Le 19 août dernier, le journaliste Damien Bancal évoquait une cyberattaque contre un « hébergeur français », restant « dans l'attente d'une communication officielle ! ». L'exaction fut perpétrée le 16 août contre la solution ERP Octave, et depuis, les différents clients voient leur fonctionnement fortement dégradé... Parmi eux, huit distributeurs, dans lesquels Pollen et Makassar : une partie des petites maisons et de l'édition indépendante voient la diffusion et le réassort grandement perturbés...
Le 26/08/2024 à 19:01 par Hocine Bouhadjera
9 Réactions | 466 Partages
Publié le :
26/08/2024 à 19:01
9
Commentaires
466
Partages
Comme toute entreprise, les diffuseurs ont recours à un progiciel – solution technique à même d’en gérer d’autres, qui intègre tous les processus opérationnels : on appelle cet outil ERP (Enterprise Ressource Planning ou Progiciel de Gestion Intégré). Huit distributeurs passent par le prestataire Octave, qui pilote, entre autres, le stockage, de la préparation de commandes, des facturations, ou encore des retours. Voire parfois, le site internet...
L'éditeur de logiciels a été victime d'un ransomware (ou rançongiciel), assure le site Zataz dont la méthode est désormais tristement connue : ici, c'est une partie du système d’information qui a été cryptée, rendant ses opérations impossibles... Une prise d'otage numérique, qui ne se résoudra qu'en l'échange d'une rançon – le montant demandé n'a pas été divulgué.
Avec une rentrée littéraire amorcée depuis une semaine, cette situation devient intenable. « Depuis l'attaque cybernétique du 16 août dernier contre l'entreprise Octave, tout le secteur du livre est fortement perturbé », constate Cathy Decreton des éditions belges F deville, cliente de Pollen Diffusion, auprès d'ActuaLitté.
« En tant qu'éditrice, je me retrouve face à un défi, car les libraires ne peuvent plus passer de commandes via les systèmes automatisés habituels. La communication avec les distributeurs est compromise, ce qui rend difficile l'accès à des informations essentielles sur les stocks. Habituellement, je dois toujours avoir un accès direct à ces données pour les gérer efficacement, et répondre aux demandes fluctuantes, mais tout est désormais immobilisé », poursuit-elle.
L'outil Periscope, qui permet de suivre l'état des stocks au jour le jour, comme les retours et les commandes, est à présent inaccessible, ce qui handicape le plus un autre éditeur, aussi client de Pollen, qui a accepté de témoigner : « Pour l'instant, toutes les commandes passées avant l'incident sont en cours, mais des retards sont à prévoir, particulièrement problématiques avec la rentrée littéraire. Si des réassorts sont nécessaires, nous serons confrontés à des problèmes de stocks dans deux à trois semaines. »
Étienne Galliand, des éditions Double Ponctuation, a été informé voilà une semaine, par une communication de Pollen alertant les éditeurs partenaires de cette attaque. Pour lui aussi, le manque de l'outil Periscope est le plus handicapant : « Ce matin par exemple, j'ai eu un auteur au téléphone, et j'aurais aimé pouvoir lui dire combien de ses titres il me restait en stock. », nous confie-t-il. Mais de pointer : « Pollen réalise en ce moment des efforts remarquables, il faut le souligner. »
Après ce premier message pour prévenir de l'attaque informatique contre Octave, le diffuseur-distributeur a envoyé un nouveau mail ce matin à ses clients, qui révèle notamment la sauvegarde des bases de données (articles, adressages logistiques, fichiers libraires, grilles d’office). Ce qui a permis « la mise en production de la solution dégradée que nous avons mise en place ».
Il garantit également que les commandes de réassort passées par les libraires sont bien conservées et traitées, à compter de ce 26 août. Elles pâtiront cependant de délais rallongés – les libraires ont été avertis, de même que le Syndicat de la Librairie Français. Ce dernier a relayé à ses membres le dernier message de Pollen, demandant un crédit retour, lorsque le traitement des colis reviendra. L'équipe de Pollen alerte par ailleurs qu'elle n'est « pas en mesure d’émettre de factures » et les commandes « sont servies sur la base de bons de livraisons ». Elles devront être émises dans un deuxième temps, lorsque le système aura redémarré.
