€EUR

fr_FR Français
fr_FR Français en_GB English (UK) ru_RU Русский ar العربية ja 日本語 ko_KR 한국어 hu_HU Magyar tr_TR Türkçe es_ES Español cs_CZ Čeština sv_SE Svenska pt_PT Português el Ελληνικά fi Suomi nl_NL Nederlands ro_RO Română it_IT Italiano pl_PL Polski uk Українська de_DE Deutsch zh_CN 简体中文 sk_SK Slovenčina
Blog

Maersk Rebuilt Its Entire IT Infrastructure to Recover From NotPetya – A Cyber Resilience Case Study

Alexandra Blake
par 
Alexandra Blake
13 minutes read
Blog
décembre 16, 2025

Maersk a reconstruit toute son infrastructure informatique pour se remettre de NotPetya : Une étude de cas sur la cyber-résilience

Build a unified recovery playbook now to survive a cyber shock. Your organization benefits from a resilient IT backbone, clear ownership, and a plan that covers people, process, and technology to recover quickly when a breach hits.

Maersk faced NotPetya in august 2017, forcing a shutdown of their global IT networks and shipping systems. From that moment, teams had to reconstitute thousands of servers, rebuild data flows, and restore operations with minimal downtime. Public estimates put the immediate losses at about $300 million, with recovery costs in the same order of magnitude as they rebuilt from scratch, a challenge that once seemed impossible.

The rebuild began with a clean slate: cloud‑first architecture, standardized technology stacks, and automation to speed restore times. They replaced fragile, bespoke tools with modular components that could be used across regions. The effort adopted a medoc framework to align security and operations, reducing time to restore critical services and laying the groundwork for a scalable, competitive IT platform that could withstand future shocks. This design helps overcome future disruptions and keeps lines of business online.

Where their technology meets operations, Maersk built a security‑minded culture and a disciplined incident response. They aligned vendors, internal teams, and partners across the supply chain, ensuring continuity for customers and shipments on the side. Their ecosystem included coordination with courier partners and with fedex to keep the flow moving even when parts of the network were offline.

Normally, a rebuild hinges on people, process, and partners. For your team, focus on mapping critical systems, validating backups, and running quarterly restore drills. Keep a clear view of where resources go, and ensure your budget aligns with risk reduction. Also involve your suppliers and logistics partners to strengthen the end‑to‑end chain, because resilience lasts where technology, people, and partners work together.

NotPetya impact and remediation milestones

Immediate action: isolate affected segments within minutes, switch to clean backups, and begin a phased rebuild with strict governance and a daily update call. This keeps operations moving on the unaffected side while you focus on containment and a firm recovery path.

  1. Minutes after detection: contain and cut off lateral movement; shut down nonessential services, disable risky remote access, revoke compromised credentials, and snapshot critical assets to prevent drop in data used by shipping operations.
  2. July 2017 wake-up for the giant firm: state cyber-security as a top priority; align cross-functional teams on focus areas; map snabes to spot attack patterns and gaps; issue the first updated incident response plan and keep leadership informed with short update calls.
  3. Assessment and plan: inventory assets used across the shipping side; classify by criticality; design a rebuilt backbone from the ground up with segmented networks and a secure-by-default baseline; prepare migration paths that minimize impact on customers.
  4. Design and rebuild: rebuilt the core IT stack with a modular, resilient design; design controls emphasize least privilege, MFA for access, a strict patch cadence, and enhanced monitoring; cyber-security becomes an industry-wide priority that also guides supplier risk management.
  5. Migration and testing: execute side-by-side migrations to avoid downtime; validate data integrity within minutes of each switch; complete end-to-end tests in the rebuilt environment within two weeks and maintain clear update calls with stakeholders.
  6. Operational hardening: deploy a security operations center, update runbooks, perform regular drills, and keep partners aligned; drop risk in critical lanes, replace or sandbox popular tools that fail to meet controls, and keep the overall footprint lean from legacy dependencies.
  7. Outcomes and learnings: the firm gains improved MTTR and better visibility; the NotPetya impact acts as a wake-up call for the industry to invest in cyber-security hygiene and resilient architecture; the rebuilt platform supports shipping operations with greater reliability and a clear state of risk management.

Timeline of NotPetya outbreak, outage duration, and emergency containment

Isolate affected networks within the first hour and switch to offline backups to recover quickly while you document a clear containment plan for all sites.

