chocolate chunks

Pris dans le cyber-cielshairs: une épreuve de ransomware en 2025 d’un fabricant de bonbons

Lucas Morel

Quelques clics ont presque fondu 150 ans de fabrication de chocolat – preuve que dans les chaînes d’approvisionnement d’aujourd’hui, les cyber-menaces peuvent être mortelles.

Je n’ai jamais imaginé qu’une entreprise de chocolat vieille de 150 ans pourrait être mise à genoux en quelques clics sur un ordinateur. En tant que chef de celui-ci pour Ganong Bros. – le fabricant de bonbons familial le plus ancien du Canada, créé en 1873 – j’ai supervisé tout, de la mise à niveau de nos systèmes d’inventaire vieillissant pour maintenir le Wi-Fi bourdonnant sur notre plancher d’usine. Mais rien ne m’a préparé pour le matin du 22 février 2025, lorsqu’une attaque de ransomware a soudainement verrouillé nos systèmes. Dans ce moment effréné, au milieu de l’arôme du cacao et du sucre bouillant, j’ai réalisé que notre douce opération était devenue un cauchemar de cybersécurité.

Découverte au cœur de la production

Ce fut un samedi très froid au Nouveau-Brunswick, et notre usine de St. Stephen opérait sur des changements limités, préparant les commandes de printemps. J’étais à la maison quand j’ai reçu un premier appel téléphonique d’un superviseur de production: « Quelque chose ne va pas – les ordinateurs de l’emballage se sont figés et il y a un étrange message à l’écran. » Mon estomac est tombé. La connexion à distance était impossible; Notre réseau ne répondait pas. Je me suis précipité dans l’installation pour trouver des serveurs critiques cryptés et une note de rançon clignotant sur nos moniteurs.

Plus tard, nous avons déterminé que l’attaque avait commencé plus tôt, se propageant furtivement dans notre réseau. Au moment où nous l’avons «découvert» le 22 février, le code malveillant avait déjà paralysé plusieurs systèmes. Les opérations se sont arrêtées – nos machines automatisées de mélange et d’emballage étaient bien mécaniquement, mais sans les commandes numériques et les calendriers de production, nous n’avons pas pu continuer en toute sécurité. L’accès à notre base de données de commande et à notre e-mail a été coupé. En un instant, notre chocolaterie historique a été renversée au 19e siècle.

Debout dans la salle des serveurs, j’ai senti une vague de panique me laver. Les générations de l’héritage de la famille Ganong étaient maintenant sur mes épaules, et je craignais qu’un groupe criminel sans visage puisse le détruire en un week-end. J’ai rassemblé ma petite équipe informatique et nous avons immédiatement promulgué nos procédures de réponse aux incidents (dans la mesure où nous les avons documentées). Notre première étape a été de déconnecter les réseaux de l’usine du monde extérieur pour contenir tout étendue supplémentaire. Nous avons également fermé les systèmes non essentiels pour éviter que le chiffrement supplémentaire ne se produise. Il était clair qu’il s’agissait d’un incident de ransomware à part entière. Il était temps de demander de l’aide professionnelle.

Courir pour contenir la brèche

À midi, nous avions contacté une firme de réponse à l’incident de cybersécurité tierce et notre conseiller juridique. En quelques heures, les répondeurs aux incidents externes étaient sur place dans notre usine de bonbons, examinant les journaux et les images disques isolées. Les alarmes s’échappaient toujours des lignes de production qui avaient été brusquement arrêtées, créant une toile de fond étrange au travail médico-légal.

Notre équipe a travaillé côte à côte avec les experts tout au long de ce week-end, essayant de retracer les traces de l’intrus. Les premiers résultats sobres: les attaquants se sont probablement cachés dans notre réseau depuis des jours, voire des semaines. Il n’y avait pas de fenêtres brisées ou de verrous cassés dans le cyberespace, mais les panneaux indiquaient un e-mail de phishing ou un mot de passe volé comme coupable. Nous apprendrions plus tard que 76% des cyberattaques sur les fabricants de produits alimentaires commencent par des e-mails de phishing, et je ne serais pas surpris si nous devenions une partie de cette statistique.

