Rapport d’incident – Cyberattaque du 28/07/2025

Etat de la situation au 11 août 2025

Nous savons combien l’incident survenu le 28 juillet dernier peut occasionner des difficultés pour la conduite de vos activités. Depuis cette date, nos équipes restent mobilisées en continu pour restaurer l’accès à vos services et renforcer la sécurité des données.

Dans la continuité des plans d’actions en cours et de la visibilité régulière que nous tâchons de donner à l’ensemble de nos clients, ce message a pour but de vous apporter :

  • Les prochaines étapes prévues pour restaurer vos services dans les meilleures conditions possibles compte tenu des circonstances
  • Un point clair sur l’état actuel de l’incident
  • Les mesures déjà prises et leurs résultats

1. Résumé de l’incident

Le 28 juillet 2025 à 20h30, notre infrastructure a été la cible d’une attaque informatique sophistiquée menée par un groupe cybercriminel identifié sous le nom “AKIRA”.
Cette attaque a impacté plus de 90% de nos serveurs, affectant la quasi-totalité de nos services d’hébergement et de nos clients.

Deux actions malveillantes coordonnées ont été constatées :

  • Chiffrement des données sur nos serveurs de production.
  • Chiffrement de nos serveurs de sauvegarde.

Les éléments dont nous disposons indiquent qu’une extraction de données a très probablement eu lieu dans le cadre de cette attaque, conformément au mode opératoire habituellement observé pour le groupe AKIRA. À ce stade, nous ne connaissons pas encore l’ampleur réelle de cette extraction non autorisé et les analyses sont toujours en cours.

2. Impact sur les services

  • Disponibilité : L’ensemble de nos services a été interrompu immédiatement après la détection de l’attaque.
  • Données clients : Les données hébergées sont actuellement inaccessibles car chiffrées, mais les premières récupérations partielles ont commencé.
  • Durée estimée de l’interruption : De nouvelles opérations de récupération sont programmées dans le cadre de notre plan de reprise, leur rythme dépendant des résultats techniques obtenus. Bien que la remise en ligne complète des services et données prenne du temps, nous avons déjà réussi à récupérer partiellement des données depuis jeudi 07/08/2025 et vendredi 08/08/2025. De nouvelles vagues de récupération sont prévues dans les prochaines étapes du plan de récupération, dont le calendrier dépendra des analyses techniques en cours, ce qui permettra, nous l’espérons, un rétablissement progressif (conditionné par la qualité des données récupérées).

3. Mesures d’accompagnement

Afin de soutenir nos clients durant cette période, nous mettons en place une politique exceptionnelle de gratuité pour tous les services concernés. Les modalités précises seront adressées personnellement à chacun d’entre vous au début du mois de septembre. D’ici là, toute facturation relative aux services touchés reste interrompue.

Dès la détection de l’attaque :

  1. Isolement complet de l’infrastructure et coupure immédiate des accès réseaux.
  2. Mise en place d’un environnement sécurisé pour empêcher toute propagation.
  3. Lancement d’une procédure de réponse à incident avec intervention d’experts en cybersécurité.
  4. Mandat d’un premier prestataire spécialisé en récupération de données (intervention arrêtée après 4 jours faute de résultats concluants)
  5. Engagement d’un second prestataire, disposant de moyens renforcés, qui a permis de récupérer une première partie de données (cf ci-dessus).
  6. Planification de nouvelles vagues de récupération pour les jours à venir.

4. Démarches légales et réglementaires

  • Déclaration officielle effectuée auprès de la CNIL, de l’ANSSI et du Procureur de la République dans les 72 heures suivant l’incident.
  • Chaque client détenant des données personnelles est tenu de réaliser sa propre déclaration CNIL conformément au RGPD (procédure d’accompagnement CNIL)

5. Prochaines étapes

  • Migration progressive de l’infrastructure vers Microsoft Azure afin d’améliorer la résilience et la sécurité.
  • Déploiement quotidien de nouveaux serveurs.
  • Services déjà remis en ligne (actuellement sans données issues de notre infrastructure) :
    • Serveurs mutualisés hébergeant PHP / WordPress.
    • Serveurs dédiés.
    • Serveurs mutualisés WebDev (prévu pour cette semaine).
  • Restauration progressive des données récupérées à mesure des vagues de récupération.
  • Un formulaire a été mis en place pour permettre à chaque client de nous indiquer les éléments les plus critiques à récupérer en priorité. Cela nous aide à concentrer nos efforts sur l’essentiel et accélérer la remise en ligne des données les plus importantes pour vos activités.

Nos équipes sont mobilisées pour accompagner chaque client afin de restaurer leurs services ou des services équivalents.

Nous avons pleinement conscience de l’importance de vos activités en ligne et restons déterminés à vous offrir un service fiable et de qualité. Nous vous présentons nos excuses les plus sincères pour les perturbations subies.

Une analyse approfondie des causes de l’incident est en cours. Indépendamment des résultats, nous étudions parallèlement des mesures techniques et organisationnelles destinées à mettre en place des solutions lorsque c’est possible.

Nous continuerons à vous tenir informés de l’avancement de nos investigations et des mesures déployées, afin de vous assurer un suivi clair et régulier.

mise à jour : Ce communiqué à fait l’objet d’une légère reformulation par rapport à l’original, apportant plus de détails sur certains points.