Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Attaques crypto : l’année 2021 commence à fond

15 fév. 2021 - 18:23,
Tribune - Cédric Cartau
La nature humaine étant ce qu’elle est, il se trouve toujours des personnages sans morale pour aller tirer sur leur prochain ou sur l’ambulance, en particulier pendant ou malgré – c’est selon – une situation tendue, voire de crise. C’est ce que le monde de la santé vit, depuis 2020, avec une multiplication des piratages, des tentatives d’intrusion et même, dans les cas plus graves, les blocages de tout ou partie du SI avec la pire cochonnerie que l’informatique ait produite en 40 ans : les cryptolockers.

Dernières attaques en date et pas des moindres : le CH de Dax, qui à l’heure où ces lignes sont écrites doit faire face à un SI totalement bloqué, et la MNH. Très peu d’informations ont filtré sur ces deux attaques, tout l’écosystème RSSI en est réduit à des conjectures sans preuve et sans confirmation ou infirmation des autorités ni, bien entendu, des principaux intéressés. Contentons-nous donc d’un rappel, forcément non exhaustif, des précautions et des protections à mettre en œuvre, de façon préventive ou curative.

Chantier 1 : durcir votre AD
Il est indispensable de nettoyer les comptes à forts privilèges (www.pingcastle.com est votre meilleur ami), d’en durcir les mots de passe et de tester de temps en temps la robustesse de ces derniers (voir Mimikatz). La pire cochonnerie dans ce secteur, ce sont les comptes de service : préparez-vous à les couper au besoin. Oui, je sais, ce n’est pas évidsent.

Chantier 2 : segmenter votre LAN
Il y aura toujours des machines impossibles à protéger par des AV classiques (MFP, imprimantes départementales, etc.). Il faut les isoler sur des VLAN et filtrer les flux par un firewall interne dédié. Oui, je sais, les équipes de la DSI ont autre chose à faire, sous pression constante des métiers pour délivrer des projets applicatifs.

Chantier 3 : restreindre l’accès à certains serveurs dédiés aux équipes Système
Si un attaquant externe parvient à prendre le contrôle d’un serveur applicatif, la situation est tendue ; s’il parvient en plus à prendre le contrôle de votre console de supervision AV, de votre outil de déploiement de parc (SCCM), de votre serveur de supervision des sauvegardes, de votre AD/DNS/DHCP, de votre console de supervision VMware, et j’en passe, il n’y aura même pas de mot dans le dictionnaire pour désigner l’état dans lequel vous vous trouverez. LAN d’administration dédié, filtrage sur les IP, révision des comptes d’administration et de leurs mots de passe, c’est obligatoire. Si au premier audit interne vous avez l’impression que même Augias tenait ses écuries plus propres, sachez que c’est pour tout le monde pareil.

Chantier 4 : dispositions côté infrasystème
Cela peut paraître bête comme chou, mais le jour où un petit malin aura mis un pied dans votre LAN, il vous faudra mettre off line dare-dare les serveurs ci-dessus. Ne dites pas que vous pourrez le faire si vous ne l’avez jamais testé, saint Thomas et moi on est potes.

Chantier 5 : les sauvegardes
En dehors de la question des sauvegardes off line (du reste quasi impossible à mettre en œuvre dans une grosse infrastructure), il est indispensable de conserver des sauvegardes spécifiques des serveurs désignés dans le chantier 3 en mode Read Only sur des supports de type Worm, totalement insensibles à un cryptolocker.

Chantier 6 : durcir la DMZ.
Scannez, rescannez, intrusez-vous vous-même. Ce n’est pas seulement drôle, c’est utile. Ou l’inverse.

Sachez qu’il existe une foultitude de produits qui permettent de rendre plus difficile une attaque : baies de disques avec des modules de détection crypto embarquées, AV avec sandbox, etc. C’est pourquoi il faut bien penser en deux temps : empêcher ou retarder une attaque, puis réduire l’impact de l’attaque à laquelle vous ne pourrez de toute manière échapper.

Votre serviteur et l’Apssis ont récemment publié un cyberguide[1] dédié à ce sujet et librement téléchargeable sur le site de l’association, qui a pour vocation de servir de base de travail. Les remarques, commentaires et suggestions d’amélioration sont les bienvenus.


[1]   https://www.apssis.com/nos-actions/publication.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Domaine 2 du programme CaRE : une matinée pour se faire accompagner

Domaine 2 du programme CaRE : une matinée pour se faire accompagner

29 sept. 2025 - 11:30,

Actualité

- Valentine Bellanger, DSIH

Dans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Illustration Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

22 sept. 2025 - 22:42,

Communiqué

- Imprivata

Imprivata, un éditeur international de logiciels, spécialisé dans la gestion des accès et des identités numériques pour le secteur de la santé et d’autres secteurs critiques, vient d’annoncer son expansion en France afin de répondre au besoin croissant d’améliorer leur sécurité et de se conformer au...

Illustration Intelligence artificielle : construire la confiance, renforcer les compétences

Intelligence artificielle : construire la confiance, renforcer les compétences

22 sept. 2025 - 22:31,

Tribune

-
Nausica MAIORCA

Dans moins de trois ans, l’Intelligence Artificielle sera présente dans 90 % des établissements de santé. Déjà adoptée par un tiers d’entre eux, elle impose de dépasser le mythe technologique pour affronter la question d’un usage éclairé.

Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.

22 sept. 2025 - 22:16,

Tribune

-
Cédric Cartau

Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.