Nos efforts de confinement se sont concentrés sur deux fronts urgents: prévenir d’autres dommages et évaluer l’étendue du compromis. Nous réinitialisons le mot de passe de chaque employé et appliquons des correctifs d’urgence sur des systèmes non affectés. Nous avons également mis en place un réseau isolé de base, permettant aux directeurs d’usine de communiquer et de commencer la planification des solutions de contournement du manuel. L’équipe médico-légale a commencé à analyser la tension des ransomwares et ses signatures. Cela ressemblait au travail du collectif des ransomwares «Play», une équipe tristement célèbre pour les tactiques à double expression et censé opérer à partir de la Russie.

Cette révélation a envoyé un froid dans ma colonne vertébrale. Nous n’avions pas affaire à des farces aléatoires – c’était une équipe d’extorsion professionnelle. Une semaine ou deux plus tard, le gang de jeu a publiquement revendiqué la responsabilité. À l’époque, cependant, nous avons gardé ces connaissances au sein de l’équipe incidente. Notre priorité était de restaurer les opérations et d’évaluer notre exposition.

Production à l’arrêt

Entrer dans l’usine principale que samedi après-midi a été l’un des moments les plus difficiles. En règle générale, vous verriez un flou d’activité – des emballages crachant des chocolats de menthe poivrée, des palettes de bonbons préparées pour l’expédition. Maintenant, les lignes étaient silencieuses. Les travailleurs se tenaient paresseusement. J’ai dû annoncer qu’un cyber «incident» s’était produit et que nous devions mettre en pause la plupart des travaux jusqu’à ce que les systèmes puissent être ramenés en toute sécurité.

Nous avons rapidement eu recours à des processus manuels à l’ancienne. Lundi, avec de nombreux systèmes de bureau encore en baisse, les directeurs d’usine utilisaient des formes de papier et des téléphones portables. C’était chaotique mais meilleur que la paralysie totale. Les commandes de clients critiques ont été retardées, mais nous avons réussi à expédier de petits lots en vérifiant manuellement les inventaires et en embauchant des courriers.

Chaque heure de temps d’arrêt nous coûtait de l’argent et de la bonne volonté. Les équipes de ransomwares savent que chaque minute un producteur alimentaire est en baisse, les pertes et la suppression de pression. Les marges de l’industrie alimentaire sont serrées et les perturbations ralentissent dans la chaîne d’approvisionnement. Ces connaissances pesaient lourdement alors que la date limite de rançon se rapprochait.

Découvrir le sentier des attaquants

Alors que les opérations se sont précipitées pour faire face, nos intervenants incidents ont découvert des preuves que les pirates avaient volé une mine de données avant de nous enfermer. Certains de nos fichiers internes avaient déjà été publiés comme «preuve» sur le Web Dark. Voir des captures d’écran de nos communications internes était un coup de poing. Enregistrements RH, e-mails et formules de produits – nous ne savions pas précisément ce qu’ils avaient pris, mais nous avons dû assumer le pire.

Notre équipe juridique s’est préparée à la possibilité de notifications de violation de données. En effet, les attaquants avaient accédé à des serveurs de fichiers contenant des fichiers RH et des contrats spécifiques. Les noms, les adresses et éventuellement le nombre d’assurance sociale de personnel, ainsi que certains détails du client, pourraient figurer parmi les données volées. Nous avons informé le commissaire provincial sur la vie privée et avons commencé à rédiger des lettres de notification.

La note de rançon a fait une menace typique: payer une somme lourde en crypto-monnaie ou les données volées seraient larguées en ligne. Les forces de l’ordre nous ont conseillé de ne pas payer. Le leadership, y compris la famille Ganong, a été catégorique sur le fait de ne pas récompenser les criminels.

Heureusement, nous avions déjà commencé le processus de récupération. Au moment où la date limite de rançon s’est écoulée, nous avions restauré de nombreux systèmes à partir de sauvegardes propres et reconstruit d’autres. Nous n’avons jamais officiellement répondu à la demande de rançon. Les criminels ont finalement publié une partie de nos données volées, mais nous avons été préparés. Notre équipe de relations publiques a publié une déclaration soigneusement rédigée reconnaissant un «incident de cybersécurité» et une exposition potentielle aux données.

En interne, nous savions que c’était un ransomware et qui était derrière. Le nom «Play» laissera à jamais un mauvais goût dans ma bouche. Ce groupe avait attaqué les hôpitaux, les écoles et maintenant notre chocolaterie. Nous n’étions qu’une autre victime – l’un des 84 incidents connus dans le secteur des aliments et de l’agriculture au premier trimestre de 2025.

