Rapport d’incident – Cyberattaque du 28/07/2025

Nous savons que vous attendez avec impatience des informations claires sur l’incident survenu le 28 juillet 2025 et sur l’avancée de nos actions. Conscients de l’impact important que cette situation peut avoir sur vos activités, nous avons travaillé à vous fournir ce rapport dès que nous avons pu rassembler des éléments fiables. Il présente les faits connus à ce jour, les mesures mises en place, les premières avancées dans la récupération des données, ainsi que les prochaines étapes prévues pour rétablir vos services dans les meilleures conditions possibles.

1. Résumé de l’incident

Le 28 juillet 2025 à 20h30, notre infrastructure a été la cible d’une attaque informatique sophistiquée menée par un groupe cybercriminel identifié sous le nom “AKIRA”.
Cette attaque a impacté environ 93 % de nos serveurs, affectant la quasi-totalité de nos services d’hébergement et de nos clients.

Deux actions malveillantes ont été menées de façon coordonnée :

  • Chiffrement des données sur nos serveurs de production.
  • Chiffrement de nos serveurs de sauvegarde.

Les éléments dont nous disposons indiquent qu’une extraction de données a très probablement eu lieu dans le cadre de cette attaque, conformément au mode opératoire habituel du groupe AKIRA. À ce stade, nous ne connaissons pas encore l’ampleur réelle de cette fuite et les analyses sont toujours en cours.

2. Impact sur les services

  • Disponibilité : L’ensemble de nos services a été interrompu immédiatement après la détection de l’attaque.
  • Données clients : Les données hébergées sont actuellement inaccessibles car chiffrées, mais les premières récupérations ont déjà eu lieu.
  • Durée estimée de l’interruption : Bien que la remise en ligne complète des services et données prenne du temps, nous avons déjà réussi à récupérer partiellement des données pour certains clients depuis jeudi 07/08/2025 et vendredi 08/08/2025. De nouvelles vagues de récupération sont prévues dans les jours et semaines à venir, ce qui permettra, nous l’espérons, un rétablissement progressif (conditionné par la qualité des données récupérées).

3. Mesures prises

Dès la détection de l’attaque :

  1. Isolement complet de l’infrastructure et coupure immédiate des accès réseaux.
  2. Mise en place d’un environnement sécurisé pour empêcher toute propagation.
  3. Lancement d’une procédure de réponse à incident avec intervention d’experts en cybersécurité.
  4. Mandat d’un premier prestataire spécialisé en récupération de données. Ce dernier a conclu que la tâche dépassait ses capacités au bout de 4 jours.
  5. Engagement d’un second prestataire, mieux équipé pour gérer ce type de situation, qui a permis de récupérer une première partie de données (cf ci-dessus).
  6. Planification de nouvelles vagues de récupération pour les jours à venir.

4. Démarches légales et réglementaires

  • Déclaration officielle effectuée auprès de la CNIL, de l’ANSSI et du Procureur de la République dans les 72 heures suivant l’incident.
  • Chaque client détenant des données personnelles est tenu de réaliser sa propre déclaration CNIL conformément au RGPD.

5. Prochaines étapes

  • Migration de l’infrastructure vers Microsoft Azure en cours afin d’améliorer la résilience et la sécurité.
  • Déploiement quotidien de nouveaux serveurs.
  • Services déjà remis en ligne (actuellement sans données issues de notre infrastructure) :
    • Serveurs mutualisés hébergeant PHP / WordPress.
    • Serveurs dédiés.
    • Serveurs mutualisés WebDev (prévu pour cette semaine).
  • Restauration progressive des données récupérées à mesure des vagues de récupération.
  • Un formulaire a été mis en place pour permettre à chaque client de nous indiquer les éléments les plus critiques à récupérer en priorité. Cela nous aide à concentrer nos efforts sur l’essentiel et accélérer la remise en ligne des données les plus importantes pour vos activités.