Les commandes des librairies indépendantes, d'Amazon, et de l'export suivent le processus habituel, et une confirmation est attendue pour la FNAC. Les mises à jour sur Dilicom se limitent pour le moment aux indications de disponibilité des nouveautés, et une adresse email spéciale a été créée pour les commandes urgentes. Les relevés de ventes d'août seront émis après le reboot du système, mais les délais de paiement restent inchangés. Les retours ne pourront enfin pas être traités jusqu'au redémarrage, et le délai pour les retraits éditeurs est maintenant de huit jours.
Octave a par ailleurs expliqué à Pollen, « informellement », qu'un délai de 3 à 4 semaines est à prévoir pour le retour à la normale.
Des mesures ont également été mises en place par Pollen pour gérer les commandes en librairie : les commandes de réassort depuis le 15 août sont traitées malgré des retards, sinon même régime que pour les éditeurs : la facturation est suspendue et remplacée par des bons de livraison, les mises à jour de disponibilité des nouveautés sont aussi limitées sur Dilicom, la même adresse email que pour les éditeurs est disponible pour les commandes urgentes, et les retours ne seront traités qu'après le redémarrage du système.
Les sites web hébergés par la société, y compris celui de Pollen, ne sont plus accessibles. Une nouvelle avanie pour ce diffuseur qui avait déjà subi les conséquences d'une attaque informatique en juin, touchant cette fois les services comptables.
Un constat est partagé par les éditeurs interrogés par ActuaLitté : le timing ne peut être anodin. Cathy Decreton, des éditions F deville, décrit : « La rentrée littéraire est un moment critique pour l'actualisation des fiches articles et des bases de données. Les libraires et autres acteurs du marché doivent disposer d'informations à jour, mais même les mises à jour ne suivent pas. »
Les cybercriminels misent en effet sur cette période de forte activité pour maximiser l'impact de leurs attaques, exploitant les vulnérabilités des systèmes lorsqu'ils sont le plus sollicités. D’autant plus gênant qu’Octave compte un certain Cultura parmi ses clients : depuis 2019, l’enseigne passe par les outils de la société pour « son développement à l’international » ainsi que la création de son réseau Cultura Belgium. ActuaLitté n’est pas parvenu à joindre l’enseigne à cette heure.
En octobre, Étienne Galliand co-publiera avec L'Alliance internationale des éditeurs indépendants le prochain numéro de la revue Bibliodiversité. Sa thématique ? La précarité de l’édition indépendante. L'affaire prend ici la tournure d'un cas d'école, souligne-t-il : « Une fois encore, ce type de problème touchera des petits éditeurs, indépendants, exacerbant les difficultés de structures déjà fragiles. Pollen n'y est pour rien, mais force est de constater que ce sont encore ces maisons qui souffrent le plus... »
En tout, huit distributeurs ont donc subi les conséquences de cette attaque. Si Pollen et Makassar, diffuseur-distributeur spécialisé en bande dessinée, comic et manga, ont communiqué sur cette attaque, les six autres semblent rester pour le moment silencieux. Contactée par Actualitté, la société Octave n’a pas encore répondu à nos demandes. Le diffuseur Pollen nous apportera plus d’informations demain. Pour sa part, Jérôme Vincent, responsable des éditions Actusf se veut confiant : « Les nouvelles [de Pollen] ont l'air plutôt encourageantes. »
Face aux défis technologiques constants et aux cyberattaques croissantes, des diffuseurs indépendants comme Pollen Diffusion et Belles Lettres Diffusion Distribution avaient décidé en 2021 de collaborer pour développer une solution ERP commune. Cette initiative était née de la nécessité de remplacer l'outil de gestion fourni par Octave, qui cessera son activité en 2025 pour obsolescence.
Le nouveau système était prévu à la base pour être opérationnel début 2022, qui devait intégrer des fonctionnalités essentielles de gestion des stocks et de commandes, tout en étant adapté aux spécificités du marché du livre. Là-encore, on aura sous peu des informations sur le statut de ce projet.
Cette même année 2021, plusieurs incidents technologiques majeurs avaient affecté le secteur des librairies, notamment un incendie chez OVH et une attaque de ransomware contre le logiciel Medialog, utilisé par l'opérateur Tite-Live. Cette cyberattaque avait bloqué l'accès aux données des librairies, exigeant une rançon pour leur déblocage, similaire aux attaques subies par des hôpitaux en Europe et aux États-Unis.
