Norsk Hydro

Aux petites heures du 19 mars 2019, le producteur norvégien d’aluminium Norsk Hydro découvre qu’un ransomware nommé LockerGoga a chiffré ses partages de fichiers et ses ordinateurs portables dans presque toutes ses opérations mondiales. L’entreprise emploie environ 35 000 personnes dans quarante pays. Des fonderies qui tournent vingt-quatre heures sur vingt-quatre sont désormais pilotées par du personnel lisant des impressions papier de procédures d’urgence plastifiées.

Une conférence de presse, pas un communiqué

Ce qui rend la réponse de Norsk Hydro inhabituelle, c’est sa visibilité. En quelques heures, l’entreprise publie un flux webcam public depuis son siège, tient une conférence de presse en direct, et fait visiter à la BBC et à d’autres ce qui se passe au moment où cela se passe. Elle refuse de payer la rançon. Son CFO, Eivind Kallevik, devient le visage d’un modèle de communication de crise différent de celui auquel l’industrie était habituée.

La récupération technique prend des mois et coûte environ soixante-dix millions de dollars en marge perdue et en remédiation. Les attaquants — ultérieurement reliés à une équipe russe diffusant LockerGoga — n’empochent rien.

D’où venait le manuel

Norsk Hydro avait fait des exercices cyber sur table avec les services de renseignement norvégiens les années précédentes. Les exercices insistaient sur la continuité d’exploitation en cas de perte totale de l’IT et présumaient une communication externe transparente. Quand l’incident réel est arrivé, l’entreprise a exécuté le plan qu’elle avait répété.

Ce que la chronique retient

Norsk Hydro est l’exemple que l’industrie cite désormais lorsqu’elle défend l’idée que refuser de payer est une stratégie viable. Le coût total a été inférieur aux estimations de ce qu’auraient été une rançon payée plus la remédiation, et la conséquence réputationnelle a été l’inverse de ce que les manuels de communication d’entreprise de l’époque auraient prédit.