The NotPetya outbreak began in late June 2017 in ukrainian networks, traced to a compromised medoc update. From there, the infection spread around the globe, moving into additional networks through worm-like propagation and a Windows vulnerability that let it move laterally across organizations. maersk, the maersk Line operator, found its shipping and logistics operations come down as domain controllers, file shares, and ERP services collapsed. In hours, offices from asia to europe to the americas lost access to critical systems, underscoring how a single supply-chain weakness in the ukrainian medoc ecosystem could hit many business lines and create huge disruption for the industry.

Outage duration varied by site. Core IT services were down for about 10 days in many units, while shipping operations resumed gradually over the next two weeks. By early July, email and key applications began to return, and by mid-July most back-office processes had recovered to some degree. The speed depended on backups, network segmentation, and how quickly teams could switch to offline processes for bookings, manifests, and vessel handovers. The situation shows how problems upstream can affect many functions and come down on operations worldwide.

The emergency containment and rebuild followed a tight script. The chairman called for rapid, cross-border action, and teams executed steps to block lateral movement, cut external access, and rely on offline backups for critical tasks. Maersk rebuilt its IT backbone from the ground up, with a hardened, segmented line of defense and refreshed incident playbooks to reduce future risk. The outbreak highlighted the risk about third-party software like medoc and prompted snabes and industry peers to raise resilience measures, strengthen cyber hygiene, and close gaps in their operations for competitive advantage. Many have noted that after the incident, their shipping networks recovered faster, and the industry arrived at a stronger baseline for emergency containment and recoverability.

Rebuilding the IT backbone: architecture overhaul and security hardening

Start with a concrete action: replace legacy servers, install modern, scalable images, and deploy a layered security posture. Assign a chair for governance, run a controlled pilot, and ensure the plan keeps downtime to minutes rather than hours. This approach yields a clear result and keeps your focus on resilience. What your focus should be is reducing risk and ensuring continuous service across their organization.

  • Inventory all servers, compute nodes, storage, and network devices; map critical workflows; identify line of dependencies and single points of failure.
  • Document data flows between on‑prem and cloud resources; trace the line of dependencies to prevent blind spots.
  • Prioritize systems by risk: customer‑facing apps first, then internal tooling; set a target for migration days per cluster and track progress with time‑bound milestones.
  • Establish a governance chair and a weekly call to review progress and adjust scope as needed.
  • Plan with a rollback path to avoid disruption without affecting business continuity.
  • Segment networks to limit lateral movement and enforce least privilege in policy side.
  • Replace monolithic services with decoupled, containerized workloads; standardize images and configuration baselines; retire old servers.
  • Consolidate identity with SSO, MFA, and privileged access management; integrate with existing directory services.
  • Introduce centralized logging and monitoring stack; ensure data is ingested, indexed, and searchable for faster root‑cause analysis.
  • Plan reinstallation of critical services in a clean environment to remove drift; apply updated baselines and securely retire deprecated components.
  • Implement a fixed patch management cadence: monthly scans, emergency patches within 24–48 hours for critical flaws; verify success via automated checks.
  • Apply configuration baselines (CIS STIG or vendor equivalents); disable unused features; enforce auditing.
  • Deploy EDR on endpoints, IDS/IPS at network edges, and microsegmented firewall rules to minimize exposure.
  • Centralize logs, establish a SIEM, and set alert thresholds to reduce false positives; run regular validation of alerts with runbooks.
  • Strengthen backups: encrypted, offsite copies and tested restoration; perform quarterly DR drills and validate RPOs.
  1. Days 0–14: discovery, inventory, risk register, target architecture, and finalize migration plan; set up a weekly governance call with their stakeholders.
  2. Days 15–30: reinstallation of core servers and OS images; baseline configs; begin network segmentation and identity enforcement; confirm backups are valid.
  3. Days 31–60: migrate workloads to new images; deploy MFA, PAM, and zero‑trust policies; update CI/CD pipelines; conduct pilot cutovers with minimal downtime.
  4. Days 61–90: validate hardening, conduct DR drills, tabletop exercises; finalize runbooks and hand over to operations; measure MTTR and uptime improvements.

