Le 31 janvier, Bouygues Construction a confirmé être la victime d'une cyberattaque de type ransomware (ou rançongiciel) détectée la veille sur son réseau informatique. Les système d'information du groupe de BTP avaient alors été arrêtés pour éviter une propagation.
Bouygues Construction fait un point sur cette cyberattaque qualifiée de virale en assurant " qu'aucun chantier n'a été arrêté " et indique que " l'ensemble des données qui sortent de l'entreprise vers l'extérieur fait l'objet d'une procédure de sécurisation renforcée. "
Le système d'information est en cours de restauration avec une remise en service progressive des fonctionnalités. La filiale du groupe Bouygues annonce par ailleurs avoir porté plainte et " travaille avec les autorités compétentes pour identifier l'origine de cette action criminelle. "
Aucun nom n'est donné dans sa communication, mais Bouygues Construction a reçu le renfort de l'Agence nationale de sécurité des systèmes d'information (Anssi) et le CERT-FR publie des indicateurs de compromission associés au groupe d'attaquants TA2101 - un nom donné par des chercheurs de Proofpoint - ayant recours au ransomware Maze.
De tels marqueurs techniques sont représentatifs d'une compromission avec une identification depuis l'analyse d'un système, un code malveillant ou à partir de traces réseau. Ils peuvent être utilisés pour de la détection ou le blocage d'une menace identifiée.
Le nom du rançongiciel Maze a déjà circulé concernant la cyberattaque à l'encontre de Bouygues Construction. Outre une infection et le chiffrement de fichiers, les attaquants s'appuyant sur Maze font de l'exfiltration de données qu'ils menacent de rendre ultérieurement publiques. Un moyen de pression supplémentaire pour faire payer une victime.
Le cas de Bouygues Construction pourrait être le premier en France pour l'Anssi en rapport avec Maze.