Cette cyberattaque avait tout particulièrement sévi en Belgique : les impacts furent moindres en France. Les librairies avaient dû passer des commandes manuellement en attendant le retour à la normale. En parallèle, environ 130 librairies néerlandaises avaient également été affectées, nécessitant des commandes manuelles.
Autre victime de ces méthodes, le groupe Média Participations, qui le 13 avril 2021 avait enduré les mêmes désagréments. « En raison d’une importante attaque informatique survenue dans le groupe Média Participations la semaine dernière, nos différents serveurs ont été verrouillés et doivent être rouverts par étape, en vérifiant que chaque fichier n’est pas endommagé par un virus », indiquaient les éditions Dupuis, vers la fin du mois d’avril.
Toujours en 2021, les éditions Slatkine en Suisse avaient aussi été victimes d'un ransomware qui avait paralysé leur système informatique, entraînant la demande d'une rançon, rapidement payée pour éviter la fuite de données. Le Syndicat national de l'édition (SNE) avait alors réagi en alertant ses membres et en recommandant des mesures de protection, soutenues par des initiatives gouvernementales via Cybermalveillance.gouv.fr et des formations proposées par l'AFDAS.
L’équipe DOD&Cie, elle aussi impactée par cette histoire, avait alerté les libraires dans un email en date du 21 août : « Cela impacte tous les distributeurs », y assurait l’entreprise. Et d’ajouter qu’à court terme, « les commandes de vendredi [16 août] ont pu être préparées, mais depuis celles-ci ne peuvent plus l’être ».
Le déblocage informatique passera par une possible solution intermédiaire en attendant qu’Octave soit de nouveau fonctionnel. Mais dans l’intervalle, les signatures d’auteurs en librairies seront un peu plus compliquées niveau logistique d’ouvrages. Concernant l’office de ce 28 août, « [n]ous ne sommes pas encore certains de pouvoir traiter l’office dans les temps, cela ce précisera ces prochains jours, même s’il est lancé, il y aurait peu de chance qu’il soit traité à 100 % dans les temps », précisait DOD&Cie.
« Enfin, l’impact à moyen terme, si l’activité reprend avant fin août sera très limité, les commandes Dilicom continuant à se cumuler, elles ne sont pas perdues (vous pouvez donc continuer à passer des commandes que ce soit par Dilicom ou par mail). » À ce titre, le système de sauvegarde de données instauré de manière hebdomadaire permet au diffuseur une certaine sérénité quant à « la reprise des données historiques ». Et de conclure : « Même si nous aurons du travail. »
DOD&Cie a envoyé un nouveau mail d'information à ses clients, ce 28 août peu avant 17h. Le diffuseur-distributeur partage plusieurs mises à jour, dont celle d'avoir « réussi à servir notre office du 28 août dans les délais prévus, et vous devriez avoir reçu vos colis ». L'entreprise assure également être en mesure de garantir la continuité de ses services pour les offices à venir. Les commandes ont été relancées avec succès ce lundi 26 août, et il espère résorber tout retard accumulé dans les prochains 3 à 4 jours.
Il est possible de continuer à travailler normalement avec ses représentants et de passer des commandes via Dilicom, « un système qui fonctionne bien et récupère efficacement les nouvelles commandes ». Et de rappeler qu'il n'est pas encore en capacité de transmettre les factures associées aux commandes récentes.
Enfin DOD&Cie est formelle : Il travaille activement sur la préparation de ces factures ainsi que sur des bordereaux de livraison « augmentés », mais il convient d'être attentifs aux erreurs de prix indicatifs qui pourraient apparaître sur les premiers BL émis. Il s'engage à envoyer les factures correctes pour régulariser ces situations dès que possible.
Dans un bulletin d'information daté du 29 août dernier, le service de logiciel de gestion Octave a annoncé que les efforts consacrés à la sécurisation de notre infrastructure sont désormais achevés : « Nous avons renforcé l'intégrité de notre système grâce à la collaboration efficace de nos équipes techniques et à l'expertise d'une entreprise spécialisée en cybersécurité », partage-t-il notamment.
Des mesures de protection supplémentaires ont par ailleurs été implémentées, d'après l'entreprise, pour garantir un environnement sécurisé et fiable.