Metrics and outcomes: Time to detect and respond target under 15 minutes for critical events; MTTR for core services under two hours; uptime above 99.9% during the initial 90 days of the new backbone. Backups restored within one hour during drills; quarterly DR validation confirms readiness. Incidents caused by configuration drift and missteps drop significantly, and the wake-up call proves that many companys can overcome legacy gaps with disciplined automation. Their time to reinstall servers improves markedly, and experience shows that the added automation, tested runbooks, and clear ownership lines drive reliable service even under stress.

This wake-up makes their companys realize that without automation and clear ownership, manual maintenance becomes a bottleneck. Added governance and practiced drills deliver what their teams need: a robust, repeatable process to move from problem to solution in days, not just time. Your focus stays on what matters–service quality, rapid recovery, and continuous improvement–while the architecture supports it with speed and reliability.

Data protection: backups, restoration tests, and data integrity checks

Implement immutable backups and run restoration tests monthly to validate rapid recovery after incidents like NotPetya. For maersk, this approach cut damages and reduced downtime. Store copies offline and in a separate network segment to limit exposure during a cyberattack.

Detailed backup procedures protect data across many systems. Use versioned snapshots, offline vaults, and automated integrity checks. A manual restoration drill should confirm that reinstallation steps on a clean environment recover all services.

Data integrity checks verify recovered data against the original, using checksums, bit-by-bit comparisons, and end-to-end validation. If found mismatches occur, teams fix gaps in data replication or ransomware shielding before customers are affected.

Rehearse full restores across the shipping network: databases, file stores, and shipping documents like courier manifests. This practice keeps service continuity even when disruptions hit remote sites.

Set a cadence for automated backups plus weekly manual verifications. The wake-up call from NotPetya remains a reminder that technology choices, processes, and governance must align to protect critical data.

Maersk a constaté que les sauvegardes seules ne garantissent pas la résilience ; l'agilité de la restauration est importante. Effectuez des tests de scénario Wannacry pour confirmer que les couches réseau, les terminaux et le cloud se reconnectent sans perte de données.

Le président affirme que l'avenir de la protection des données repose sur des tests proactifs et une responsabilisation claire. Entrez dans un cycle où les équipes valident les sauvegardes, les restaurations et les contrôles d'intégrité avant tout événement en direct.

Au fil du temps, les efforts des équipes IT, d'expédition et de service ont permis de construire une pile de protection plus interconnectée. De nombreuses protections fonctionnent désormais ensemble pour prévenir les dommages et accélérer la réinstallation en cas de besoin.

Réseau et identité : segmentation, contrôles IAM et accès privilégiés

Réseau et identité : segmentation, contrôles IAM et accès privilégiés

Mettez en œuvre immédiatement une segmentation réseau stricte afin de contenir les violations sans confinement manuel. Séparez les serveurs, les applications et les magasins de données en zones distinctes et appliquez des politiques à chaque limite de charge de travail. Ajoutez une microsegmentation, appliquez des règles basées sur l'identité et surveillez le trafic Est-Ouest via des pare-feu et des contrôles basés sur l'hôte. Pour møller-maersk, le réseau informatique reconstruit a regroupé les services essentiels, les applications métier et les interfaces externes en trois zones, et a testé la segmentation automatiquement, validant l'isolement en quelques minutes.

Les contrôles IAM donnent la priorité au moindre privilège et à un accès rapide et contrôlé. Déployez RBAC et l'accès privilégié juste-à-temps (JIT), exigez l'authentification MFA sur toutes les sessions d'administration, désactivez les comptes partagés et protégez les informations d'identification avec une rotation automatisée. Appliquez une politique uniforme aux charges de travail sur site et dans le cloud, afin que chaque action privilégiée soit auditable. Ces mesures réduisent la surface d'attaque et prennent en charge les cycles de mise à jour dans l'ensemble de l'environnement. Suite aux leçons tirées de NotPetya, l'identité et les modifications du réseau ont été renforcées.

La gestion des accès privilégiés renforce le contrôle sur les administrateurs et les comptes de service. Utilisez une solution PAM pour stocker les informations d'identification dans un coffre-fort, faire pivoter les clés, appliquer le moindre privilège sur les serveurs et les applications, et exiger des serveurs de rebond avec enregistrement de session. Marquez les privilèges dynamiques avec des instantanés pour mapper l'accès à une opération spécifique, et assurez-vous que le président fait appliquer des examens trimestriels et le respect des politiques dans toutes les équipes.

