La cyberattaque avec demande de rançon coûte 9 millions d’euros à Bpost

Radial North America -Isopix

Alors que la crise sanitaire dopait ses activités d’e-commerce en 2020, l’opérateur postal a vu sa comptabilité annuelle ternie par une attaque informatique. Au terme de l’enquête, la police conclut au sabotage informatique à des fins d’extorsion et écarte le vol de données sensibles.

Fichu ransomware. Les performances financières étaient espérées positives ce mardi soir lors de la publication du rapport annuel 2020 de bpost. Et pour cause, la pandémie a assigné des millions de consommateurs à domicile, faisant exploser les ventes en ligne. De quoi stimuler vivement le chiffre d’affaires de plusieurs divisions de l’opérateur postal belge.

Ce qui a d’ailleurs été le cas puisque sa filiale Radial North America, fer-de-lance de la transformation digitale de Bpost depuis son acquisition en 2017, a enregistré ses meilleurs résultats financiers en trois ans. L’entreprise américaine affiche 1,2 milliard de revenus opérationnels, portée tant par les clients existants que les nouveaux, pour lesquels les ventes ont plus que triplé. 

Dans 21 centres logistiques répartis sur les États-Unis, Bpost gère au travers de Radial des activités de fulfilment, des services de traitement de commandes en ligne, incluant la réception depuis le point de vente et le stockage, la gestion des envois et des retours. Et les entrepôts surchauffaient l’année dernière jusqu’à ce qu’un événement imprévu vienne stopper net le rythme commercial.

Le 15 octobre 2020, à l’entame d’un quatrième trimestre crucial avec le Black Friday et la période de fin d’année, la filiale américaine de Bpost subit une cyberattaque introduisant un rançongiciel dans son environnement informatique. Immédiatement, Radial a volontairement arrêté ses systèmes afin d’éviter autant que possible des dommages techniques et financiers.

L’activité prise en otage

La réponse donnée par l’entreprise américaine semble avoir permis une remise en service progressive et sûre. ‘Dans un délai raisonnable après l’attaque et avant le pic 2020, Radial a réussi à recouvrer suffisamment de fonctionnalités pour relancer les opérations sur tous ses sites’, décrit Bpost dans sa comptabilité au chapitre des ‘passifs éventuels’, ces obligations qui ne peuvent être évaluées de façon fiable.

Le groupe postal belge précise que l’analyse approfondie menée par les principaux organismes de services de police scientifique a conclu au sabotage informatique, doublé d’une intention d’extorsion financière.

‘Il s’agissait d’une attaque de cryptage destinée à mettre un terme aux activités afin que les attaquants puissent demander une rançon. L’attaque et le virus n’ont pas pu exfiltrer ou voler de données et rien n’indique que des données personnelles aient quitté les systèmes de Radial North America’, soulignent les rapporteurs de Bpost, ajoutant que les systèmes de traitement des payements n’ont pas été impactés.

On imagine que ce sont les assureurs qui ont dû déchanter. À l’heure de présenter ces éléments hier, Bpost n’était pas en mesure d’estimer le montant qui peut être récupéré grâce à ses polices de cyber assurance. Radial North America serait seulement en train d’élaborer et de soumettre sa demande d’indemnisation pour cette attaque au ransomware.

‘En 2020, les coûts nets estimés se sont élevés à 9,2 millions d’euros’, indique Bpost dans son rapport annuel, se voulant rassurante en insistant sur le fait que la couverture de l’assurance est suffisante pour couvrir ces estimations.

‘Bpost m’assure qu’avec Radial, les entreprises s’appliquent constamment et de concert à améliorer leurs systèmes de sécurité et leur résistance aux cyberattaques’, a récemment déclaré Petra De Sutter, ministre Groen des Entreprises publiques, des Télécommunications et de la Poste.

François Remy.