Je pense que la sécurité n'est pas un produit mais un état d'esprit.
Alors oui, les produits anti-virus, anti-malware, ça aide.... mais ça ne peux pas suffire.
D'ailleur, ça n'a jamais suffit et je ne vois pas pourquoi ça changerait.

Je pense que sans préventif (à savoir la formation des utilisateur) il en passera toujours.

Mon expérience est que

Pour ce qui concerne le poste de travail, je considère que c'est du jetable.
L'usager qui n'a pas sauvegadé son taf sur le serveur (ou un autre média), c'est son problème.
C'est du même niveau que d'avoir la seule copie de sa thèse sur une clé usb.

Coté serveur, si les sauvagardes sont bien faites et les droits d'accès pas trop délirants, ça doit aller.
J'entends par là que ça fera chier mais qu'on ne dois pas avoir de gros dégats.
A noter quand même qu'il faut être en mesure de remonter rapidement des parties de la sauvegarde.
Les filesystem à versionning sont assez utiles de ce point de vue.

Maintenant des pistes de reflexion. (j'ai pas de produit ou script qui fait ça)
Quelque chose qui serait de nature à détecter les problème et à limiter les dégats et serait de blacklister un usager ou un poste qui modifie trop de choses sur le serveur en trop peu de temps. Tu as lu et réécrit plus de X fichiers en moins de Y minutes ? => tu es bloqué et l'admin averti avec la liste des fichiers altérés.
On peut aussi faire plus fin. t'as lu un fichier dont le types est connu (jpg, docx, pdf) et réécrit dans le même fichier un truc dont le type n'est plus identifiable. => +1 dans le compteur activité suspecte.

On 26/05/2016 15:28, Romain wrote:

Vu que ça véhicule principalement par email, je met une gateway mail en entrée avec un produit reconnu et les paramètres poussés au max.
Avec possibilité, en fonction du choix pour chaque adresse, d'autoriser ou non les fichiers zip/autre.

Si tu veux tester, je suis dispo.

Le 26 mai 2016 à 15:06, CORTES Bruno <bcortes@montbeliard.com> a écrit :

Plop la liste,

C’est le 1^er thread que j’ouvre, j’espère ne pas trop faire dans le nimp…

Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail.

Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…

Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.

Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.

Bruno C. Gestionnaire de parc

ü

Pour la planète : échangez par courriel et n’imprimez que si nécessaire.

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/