La surveillance et la gouvernance assurent la cohérence de toute l'approche. Centralisez les journaux, mettez en place des alertes en temps réel pour les tentatives anormales et effectuez des audits d'accès périodiques. Établissez des SLA pour la révocation de l'accès après les changements de personnel et maintenez une piste immuable qui s'aligne sur les étapes de reconstruction et les exigences réglementaires.

Zone Recommendation Timing Propriétaire
Segmentation du réseau Isolez les serveurs, les applications et les données dans des zones distinctes ; déployez des politiques au niveau de la charge de travail et des tests automatisés ; surveillez les mauvaises configurations Minutes de déploiement ; en cours Responsable du réseautage
Contrôles IAM RBAC + JIT ; MFA obligatoire ; pas de comptes partagés ; informations d'identification stockées dans un coffre-fort avec rotation ; politique inter-cloud Semaines avant le déploiement complet ; continu Équipe IAM
Accès privilégié PAM avec coffre-fort d'identifiants, enregistrement de session, serveurs de rebond, moindre privilège Immédiat pour les chemins critiques ; progressif pour les autres. Ingénierie de la sécurité
Surveillance et audit SIEM centralisé, détection d'anomalies, revues périodiques, décisions traçables Continuous CSIRT / SOC

Récit de leadership : Perspectives du PDG, communication avec les parties prenantes et trajectoire de reprise de l'entreprise

Recommandation : Mettre en place une ligne de crise pour la direction qui diffuse des mises à jour toutes les quelques minutes, avec un responsable unique pour les décisions et une page d'état de service visible par le public afin de réduire l'incertitude pour les clients et les partenaires.

Le PDG a redéfini l'incident NotPetya comme un test de résilience de l'entreprise face à une activité malveillante, et non comme un simple problème informatique. En parlant clairement des risques, le PDG a unifié le leadership, raccourci le cycle de décision et maintenu l'équipe concentrée sur la protection des clients et des services essentiels. Cette approche a également reconnu les menaces de type Wannacry que nous avions étudiées, guidant ainsi notre préparation et notre état d'esprit en matière de réponse.

La communication avec les parties prenantes est devenue une pratique rigoureuse : nous avons diffusé des mises à jour concises et factuelles au conseil d'administration, à l'équipe de direction et aux principaux partenaires. En indiquant où nous en étions, nous avons expliqué le délai de rétablissement du service, les mesures de contrôle des dommages et l'impact prévu sur les gammes de produits. Imaginez un scénario où de telles mises à jour n'existeraient pas : la ligne de communication deviendrait floue et la confiance s'éroderait. La clarté de la communication a réduit les spéculations et renforcé la confiance de chaque partie prenante.

Trajectoire de reprise : nous avons reconstruit l’infrastructure centrale, y compris le centre de données géant, avec des serveurs mis à jour, une nouvelle segmentation du réseau et des sauvegardes renforcées. Les travaux se sont déroulés 24 heures sur 24, réduisant les temps d’arrêt de plusieurs jours à quelques heures, puis à quelques minutes dans les fenêtres critiques. Nous avons constaté que les flux de travail parallèles accéléraient le retour, et nous avons ajouté des lignes redondantes et une approche de service tolérante aux pannes, permettant la reprise des versions de produits et la mise en ligne des services destinés aux clients dans une séquence contrôlée. Cette colonne vertébrale reconstruite positionne l’entreprise pour l’avenir et limite les dommages causés par des épidémies similaires.

Leçons et actions : nous avons mis en œuvre un guide d'intervention en cas d'incident modulaire et testé ; établi un programme solide de gestion des risques fournisseurs afin d'éviter les chocs liés à la chaîne d'approvisionnement, en reconnaissant la façon dont les incidents peuvent se répercuter sur les partenaires comme FedEx ; formé les équipes à la gestion des cybermenaces dans le cyberespace ; et veillé à ce que chaque dirigeant comprenne le lien entre la résilience informatique et la valeur commerciale. Nous avons ajouté des capacités de surveillance, de détection et des lignes de décision plus rapides pour éviter qu'une crise future ne se transforme en une interruption prolongée. L'accent est resté mis sur les clients, les produits et la gamme de services, ce qui a permis de réaliser des progrès manifestes et une amélioration continue, avec de nombreuses mesures concrètes documentées pour une préparation future.