Publicité en cours de chargement...
Attaques crypto : l’année 2021 commence à fond
Dernières attaques en date et pas des moindres : le CH de Dax, qui à l’heure où ces lignes sont écrites doit faire face à un SI totalement bloqué, et la MNH. Très peu d’informations ont filtré sur ces deux attaques, tout l’écosystème RSSI en est réduit à des conjectures sans preuve et sans confirmation ou infirmation des autorités ni, bien entendu, des principaux intéressés. Contentons-nous donc d’un rappel, forcément non exhaustif, des précautions et des protections à mettre en œuvre, de façon préventive ou curative.
Chantier 1 : durcir votre AD
Il est indispensable de nettoyer les comptes à forts privilèges (www.pingcastle.com est votre meilleur ami), d’en durcir les mots de passe et de tester de temps en temps la robustesse de ces derniers (voir Mimikatz). La pire cochonnerie dans ce secteur, ce sont les comptes de service : préparez-vous à les couper au besoin. Oui, je sais, ce n’est pas évidsent.
Chantier 2 : segmenter votre LAN
Il y aura toujours des machines impossibles à protéger par des AV classiques (MFP, imprimantes départementales, etc.). Il faut les isoler sur des VLAN et filtrer les flux par un firewall interne dédié. Oui, je sais, les équipes de la DSI ont autre chose à faire, sous pression constante des métiers pour délivrer des projets applicatifs.
Chantier 3 : restreindre l’accès à certains serveurs dédiés aux équipes Système
Si un attaquant externe parvient à prendre le contrôle d’un serveur applicatif, la situation est tendue ; s’il parvient en plus à prendre le contrôle de votre console de supervision AV, de votre outil de déploiement de parc (SCCM), de votre serveur de supervision des sauvegardes, de votre AD/DNS/DHCP, de votre console de supervision VMware, et j’en passe, il n’y aura même pas de mot dans le dictionnaire pour désigner l’état dans lequel vous vous trouverez. LAN d’administration dédié, filtrage sur les IP, révision des comptes d’administration et de leurs mots de passe, c’est obligatoire. Si au premier audit interne vous avez l’impression que même Augias tenait ses écuries plus propres, sachez que c’est pour tout le monde pareil.
Chantier 4 : dispositions côté infrasystème
Cela peut paraître bête comme chou, mais le jour où un petit malin aura mis un pied dans votre LAN, il vous faudra mettre off line dare-dare les serveurs ci-dessus. Ne dites pas que vous pourrez le faire si vous ne l’avez jamais testé, saint Thomas et moi on est potes.
Chantier 5 : les sauvegardes
En dehors de la question des sauvegardes off line (du reste quasi impossible à mettre en œuvre dans une grosse infrastructure), il est indispensable de conserver des sauvegardes spécifiques des serveurs désignés dans le chantier 3 en mode Read Only sur des supports de type Worm, totalement insensibles à un cryptolocker.
Chantier 6 : durcir la DMZ.
Scannez, rescannez, intrusez-vous vous-même. Ce n’est pas seulement drôle, c’est utile. Ou l’inverse.
Sachez qu’il existe une foultitude de produits qui permettent de rendre plus difficile une attaque : baies de disques avec des modules de détection crypto embarquées, AV avec sandbox, etc. C’est pourquoi il faut bien penser en deux temps : empêcher ou retarder une attaque, puis réduire l’impact de l’attaque à laquelle vous ne pourrez de toute manière échapper.
Votre serviteur et l’Apssis ont récemment publié un cyberguide[1] dédié à ce sujet et librement téléchargeable sur le site de l’association, qui a pour vocation de servir de base de travail. Les remarques, commentaires et suggestions d’amélioration sont les bienvenus.
Avez-vous apprécié ce contenu ?
A lire également.

Domaine 2 du programme CaRE : une matinée pour se faire accompagner
29 sept. 2025 - 11:30,
Actualité
- Valentine Bellanger, DSIHDans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité
22 sept. 2025 - 22:42,
Communiqué
- ImprivataImprivata, un éditeur international de logiciels, spécialisé dans la gestion des accès et des identités numériques pour le secteur de la santé et d’autres secteurs critiques, vient d’annoncer son expansion en France afin de répondre au besoin croissant d’améliorer leur sécurité et de se conformer au...

Intelligence artificielle : construire la confiance, renforcer les compétences
22 sept. 2025 - 22:31,
Tribune
-Dans moins de trois ans, l’Intelligence Artificielle sera présente dans 90 % des établissements de santé. Déjà adoptée par un tiers d’entre eux, elle impose de dépasser le mythe technologique pour affronter la question d’un usage éclairé.
Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.
22 sept. 2025 - 22:16,
Tribune
-Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...