Etudes de cas

Attaque cryptolocker, ça n’arrive pas qu’aux autres. Retour d’expérience sur une crise bien gérée !

Mercredi 7 décembre 2016, un de nos clients a été victime d’une attaque de type cryptolocker. Cette deuxième attaque en moins d’un an a touché 5 fois moins de fichier. Retour d'expérience sur la méthode qui a permis de réduire la surface de l'attaque et de gagner en réactivité.

Mercredi 7 décembre 2016, un de nos clients a été victime d’une attaque de type cryptolocker. Il s’agissait de sa deuxième attaque en moins d’un an.

La première attaque au printemps avait touché plusieurs dizaines de milliers de fichiers.
Cette seconde attaque n’en a touché « que » cinq fois moins.

Suite à la première crise, un ajustement de la méthode de traitement avait été formalisé et communiqué à toutes les parties prenantes impliquant :

Côté Tibco

  • le service desk,
  • les techniciens de proximité,
  • les superviseurs,
  • les administrateurs serveurs,
  • les responsables opérationnels et production,
  • le RSC et le responsable commercial du compte

Côté Client

  • le responsable Service IT site
  • le responsable Service IT
  • le responsable Contrat Infogérance
  • le RSSI

Une communication très large à l’ensemble des acteurs susceptibles d’intervenir.

Cette seconde crise a été très bien traitée.
Lors de la première crise nous avions mis 24h à restaurer le service, lors de cette seconde crise il n’aura fallu que 12h pour les raisons suivantes

  • Le Service Desk a été très réactif pour isoler le(s) patient(s) zéro.
  • Les équipes supervision et support serveur ont appliqué les consignes pour limiter la propagation (isolement du(des) serveur(s) impacté(s)).
  • Les Responsables Opérationnels côté Tibco ont mis en place comme prévu le comité de gestion de crise sachant que le ROC Tibco Supervision était en déplacement ce même jour, que le Responsable Service IT également ce qui pouvait complexifier les prises de décision.

Ce qui ressort de ce deuxième cas :

  • Les solutions technologiques de sécurité ont leur limites et il faut pouvoir s’appuyer sur des modes opératoires permettant un rétablissement rapide du service.
  • Cet objectif peut être atteint si le plan de sauvegarde est opérationnel et fiable.

Au-delà de la résolution, nous avons avons également réfléchi à une méthode pour surveiller ce type d’attaque, à ce jour difficilement détectable, pour être encore plus réactif.
Nous avons mise en place un POC (Proof of Concept) sur un site pour surveiller le volume de données modifiées par utilisateur via :

  • L’activation de l’audit d’accès aux données intégrés au serveur de fichier Windows
  • La collecte des événements associés à l’audit d’accès dans les journaux Windows pour calculer une métrique du nombre de fichiers modifiés par tranche de 5mn et  remonter cette information sous forme de capteur dans l’outil de supervision (ex : alarme si un utilisateur modifie plus de 10 fichiers différents sur 5mn).

rgautier

La sécurité est notre affaire à tous, la lutte contre les cryptolockers c’est : 1/3  de solutions technologiques, 1/3 d’organisation et 1/3 d’éducation !

A l’heure où les cryptolockers s’achètent presque comme des cadeaux de Noël, parlons-en et partageons nos retours d’expérience !

Un article rédigé par Roland Gautier, Chef de Projet IT

Cette mission vous intéresse ?

Prenez contact avec nos experts en infrastructure numériques et télécoms.

Contacter Tibco