Publicité en cours de chargement...
Attaques crypto : l’année 2021 commence à fond
Dernières attaques en date et pas des moindres : le CH de Dax, qui à l’heure où ces lignes sont écrites doit faire face à un SI totalement bloqué, et la MNH. Très peu d’informations ont filtré sur ces deux attaques, tout l’écosystème RSSI en est réduit à des conjectures sans preuve et sans confirmation ou infirmation des autorités ni, bien entendu, des principaux intéressés. Contentons-nous donc d’un rappel, forcément non exhaustif, des précautions et des protections à mettre en œuvre, de façon préventive ou curative.
Chantier 1 : durcir votre AD
Il est indispensable de nettoyer les comptes à forts privilèges (www.pingcastle.com est votre meilleur ami), d’en durcir les mots de passe et de tester de temps en temps la robustesse de ces derniers (voir Mimikatz). La pire cochonnerie dans ce secteur, ce sont les comptes de service : préparez-vous à les couper au besoin. Oui, je sais, ce n’est pas évidsent.
Chantier 2 : segmenter votre LAN
Il y aura toujours des machines impossibles à protéger par des AV classiques (MFP, imprimantes départementales, etc.). Il faut les isoler sur des VLAN et filtrer les flux par un firewall interne dédié. Oui, je sais, les équipes de la DSI ont autre chose à faire, sous pression constante des métiers pour délivrer des projets applicatifs.
Chantier 3 : restreindre l’accès à certains serveurs dédiés aux équipes Système
Si un attaquant externe parvient à prendre le contrôle d’un serveur applicatif, la situation est tendue ; s’il parvient en plus à prendre le contrôle de votre console de supervision AV, de votre outil de déploiement de parc (SCCM), de votre serveur de supervision des sauvegardes, de votre AD/DNS/DHCP, de votre console de supervision VMware, et j’en passe, il n’y aura même pas de mot dans le dictionnaire pour désigner l’état dans lequel vous vous trouverez. LAN d’administration dédié, filtrage sur les IP, révision des comptes d’administration et de leurs mots de passe, c’est obligatoire. Si au premier audit interne vous avez l’impression que même Augias tenait ses écuries plus propres, sachez que c’est pour tout le monde pareil.
Chantier 4 : dispositions côté infrasystème
Cela peut paraître bête comme chou, mais le jour où un petit malin aura mis un pied dans votre LAN, il vous faudra mettre off line dare-dare les serveurs ci-dessus. Ne dites pas que vous pourrez le faire si vous ne l’avez jamais testé, saint Thomas et moi on est potes.
Chantier 5 : les sauvegardes
En dehors de la question des sauvegardes off line (du reste quasi impossible à mettre en œuvre dans une grosse infrastructure), il est indispensable de conserver des sauvegardes spécifiques des serveurs désignés dans le chantier 3 en mode Read Only sur des supports de type Worm, totalement insensibles à un cryptolocker.
Chantier 6 : durcir la DMZ.
Scannez, rescannez, intrusez-vous vous-même. Ce n’est pas seulement drôle, c’est utile. Ou l’inverse.
Sachez qu’il existe une foultitude de produits qui permettent de rendre plus difficile une attaque : baies de disques avec des modules de détection crypto embarquées, AV avec sandbox, etc. C’est pourquoi il faut bien penser en deux temps : empêcher ou retarder une attaque, puis réduire l’impact de l’attaque à laquelle vous ne pourrez de toute manière échapper.
Votre serviteur et l’Apssis ont récemment publié un cyberguide[1] dédié à ce sujet et librement téléchargeable sur le site de l’association, qui a pour vocation de servir de base de travail. Les remarques, commentaires et suggestions d’amélioration sont les bienvenus.
Avez-vous apprécié ce contenu ?
A lire également.

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025
23 juin 2025 - 21:23,
Actualité
- DSIH, Mehdi LebranchuLe 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...

HLTH 2025, un Salon sous le signe de l’innovation distribuée
23 juin 2025 - 21:18,
Actualité
- DSIH, Mehdi LebranchuHLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...