En mai de l'année dernière, le groupe de hackers « Play » a attaqué Xplain par rançongiciel, volant des données et les publiant sur le Darknet en juin 2023. La manière dont s'est déroulée l'attaque contre Xplain n'est toujours pas claire. Des hackers tels que le groupe « Play » ne laissent généralement aucune trace et exploitent des vulnérabilités inconnues, rendant difficile pour les enquêteurs de déterminer la méthode exacte de l'attaque.

Après l'incident, Xplain a porté plainte, fourni toutes les informations nécessaires aux autorités et coopéré avec elles pour clarifier l'incident et limiter les dégâts. L'entreprise a reconstruit toute son infrastructure informatique selon les recommandations du Centre national pour la cybersécurité (NCSC) et a remplacé les fournisseurs de services tiers. Un audit externe de l'infrastructure et des processus a été conclu en novembre. Le NCSC a ensuite rédigé une évaluation de l'audit. L'état-major de crise politico-stratégique « Fuite de données » (EMPS-F) du Conseil fédéral a pris connaissance du rapport.

Avec la conclusion réussie de l'examen du code source par des experts internes et externes de différents clients, les installations des versions ont pu reprendre dès la fin de l'année dernière. Cela concerne également les clients en dehors de l'administration fédérale, qui avaient rendu l'installation des versions dépendante de l'audit et qui ont pu consulter un résumé du rapport.

Situation financière stable

Xplain clôt l'exercice 2023 avec un bilan équilibré malgré l'incident de cybercriminalité. Cela est dû, entre autres, au modèle d'affaires diversifié et à long terme de l'entreprise, ainsi qu'aux prestations de l'assurance dommages. L'entreprise dispose d'une liquidité sécurisée et regarde l'avenir avec confiance. Depuis mai dernier, aucun employé n'a quitté l'entreprise. 

La majorité des clients ont continué les travaux de projet, mais ont dû attendre l'autorisation d'installer les versions. Les paiements correspondants retardés ont entraîné temporairement une situation de liquidité tendue, que les actionnaires ont pu surmonter avec le soutien des banques. Xplain a fourni aux clients et aux autorités compétentes un rapport financier standardisé pour qu'ils puissent se faire une idée. Sur la base de ces vérifications, les travaux ont finalement repris.

Mise à jour: 8 février 2024

Le 7 mars 2024, l'Office fédéral de la cybersécurité (OFCS) a publié un rapport sur l'analyse des données publiées sur le Darknet par les pirates. Il confirme l'hypothèse selon laquelle le groupe de pirates n'a pas exfiltré systématiquement des données et n'en a pas retenu. Un élément nouveau est le fait que l'on a tenté d'effacer un lien russe par une non-publication sélective de certains fichiers. Parallèlement aux investigations des autorités, Xplain avait lui-même analysé les données et intégré ses conclusions de manière coordonnée dans les enquêtes de la Confédération.

Mise à jour: 7 mars 2024