Le jeudi 26 mai 2016, CROCQUEVIEILLE Bruno <Bruno.Crocquevieille@socgen.com> a écrit :

Bonjour,

Comme vous le voyez dans ma signature je bosse pour une banque et inutile de dire que nous prenons ce problème au sérieux… sans avoir de solution miracle pour le moment.

Nous avons plusieurs POCS en cours et nous allons donc bientôt nous décider pour une ou plusieurs solutions.

Comme nous ne pouvons pas bloquer les macros et que les antivirus laissent passer tous les virus de ce genre la solution est compliquée sans passer par un outil dédié.

Nous avons tout de même la chance que notre navigation internet passe par un proxy avec authentification et cela empêche certains virus de télécharger leur payload.

Solutions que nous avons mis réellement en place actuellement :

-          désactivation par défaut des macros (mais activables par l’utilisateur)

-          blocage de tous les sites catégorisés comme suspects et non catégorisés par les firewalls

-          formations obligatoire des utilisateurs

-          scripts de détection sur les serveurs de fichiers de comportement anormaux et signes de cryptovirus (modification de plusieurs dizaines de fichiers, détection des fichiers « type » des cryptovirus comme les fichiers « locky » ou « mp3 »

-          et bien entendu des sauvegardes quotidiennes et pas d’utilisation de Shadow Copy puisque les cryptovirus savent les supprimer…

Et comme je l’ai dit un choix de logiciel anti APT en cours.

De ceux que j’ai vu en POC Fortinet et son appliance et la solution TrendMicro (présentée par la branche sécurité de Orange) m’ont bien convaincu.

Ils proposent les même fonctionnalités avec notamment le sandboxing avec accélération temporelle pour « détoner » les charges virales et le blocage systématique des pièces jointes similaires à une précédente détection. Ils agissent par le blocage des pièces jointes détectées infectées et grâce à l’analyse de la « détonation » en bloquant les adresses des serveurs de command and control et les sites de téléchargement de la payload.

Ces outils ne sont pas donnés par contre… donc pour une grosse société c’est plus simple.

Cordialement,

Bruno Crocquevieille
Correspondant Sécurité des SI

RESG/GTS/RET/FSO/FRF

Immeuble Boréa
Val de Fontenay

Tél.

+33 (0)1 58 98 94 98

Mob.

+33 (0)7 84 44 09 22

E-mail

Bruno.Crocquevieille@socgen.com

http://www.societegenerale.com

De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de CORTES Bruno
Envoyé : jeudi 26 mai 2016 15:07
À : French SysAdmin Group
Objet : [FRsAG] [Tech] Malware /Cryptolocker

Plop la liste,

                C’est le 1^er thread que j’ouvre, j’espère ne pas trop faire dans le nimp…

Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail.

Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…

Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.

Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.

Bruno C. Gestionnaire de parc

ü

Pour la planète : échangez par courriel et n’imprimez que si nécessaire.

=========================================================

Ce message et toutes les pieces jointes (ci-apres le "message")
sont confidentiels et susceptibles de contenir des informations
couvertes par le secret professionnel. Ce message est etabli
a l'intention exclusive de ses destinataires. Toute utilisation
ou diffusion non autorisee interdite.
Tout message electronique est susceptible d'alteration. La SOCIETE GENERALE
et ses filiales declinent toute responsabilite au titre de ce message
s'il a ete altere, deforme falsifie.

=========================================================

This message and any attachments (the "message") are confidential,
intended solely for the addresses, and may contain legally privileged
information. Any unauthorized use or dissemination is prohibited.
E-mails are susceptible to alteration. Neither SOCIETE GENERALE nor any
of its subsidiaries or affiliates shall be liable for the message
if altered, changed or falsified.

=========================================================