Une grande entreprise suisse du secteur logistique a vécu le pire scénario imaginable pour son équipe informatique. En exploitant une vulnérabilité non corrigée, des attaquants ont pénétré le réseau et déployé le ransomware Akira, renommant tous les fichiers critiques avec l’extension .akira et rendant inaccessible l’environnement VMware chargé des opérations centrales de routage et de gestion des cargaisons. En quelques minutes seulement, deux NAS Synology qui stockaient des snapshots et des sauvegardes quotidiennes ont également été touchés, éliminant ainsi la voie traditionnelle de restauration. Sans plan formel de réponse aux incidents et avec toutes les opérations paralysées, l’équipe technique a ressenti pleinement le poids de la responsabilité, tandis que la direction, émotionnellement affectée, cherchait une solution qui n’impliquerait pas de négocier avec des criminels.
C’est à ce moment que Digital Recovery a été contactée. Dès le premier échange, nos ingénieurs ont établi une communication téléphonique directe avec le DSI et ouvert un canal sécurisé par e-mail pour l’échange d’informations sensibles. Le diagnostic initial a confirmé l’étendue des dégâts : tous les volumes VMware chiffrés et les partitions des NAS bloquées. L’urgence était évidente — chaque heure d’indisponibilité entraînait des retards logistiques dans plusieurs hubs européens. Sans possibilité d’utiliser les sauvegardes compromises, nous avons défini un plan de récupération.
La stratégie a commencé par l’isolement physique des NAS afin d’empêcher toute réécriture, suivi de la création d’images forensiques sectorielles au format UFS, garantissant ainsi l’intégrité des blocs. En laboratoire, nous avons utilisé des technologies propriétaires capables de monter directement des volumes Btrfs à partir de ces images, en reconstruisant les métadonnées et en regroupant les fichiers VMDK essentiels à l’environnement virtuel. Tout au long du processus, nous avons tenu le client informé grâce à des rapports quotidiens et des appels de suivi réguliers, offrant une transparence totale et réduisant ainsi l’anxiété de la direction.
Au troisième jour d’intervention, notre équipe a identifié un dépôt de sauvegarde non documenté dans un second datacenter, miraculeusement intact. Cette découverte a permis d’accélérer la restauration d’une partie des machines virtuelles : seule une VM a dû rester éteinte afin de préserver la cohérence de l’ensemble récupéré. Le cinquième jour suivant le début de l’intervention, nous avons livré toutes les données validées, accompagnées de hachages de vérification fournis au client pour un audit indépendant. Les opérations logistiques ont repris sans nécessité de paiement de rançon, et l’équipe interne a immédiatement ressenti un grand soulagement en voyant les terminaux afficher de nouveau des files d’expédition normalisées.
Cette expérience a renforcé deux leçons fondamentales : l’importance de maintenir des sauvegardes segmentées — y compris des copies hors ligne — et de disposer d’un plan de réponse aux incidents testé périodiquement. Pour Digital Recovery, ce cas a démontré une fois de plus que, même face à un ransomware aussi sophistiqué qu’Akira, la combinaison de techniques forensiques avancées, d’une communication claire avec le client et d’un focus absolu sur la récupération des données affectées par des ransomwares permet de restaurer les opérations critiques dans des délais records.
