Le cabinet Pansard & Associés, basé à Roubaix, vient d’avoir droit à un audit surprise. Pas celui commandé par un client soucieux de sa gouvernance. Non. Un audit invasif, illégal et terriblement efficace, mené par le groupe de ransomware Medusa. Résultat ? Une fuite de 566,2 Go de données confidentielles, visibles sur le blog de ce groupe cybercriminel qui ne fait jamais les choses à moitié.
🐍 Medusa, l’audit qui pique
Medusa, ce n’est pas juste une bestiole mythologique qui vous fige sur place. C’est un groupe de ransomware as-a-service (RaaS) particulièrement actif depuis 2021. Sa spécialité :
- pénétrer les systèmes d’information avec finesse,
- tout chiffrer en silence,
- voler vos données,
- puis les balancer en ligne si vous ne payez pas rapidement.
Et dans le cas de Pansard & Associés, la rançon demandée est salée : 100 000 $ pour télécharger ou supprimer les fichiers. Sinon ? Tout le monde peut se servir.
📂 566 Go d’intimité professionnelle
Parmi les données fuitées :
- des arborescences d’outils métiers (
AuditSoft,Commun,Users,OneDrive), - des fichiers Excel bien gras contenant des listings de clients, des audits financiers, et des données RH,
- des scans de documents administratifs.
Bref, un concentré de ce qu’un cabinet d’audit devrait justement protéger.
Ironie de la situation : ces données sont issues d’une entreprise spécialisée en stratégie, fusion-acquisition et restructuration. On imagine mal le niveau de confiance inspiré à leurs clients aujourd’hui. Restructuration numérique imminente.
❌ Ce qu’ils ont (probablement) foiré
Aucune entreprise ne mérite une attaque. Mais entre naïveté technique et amateurisme organisationnel, il faut appeler un ransomware un ransomware.
Voici ce que Pansard & Associés a peut-être oublié :
1. Pas de segmentation réseau ?
Un OneDrive synchronisé, une arborescence globale partagée, des fichiers utilisateurs… tout laisse à penser que l’attaque a traversé les niveaux sans rencontrer de pare-feu interne ou de cloisonnement.
2. Pas de sauvegardes isolées ?
Si Medusa a pu chiffrer ou menacer toutes ces données, c’est que rien ne semblait protégé dans un coffre-fort numérique déconnecté.
3. Pas de MFA, pas de chance
L’absence de double authentification est encore trop fréquente dans les PME du conseil. C’est comme laisser la clé sous le paillasson, sauf que là, la clé ouvre tout le SI.
4. Pas de supervision SIEM ?
Aucune alerte, aucune détection, aucun blocage ? Cela sent bon l’absence de journalisation digne de ce nom. Quand un acteur extérieur navigue dans vos répertoires comme dans un open bar, c’est qu’il n’y a pas de vigile.
💥 Les conséquences : bien plus qu’un simple coup de chaud
- Dommage à la réputation : quelle entreprise confierait ses données à un cabinet qui ne protège même pas les siennes ?
- Responsabilité RGPD : avec une fuite de données aussi massive, l’alerte à la CNIL est obligatoire. Et l’amende peut faire plus mal que la rançon.
- Perte de confiance client : dans le secteur du conseil, la confiance est le seul capital. Une fois entachée, elle ne revient pas avec une mise à jour antivirus.
- Reconstruction coûteuse : SI à reconstruire, processus à revoir, prestataires à engager… Le tout, évidemment, hors budget initial.
✅ Ce qu’ils auraient dû faire
Un cabinet d’audit devrait être exemplaire sur sa cyber hygiène. Voici ce qui aurait pu éviter cette déconfiture :
🔒 1. Segmenter le réseau
Séparer les environnements utilisateurs, audit, RH, admin. Stopper les déplacements latéraux dès le premier clic malheureux.
🔐 2. Activer le MFA partout
Email, VPN, accès au cloud, outils de prod… Une authentification forte devrait être obligatoire, même pour le stagiaire.
🧠 3. Former les utilisateurs
Une sensibilisation annuelle sur les risques cyber, c’est le minimum. L’ingénierie sociale reste la porte d’entrée numéro un.
📊 4. Surveiller en temps réel
Un SIEM, des alertes, du comportemental. Ne pas attendre qu’un blog de hackers vous dise que vous avez été hacké.
🎯 Conclusion : qui audite les auditeurs ?
L’affaire Pansard & Associés est le rappel cruel que la cybersécurité ne s’achète pas sur PowerPoint. Les entreprises de conseil, juridiques et financières sont des cibles privilégiées. Et quand elles tombent, c’est tout un écosystème qui en prend un coup.
Pansard aurait dû savoir. Aurait pu anticiper. Et maintenant ? Ils seront peut-être plus exigeants… une fois leur SI reconstruit et leur réputation raccommodée.