Elle aurait également entamé le processus de redémarrage de nos services ERP pour un premier groupe de clients. « Ce processus, réalisé progressivement et de manière sécurisée, est une étape cruciale vers un retour à la normale. »
Par ailleurs, « nous avons fait appel à une entreprise spécialisée pour nous aider à reconstituer les données chiffrées », continue-t-elle. Ces travaux sont actuellement en cours.
Crédits photo : Christiaan Colen (CC BY-SA 2.0)
9 Commentaires
Helloitsme
26/08/2024 à 23:57
Bonjour,
Sachez qu'Octave ne redémarra pas, pourquoi me diriez vous ?
Pour la simple et bonne raison qu'en plus de vulnérabilités critiques lié à leurs environnements Windows Server 2008 R2 abandonné par Microsoft depuis février 2020 leurs outils étant développé sur du .NET 3.5 et du Vbscript également abandonné, leurs sauvegardes étant corrompus et les base de données de leurs clients dans la nature ( nom prénom, adresse, numéro de téléphone, adresse email, num TVA, remises…) sans compter les manquements au RGPD / NIS, ils ont une dette technique de 15 ans et cela ne se rattrape pas en 1 mois.
Également la CNIL va leur tomber dessus et leurs clients auront tord de pas le faire, car ils vont devoir rendre des comptes et je penses pas que leurs investisseur souhaite réinjecter de l'argent dans une poche percée, même si ils arrivaient à remonter le système les attaquants mettrait 30 minutes pour rerentrer leurs vulnérabilités ne sont pas patchable.
Donc résultat risque de perte d'emplois de dizaines si l'on approche pas la centaine de personnes aussi bien chez Octave que leurs clients.
PS : ERP et non EPR et pas cybernétique / attaque cyber ou cyber attaque à la limite
Hocine Bouhadjera
27/08/2024 à 11:28
Bonjour,
Merci pour votre message, acceptez-vous un petit échange sur le sujet ? Si oui, voici mon mail : hb@actualitte.com
Bien à vous,
Filipino
27/08/2024 à 10:22
Moi je trouve ça très surprenant cette attaque et le commentaire précédent en dit long, peut être mis par un gros concurrent ?? Un message subliminal aux petits éditeurs, venez chez nous les petits, venez chez nous les gros groupe vous n’aurez plus ce genre de problème…. Attention à examiner de très très près tout ça vous ne croyez pas ??
Hubert
28/08/2024 à 14:57
Je vais répondre car je suis un client impacté.
Je te confirme ce que dit cette personne. On retrouve bien cette configuration sur une des plateformes SaaS, mais pas toute. Et bien sur cette plateforme contenait 70% des clients. Mais toutes les plateformes ont quand même été cryptées.
Aujourd'hui la communication D'Octave à leurs clients est à leur image, un flou artistique après 15 jours d'arrêt sans savoir si ils seront capable de remonter quoi que ce soit ou de donner un calendrier de redémarrage.
J'invite les sociétés à trouver très vite autre chose, dans tous les cas.
1er cas : ca redémarre , mais cela ne va pas tenir très longtemps, tous les collaborateurs sont en " open to work" sur LinkedIn, les sociétés impactées parfois très grosse comme Cash Piscine ou autre vont se retourner contre Octave et demander des compensations financières.
Ce qui va finir des les achever.
2cas : Ca ne redémarre pas et pour moi c'est le cas le plus plausible.
Toine Goullimar
28/08/2024 à 17:36
encore un coup des russes ma bonne dame
Greg Stirner
29/08/2024 à 09:49
Hubert, c'est plutôt votre langage qui est "impacté"
Nous kiffons tous le "open to work" ça va de soi...
Have a nice day Dude
Hubert
29/08/2024 à 16:33
Je ne comprends pas ta réponse : "Langage impacté".
En tout cas c'est mon opinion, et mon analyse de la situation.
Quand tu vois le fleurissement des "D'open to work" sur linkedin tu comprends vite que les employés ne sont pas sereins.
lou andréol
06/09/2024 à 17:50
"Je ne comprends pas ta réponse : "Langage impacté"."
Normal c'est du code mec
Clément Derichebourg
09/09/2024 à 19:37
"Quand tu vois le fleurissement des "D'open to work" sur linkedin tu comprends vite que les employés ne sont pas sereins. "
On dirait du Baudelaire remixé par les éditions POL
ça va trop vite c'est autoroute FM ce truc
whaouuuuuuuuuuuu
cha/po brother!!