Restaurer les opérations et la confiance

Grâce aux efforts 24h / 24, nous avons restauré la plupart des systèmes en environ une semaine. Début mars, Ganong Bros. était largement revenu à la normale, mais avec quelques bosses. Quelques jours de données ont dû être rentrés manuellement. La production a repris une fois que nous avons vérifié que les contrôleurs de machines étaient propres et exempts de contamination. Les employés ont applaudi lorsque nous avons annoncé que la production complète reprenait.

Nous avons déployé l’authentification multi-facteurs et les contrôles d’accès plus stricts. Nous étions transparents (dans une certaine mesure) avec des partenaires et des clients clés, expliquant qu’un cyber-incident avait provoqué une perturbation temporaire mais était sous contrôle. Heureusement, nous n’avons perdu aucun contrat majeur.

Cette attaque a frappé fin février, après la Saint-Valentin et avant la production de Pâques. Une attaque à chances pires aurait pu être dévastatrice. Malgré cela, le coup financier était significatif: la réponse aux incidents, les heures supplémentaires, les stocks gâtés et les nouveaux investissements en sécurité. La violation nous a coûté des centaines de milliers de dollars. Mais nous étions heureux de ne pas avoir financé des criminels ou de nous fier à des promesses incertaines de rendement des données.

À la mi-mars, les rapports des médias l’ont étiqueté comme une attaque de ransomware. Voir notre nom dans les gros titres avec des mots comme «hacker» et «rançon» était humiliant. Mais s’il y a une doublure argentée, c’est que notre histoire pourrait aider les autres dans la communauté de la chaîne d’approvisionnement.

Réflexions et leçons apprises

Des mois plus tard, je réalise à quel point nous avons eu de la chance à certains égards – et à quel point nous n’étions pas préparés dans les autres.

  • Investir dans la sécurité préventive. Notre réseau était trop plat. Nous le segmentons maintenant et nous déploient plus strictement des outils de détection de menaces. Les systèmes hérités et la segmentation laxiste étaient nos faiblesses.
  • Durcir l’accès à distance et les informations d’identification. Nous avons appliqué l’authentification multi-facteurs, minimisé l’accès à distance et adopté une position de «confiance zéro». La formation à la sensibilisation au phishing est désormais obligatoire.
  • Élaborez un plan de réponse aux incidents. Notre ancien plan IR était basique et non testé. Nous avons maintenant des scénarios de ransomwares détaillés, des méthodes de communication de sauvegarde et des exercices sur table en place pour le leadership.
  • Sauvegarde, sauvegarde, sauvegarde. Nos sauvegardes hors ligne nous ont sauvés. Nous reculaons maintenant plus fréquemment et testons régulièrement des restaurations.
  • Protégez l’écosystème de la chaîne d’approvisionnement. Nous avons partagé des cours anonymisés avec les pairs de l’industrie et resserré les exigences de sécurité des fournisseurs. La cybersécurité fait désormais partie de nos discussions avec des partenaires.

Avec le recul, je ressens un mélange de fierté, de regret et d’optimisme prudent. Fierté de la façon dont notre équipe s’est ralliée. Regret que nous n’avons pas agi plus tôt. Optimisme parce que nous sommes maintenant plus forts et mieux préparés.

La cyber-résilience est désormais aussi essentielle à notre entreprise que nos recettes de bonbons ou nos relations clients. Dans le monde des chaînes d’approvisionnement, nous ne pouvons plus hausser les menaces numériques. Nous sommes tous des cibles. Et les risques de ne pas agir sont trop élevés.

Notre épreuve de ransomware 2025 était pénible. Mais nous avons survécu. Nous avons gardé l’entreprise en marche. Et comme le chocolat de température, nous sommes sortis d’une chaleur intense plus forte et plus résiliente qu’auparavant.

Cet article est publié dans le cadre du réseau de contributeurs d’experts Foundry.
Vous voulez rejoindre?

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Gemini, Google, Smartphone
Gemini pour Chrome dispose d’un deuxième agent IA pour le surveiller
Cyberattaques contre les universités | Chouette noire
Cyberattaques contre les universités | Chouette noire
Ermittler kappen Tausende Nummern von mutmaßlichen Betrügern
Ermittler kappen Tausende Nummern von mutmaßlichen Betrügern