Il y a aussi, mais toujours pour des entreprises car ce n’est pas donné, des outils comme Varonis qui permettent d’analyser tout ce qui se passe sur un serveur de fichier et qui corrèlent les infos.

Comme tu l’as dit on peut fixer des seuils et lancer des scripts en powershell par ex.

Mais il sait aussi trouver les traces par le type de fichier écris, renommé ou supprimé en plus des seuils.

Ce n’est pas sa seule utilité car Varonis répond à de multiples besoins…

Et je te rejoins évidemment sur la formation des utilisateurs même si la précédente campagne dont nous avons été victimes était tellement bien faite (mail en français correct, pièce jointe avec le nom de la victime, informations plausibles, etc…) que sans la vigilance d’un ou deux utilisateurs (qui ont malheureusement tout de même ouvert la pièce jointe) et une politique de sauvegarde performante nous aurions pû être confronté à une crise majeure.

Pour les postes de travail… seul un outil qui détecte le virus par quelque moyen que ce soit et qui « prévient » tous les autres postes et par exemple le point d’entrée SMTP de bloquer ce type de mail peut effectivement réduire l’infection.

Et, oui, tout document important doit être sur un serveur… sinon tant pis pour l’utilisateur.

Nous avons aussi un script qui détecte certains cryptovirus… Je vais voir si je peux le diffuser…

Cordialement,

Bruno Crocquevieille
Correspondant Sécurité des SI

RESG/GTS/RET/FSO/FRF

Immeuble Boréa
Val de Fontenay

Tél.	+33 (0)1 58 98 94 98
Mob.	+33 (0)7 84 44 09 22
E-mail	Bruno.Crocquevieille@socgen.com
http://www.societegenerale.com

De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Pierre Colombier
Envoyé : jeudi 26 mai 2016 16:36
À : frsag@frsag.org
Objet : Re: [FRsAG] [Tech] Malware /Cryptolocker

Je pense que la sécurité n'est pas un produit mais un état d'esprit.
Alors oui, les produits anti-virus, anti-malware, ça aide.... mais ça ne peux pas suffire.
D'ailleur, ça n'a jamais suffit et je ne vois pas pourquoi ça changerait.

Je pense que sans préventif (à savoir la formation des utilisateur) il en passera toujours.

Mon expérience est que

Pour ce qui concerne le poste de travail, je considère que c'est du jetable.
L'usager qui n'a pas sauvegadé son taf sur le serveur (ou un autre média), c'est son problème.
C'est du même niveau que d'avoir la seule copie de sa thèse sur une clé usb.

Coté serveur, si les sauvagardes sont bien faites et les droits d'accès pas trop délirants, ça doit aller.
J'entends par là que ça fera chier mais qu'on ne dois pas avoir de gros dégats.
A noter quand même qu'il faut être en mesure de remonter rapidement des parties de la sauvegarde.
Les filesystem à versionning sont assez utiles de ce point de vue.

Maintenant des pistes de reflexion. (j'ai pas de produit ou script qui fait ça)
Quelque chose qui serait de nature à détecter les problème et à limiter les dégats et serait de blacklister un usager ou un poste qui modifie trop de choses sur le serveur en trop peu de temps. Tu as lu et réécrit plus de X fichiers en moins de Y minutes ? => tu es bloqué et l'admin averti avec la liste des fichiers altérés.
On peut aussi faire plus fin. t'as lu un fichier dont le types est connu (jpg, docx, pdf) et réécrit dans le même fichier un truc dont le type n'est plus identifiable. => +1 dans le compteur activité suspecte.

On 26/05/2016 15:28, Romain wrote:

Vu que ça véhicule principalement par email, je met une gateway mail en entrée avec un produit reconnu et les paramètres poussés au max.

Avec possibilité, en fonction du choix pour chaque adresse, d'autoriser ou non les fichiers zip/autre.

Si tu veux tester, je suis dispo.

Le 26 mai 2016 à 15:06, CORTES Bruno <bcortes@montbeliard.com> a écrit :

Plop la liste,

C’est le 1^er thread que j’ouvre, j’espère ne pas trop faire dans le nimp…

Je (nous, j’imagine également) suis particulièrement concerné par les malwares/virus chiffreurs qui sévissent sur les postes de travail.

Nous avons « plusieurs » dispositifs pour contrer ce problème, mais bien que les dégâts soient restés circonscrits à un seul poste à chaque fois (et une petite partie d’un serveur de fichier, d’accord…) , j’aimerais bien partager les différentes solutions/techniques/restrictions des users/WTF que vous avez mis en œuvre et pour quel résultat…

Je ne suis pas intéressé par tout le discours marketing trouvable sur toute les pages d’accueil des différents acteurs sécurité du marché, mais les expériences tant positives que négatives en terme de déploiement de solution / mitigation des menaces.

Merci d’avance pour m’avoir lu, déjà, et pour vos éventuelles réponses/remarques.

Bruno C. Gestionnaire de parc

ü

Pour la planète : échangez par courriel et n’imprimez que si nécessaire.

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

Ce message et toutes les pieces jointes (ci-apres le "message")
sont confidentiels et susceptibles de contenir des informations
couvertes par le secret professionnel. Ce message est etabli
a l'intention exclusive de ses destinataires. Toute utilisation
ou diffusion non autorisee interdite.
Tout message electronique est susceptible d'alteration. La SOCIETE GENERALE
et ses filiales declinent toute responsabilite au titre de ce message
s'il a ete altere, deforme falsifie.

This message and any attachments (the "message") are confidential,
intended solely for the addresses, and may contain legally privileged
information. Any unauthorized use or dissemination is prohibited.
E-mails are susceptible to alteration. Neither SOCIETE GENERALE nor any
of its subsidiaries or affiliates shall be liable for the message
if altered, changed or falsified.