspects des opérations de l’ITNV. En un instant, environ 1 231 étudiants et 130 membres du personnel et des professeurs des campus de Vancouver et de Merritt ont été touchés directement. La communication a été immédiatement et gravement affectée - le courrier électronique entre l'équipe du leadership et les chefs de service n'était plus possible ; La connectivité Wi-Fi a été coupée; et le système téléphonique, qui était hébergé sur le réseau, n'était plus disponible. Alors que les chefs d’équipe ont fait preuve d’une prompte réflexion, ces derniers ont utilisé des applications de messagerie de réseautage social pour communiquer avec les étudiants immédiatement après, l'enseignement en classe s'appuyait fortement sur le réseau pour les présentations médiatiques et la communication entre les instructeurs et les étudiants. Tous les fichiers, données, systèmes SharePoint et serveurs ont été verrouillés. Pire encore, l’ITNV n'avait pas de plan de réponse aux incidents (PRI) en place.

Compugen était déjà engagée avec l’ITNV à titre de fournisseur pour son logiciel principal, incluant Microsoft, et fournissait également des services professionnels pour une évaluation Wi-Fi afin de revoir les performances et de faire des recommandations pour moderniser la technologie sur site. L’ITNV a contacté Compugen pour aider à corriger l'attaque et restaurer les systèmes afin de garantir que le semestre de Janvier puisse commencer à temps, en toute sécurité et sans risques. Avec les examens de fin de session en cours, une résolution diligente était impérative.

SOLUTION

L'une des premières choses que l'équipe de Compugen a dû faire a été de déterminer comment la violation s'est produite, ce qui a été affecté et de s'assurer que l’intrusion est contenue. Toute action pour y remédier alors que le mauvais acteur était encore à l'intérieur du système finirait par faire plus de mal que de bien.

Tricia Ritchie, gestionnaire de comptes de Compugen, a reçu un appel urgent de l'équipe TI de l’ITNV pour de l’assistance et a rallié les experts en cybersécurité et la direction des services techniques de Compugen pour une collaboration immédiate avec l'équipe TI de l’ITNV. Compugen savait que la priorité immédiate était d’offrir des conseils pour contenir la réponse à l’incident, l'enquête et la récupération des systèmes. L'équipe de l’ITNV est petite et ils ont immédiatement demandé l'expertise de Compugen – à la fois pour reconstruire les systèmes et pour intégrer une collaboration beaucoup plus efficace pour leurs étudiants et professeurs de l'enseignement supérieur à temps pour la rentrée en Janvier.

Les équipes conjointes se sont concentrées sur l'effacement des ordinateurs personnels et des serveurs sur les deux campus et ont élaboré un plan pour les reconstruire en toute sécurité. Ils ont tout reconstruit en se concentrant sur l'avenir, en s'assurant qu'ils disposaient du système d'exploitation et des correctifs de sécurité les plus récents, ainsi que des applications antivirus mises à jour sur chaque appareil.

Karol King, gestionnaire principale de projet chez Compugen, a assumé le rôle de capitaine d'équipe de facto pour gérer les intervenants. "Nous avons eu au moins deux et parfois jusqu'à quatre ou cinq autres fournisseurs pour nous aider, alors j'ai pris sur moi d'être celle qui parlait au nom du client", a déclaré King.

Compugen a travaillé avec l'équipe de l’ITNV pour faire la transition de gestion des accès vers le cloud de certains systèmes, là où cela avait une signification plus fonctionnelle et financière. Pour s'assurer que l'équipe de l’ITNV était bien préparée pour les opérations et les questions à venir, Compugen a conseillé et formé le personnel de l’ITNV sur les processus de gestion du système et a créé une documentation complète pour tout ce qu'ils ont fait ; documenter chaque élément avec à la fois une copie papier, ainsi qu'un fichier de sauvegarde électronique.

Alors que cela se produisait, les équipes de Compugen et de l’ITNV ont également priorisé les plans de restauration des systèmes de communication le plus rapidement possible. Compugen a recommandé une solution basée sur le cloud pour permettre une restauration rapide des opérations et fournir une fonctionnalité vocale immédiate qui constituerait la base de leur solution à long terme. Avant l'incident, l’ITNV utilisait Skype Entreprise de Microsoft. L’ITNV prévoyait un projet de migration vers M365 de Microsoft plus tard cet été-là, cependant, la cyberattaque a accéléré la transition vers M365, un produit qui inclut Teams Collaboration. L'approche recommandée permettrait immédiatement la communication vocale interne via Teams de Microsoft. Pour les communications vocales externes, le routage direct avec l’équipement existant (120 appareils Polycom) a été jugé viable et constituerait la solution parfaite à court terme.

Après avoir mis à jour le logiciel sur tous les appareils, Compugen a transféré l’ITNV vers Teams de Microsoft restaurant les appels vocaux internes quelques semaines après l'attaque. Plus important encore, l’implantation de Teams a également permis à la population étudiante de revenir et de commencer le semestre de Janvier 2020 dans les délais.

Avec des systèmes de communication vocale internes opérationnels sur une nouvelle plateforme basée sur le cloud et de nouvelles mesures de sécurité en place, l'équipe s'est concentrée sur l'utilisation de Teams pour l'assistance en classe et la récupération des communications par courrier électronique. L'objectif principal de Compugen était de moderniser la communication et la collaboration pour les étudiants et les enseignants. La première tâche consistait à s'assurer que les professeurs avaient accès au courrier électronique, puis à rechercher des moyens d'améliorer l'expérience éducative en classe.

