Études de cas.
Veille. Livres blancs.

Akira · 39 minutes ·
16 ans de dossiers protégés.

Le 12 mars 2024 à 3^h47, un cabinet d'avocats de Montréal a perdu accès à seize années de dossiers clients. Trente-neuf minutes plus tard, notre équipe avait isolé le serveur compromis. À 7^h15, les associés ont pu rouvrir leur étude. Le ransomware n'a jamais été versé.

« Quand le téléphone a sonné à 3^h52 du matin, j'ai compris en cinq mots ce que CostLink avait vu, ce qu'ils faisaient déjà, et ce que j'avais à faire moi-même. C'est ça qui vaut le contrat. » — Associé directeur, Cabinet XX, Montréal

Hameçonnage ciblé contre un parajuriste senior trois semaines avant l'incident — courriel de fausse facturation Westlaw, identifiants M365 capturés via faux portail Microsoft. Persistance par règle Outlook de redirection silencieuse vers boîte attaquant. Mouvement latéral vers Active Directory en exploitant ACL mal configurée sur un compte service hérité. Privilèges Domain Admin obtenus J−4. Déploiement Akira par GPO sur l'ensemble du parc à 03^h47 — chiffrement initié simultanément sur 142 actifs.

• → 03^h49 — pics d'écriture chiffrée sur partages réseau (CrowdStrike détecte le pattern)
• → 03^h50 — corrélation avec création anormale d'extensions .akira
• → 03^h51 — règle Sigma propriétaire (CL-RAN-007) déclenche escalade automatique P1
• → 03^h51 — analyste de quart prend l'incident en main (J. Charron)
• → 03^h52 — appel direct à l'associé directeur · briefing en moins de 90 sec

Isolation simultanée du contrôleur de domaine compromis + des 28 actifs en chiffrement actif. Révocation des sessions Microsoft 365 cadres. Blocage de l'adresse de commande et contrôle (C2) au niveau du pare-feu. Identification et déconnexion du compte de service attaquant. Préservation des preuves selon les bonnes pratiques d'investigation. 04^h26 — confinement déclaré complet.

Restauration depuis sauvegardes immuables hors ligne. 89 % des actifs touchés revenus opérationnels avant 7^h15. Les 11 % restants — dont quelques postes individuels — restaurés dans les 48 h. Aucun dossier client perdu. Aucune donnée exfiltrée (vérifié par capture réseau). Rançon de 680 000 USD demandée, refusée.

Notification à la Commission d'accès à l'information du Québec (CAI) le 14 mars — délai 36 h. Communication au Barreau du Québec et au comité de discipline interne. Liaison assureur cyber (panel breach response activé J+1). Refonte de l'architecture AD (séparation comptes-services). Formation ciblée parajuriste · plus large. Audit interne post-incident remis aux associés J+45.

Compromission OT ·
arrêt sous 6 heures.

Manufacturier québécois (trois sites, ligne automatisée 24/7) — compromission par un fournisseur tiers ayant accès à distance pour maintenance préventive. L'accès a été détourné, ouvrant un chemin direct vers le réseau OT. Détection à 22^h18, premier arrêt contrôlé à 22^h43, périmètre confiné à 04^h11.

Fournisseur d'automatisation industrielle utilisé par le client depuis 7 ans, accès VPN persistant pour télémaintenance. Le fournisseur lui-même a été compromis trois jours avant — credentials valides utilisés pour accéder au réseau du client. Détection difficile car trafic légitime selon le filtrage périmétrique standard.

Notre stack a vu un comportement anormal sur trois indicateurs simultanément : (1) connexion VPN fournisseur en dehors des fenêtres de maintenance convenues, (2) tentative d'élévation de privilèges sur le contrôleur PLC, (3) requêtes sur services administratifs jamais sollicités par ce compte. Corrélation tri-signal — passage automatique P1.

• → 22h18 — détection · escalade P1 · analyste assigné
• → 22h25 — directeur opérations client réveillé
• → 22h31 — révocation immédiate du compte VPN fournisseur
• → 22h43 — arrêt contrôlé site principal (politique pré-définie)
• → 23h12 — équipe intervention sur site (sortie de pont d'urgence)
• → 04h11 — confinement complet · trois sites
• → 08h30 — reprise contrôlée ligne 1 · 11h00 ligne 2 · 14h00 ligne 3