« Nous avons interrogé la faculté sur des éléments tels que la manière dont elle souhaitait que leurs salles de classe soient configurées et lui avons demandé si elle désirait que les étudiants puissent configurer Teams. Il était important de le gérer, alors qu’ il ne s'est pas transformé en pieuvre immédiatement. Nous voulions lui laisser des processus raisonnables », a déclaré King.

La question fondamentale restante était la modernisation et l'amélioration de la sécurité. La clé de cela était de réengager le projet prévu de l’ITNV pour remplacer le Wi-Fi et le pare-feu. Compugen a fourni des conseils sur le nouveau pare-feu (qui a été installé par l'intermédiaire d'un autre fournisseur partenaire) et a configuré les systèmes de collaboration reconstruits pour qu'ils s'alignent sur le nouveau pare-feu. De plus, Compugen a lancé la phase 1 du Wi-Fi, remplaçant les anciens points d'accès et routeurs par un plan visant à terminer la réactualisation de la phase 2 des commutateurs principaux par la suite.

En fin de compte, la situation a eu des résultats fortuits. Ce que l’ITNV ne savait pas à l'époque, c'est que les blocages liés à la pandémie de Mars 2020 développeraient à la fois les exigences et la dépendance vis-à-vis du nouveau système.

RÉSULTATS

À la suite d'un effort de reconstruction complet, l'infrastructure TI de l’ITNV est meilleure, plus rapide et plus solide que jamais. L'infrastructure nouvellement reconstruite a protégé l'environnement au point qu'il n'y a eu aucune cyberattaque réussie au cours des 18 mois qui ont suivi l'attaque du rançongiciel.

"Maintenant, nous sommes plus sensibles et plus informés sur ce qu'il faut savoir et comment prévenir une attaque", a déclaré Gran. « À titre d'exemple, en plus de notre pare-feu de groupe, nous avons mis en place un logiciel de pare-feu personnel sécurisé sur chaque ordinateur ainsi que sur le réseau. »

"La protection de l'environnement et le manque d'incidents de sécurité sont dus en grande partie à la manière inconstestable dont les systèmes ont été repensés et reconstruits", a déclaré King. « L'équipe a défini des normes de sécurité, puis a suivi ces normes pour chaque ordinateur et serveur qui a été reconstruit et ajouté au réseau. »

L'une des choses les plus intéressantes qui peuvent ressortir d'une crise est la possibilité de faire les choses différemment.

L'équipe de l’ITNV a pleinement profité de leur panne et a mis en place des systèmes offrant des fonctionnalités plus étendues telles que des expériences de communication et de réunion simplifiées, des fonctionnalités d'accessibilité améliorées pour une expérience d'apprentissage plus inclusive et une collaboration améliorée entre étudiants et professeurs. De plus, l’ITNV a mis à niveau les principaux éléments de son réseau, notamment le pare-feu, le Wi-Fi et l'infrastructure de commutation. Il s'agit d'une solution plus unifiée et moderne, plus facile à gérer de manière centralisée et qui améliore la sécurité globale, en atténuant les risques futurs.

En passant de Skype Entreprise à Teams de Microsoft, l’ITNV a pu développer et lancer une plateforme d'apprentissage en ligne pour fournir un contenu attrayant, flexible et accessible à ses étudiants. L’ITNV était bien placé pour effectuer une transition rapide et sans heurt vers l'apprentissage à distance lorsque le confinement de la pandémie de la Covid-19 a commencé de manière inattendue quelques mois plus tard. Cela a donné aux étudiants de l’ITNV un avantage d'apprentissage - offrant un accès facile au contenu, aux professeurs et aux outils de collaboration presque immédiatement. De plus, ces décisions technologiques ont amélioré les efforts de recrutement de l’ITNV avec 44 % des inscriptions à temps plein désormais facilitées par l'apprentissage en ligne.

« Pour être honnête, cette cyberattaque s'est avérée être une bénédiction déguisée car si cela ne s'était pas produit, je ne pense pas que nous aurions été prêts pendant la pandémie », a déclaré Gran. « Cela a complètement changé notre façon de faire des affaires ».

CONCLUSION

La mise à niveau vers M365 en réponse à la cyberattaque a fourni une expérience plus collaborative et accessible pour les professeurs et les étudiants, tout en améliorant considérablement la sécurité. Teams de Microsoft a fourni une expérience d'apprentissage virtuel résiliente et engageante et comme Teams est inclus dans leur trousse de licence d’Éducation Microsoft, cela a fourni un retour sur investissement fort et a rendu la décision encore plus facile.

L’ITNV a pu moderniser son infrastructure grâce à des investissements technologiques stratégiques et durcir son approche technique et son plan défensif. En conséquence, l’ITNV n'a rencontré aucun incident de sécurité depuis l'attaque. L’ITNV a également appris la puissance d'un plan RI proactif pour guider ses équipes exécutive et technique en temps de crise, et est préparé pour tout incident futur.

Au final, le succès de cette solution tient autant au développement d'une relation de confiance qu'à la technologie.

« L'une des choses les plus importantes que j'ai jamais faites a été d'engager Compugen, qui a tout de suite fait partie de notre famille élargie », dit Gran. « Compugen n'est pas seulement un sous-traitant pour nous, mais quelqu'un qui montre qu'il se soucie vraiment de l'institution ITNV. »