+33 5 56 75 57 78 contact@circe-informatique.com

L’entreprise

Une entreprise globale hyperconnectée et très intégrée favorisant le mode collaboratif.
Une organisation jeune et qui a connu une croissance rapide.
Des opérationnels concentrés pour solidifier l’activité et l’organisation, très dépendants des outils digitaux…

L’attaque

Le Lundi 11 Novembre 2019, appel d’une utilisatrice qui nous signale qu’elle ne parvient pas à ouvrir certains PDF depuis un lecteur réseau. Prise en main sur son poste : on constate alors que les dits PDF ont changés de format et ont été cryptés en .HRM
La réaction est immédiate : appel du contact technique sur place et coupure immédiate de tous les serveurs pour stopper la propagation.
Les efforts de mémoire se combinent à un sentiment d’impuissance.

Toute l’activité est arrêtée mais on est confiant.

L’enquête commence

L’équipe Circe dont Nicolas commence à récupérer des journaux d’évènements sur les différents serveurs et analyse des disques hors ligne pour trouver le biais d’infection.
A cela s’ajoute de prendre contact avec les prestataires de services pour isolation du site Bordelais et redirection DNS afin que les sites distants puissent continuer leur activité en mode dégradé.
L’entreprise reprend son activité.
L’équipe Circe est au complet pour résoudre l’énigme, elle s’empresse d’analyser toutes les sources. Un logiciel malveillant programmé pour détruire.

Les jours passent…

La fin de l’énigme.

Après des efforts d’analyse, Circe informatique arrive à canaliser la source malveillante, il s’agit d’une utilisatrice ayant ouvert une pièce jointe malgré les différents avertissements de sécurité.

Enseignements organisationnels

Responsabilité collective – L’erreur humaine est la principale cause d’atteintes aux données, vous devez donc fournir au personnel les connaissances nécessaires pour faire face aux menaces auxquelles il est confronté.
Préserver les processus vitaux – Les cours de formation montreront au personnel comment les menaces à la sécurité les affectent et les aideront à appliquer des conseils sur les meilleures pratiques dans des situations réelles.

Investir dans la sécurité avec CIRCE

Alors que le nombre de cyberattaques a diminué au cours de la dernière année (passant de 232 en 2018 à 206 en 2019), on note que 40% des incidents de sécurité proviennent d’attaques indirectes de cybercriminels ciblant les systèmes d’information de tierce partie (partenaires, sous-traitants, prestataires,…).Accenture

 

Si nous appliquons ce même taux d’incidents de sécurité vis-à-vis de ces nouveaux cyber-risques. Cela nous permet donc d’estimer que le nombre moyen de cyberattaques visant une entreprise peut être plus proche de 290 que de 206, soit une augmentation de 25% sur une année.

Solutions *

Adopter une politique de mot de passe rigoureuse – lire

Concevoir une procédure de création et de suppression des comptes utilisateurs

L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » (compta1, compta2…), afin de pouvoir éventuellement être capables de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants.

Sécuriser les postes de travail

Les postes des agents doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité (10 minutes maximum) ; les utilisateurs doivent également être incités à verrouiller systématiquement leur poste dès qu’ils s’absentent de leur bureau.

Identifier précisément qui peut avoir accès aux fichiers

L’accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès pour l’exécution des missions qui leur sont confiées.

Veiller à la confidentialité des données vis-à-vis des prestataires

Les interventions des divers sous-traitants du système d’information d’un responsable de traitement doivent présenter les garanties suffisantes en terme de sécurité et de confidentialité à l’égard des données auxquels ceux-ci peuvent, le cas échéant, avoir accès.

Sécuriser le réseau local

Un système d’information doit être sécurisé vis-à-vis des attaques extérieures. Un premier niveau de protection doit être assuré par des dispositifs de sécurité logique spécifiques tels que des routeurs filtrants (ACL), pare-feu, sonde anti intrusions, etc. Une protection fiable contre les virus et logiciels espions suppose une veille constante pour mettre à jour ces outils, tant sur le serveur que sur les postes des agents. La messagerie électronique doit évidemment faire l’objet d’une vigilance particulière. Les connexions entre les sites parfois distants d’une entreprise ou d’une collectivité locale doivent s’effectuer de manière sécurisée, par l’intermédiaire des liaisons privées ou des canaux sécurisés par technique de « tunneling » ou VPN (réseau privé virtuel). Il est également indispensable de sécuriser les réseaux sans fil compte tenu de la possibilité d’intercepter à distance les informations qui y circulent : utilisation de clés de chiffrement, contrôle des adresses physiques des postes clients autorisés, etc. Enfin, les accès distants au système d’information par les postes nomades doivent faire préalablement l’objet d’une authentification de l’utilisateur et du poste. Les accès par internet aux outils d’administration électronique nécessitent également des mesures de sécurité fortes, notamment par l’utilisation de protocoles IPsec, SSL/TLS ou encore HTTPS.

Sécuriser l’accès physique aux locaux

L’accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doit être limité aux personnels habilités.

Anticiper le risque de perte ou de divulgation des données

La perte ou la divulgation de données peut avoir plusieurs origines : erreur ou malveillance d’un salarié ou d’un agent, vol d’un ordinateur portable, panne matérielle, ou encore conséquence d’un dégât des eaux ou d’un incendie. Il faut veiller à stocker les données sur des espaces serveurs prévus à cet effet et faisant l’objet de sauvegardes régulières. Les supports de sauvegarde doivent être stockés dans un local distinct de celui qui héberge les serveurs, idéalement dans un coffre ignifugé. Les serveurs hébergeant des données sensibles ou capitales pour l’activité l’organisme concerné doivent être sauvegardés et pourront être dotés d’un dispositif de tolérance de panne. Il est recommandé d’écrire une procédure « urgence – secours » qui décrira comment remonter rapidement ces serveurs en cas de panne ou de sinistre majeur. Les supports nomades (ordinateurs portables, clé USB, assistants personnels etc.) doivent faire l’objet d’une sécurisation particulière, par chiffrement, au regard de la sensibilité des dossiers ou documents qu’ils peuvent stocker. Les matériels informatiques en fin de vie, tels que les ordinateurs ou les copieurs, doivent être physiquement détruits avant d’être jetés, ou expurgés de leurs disques durs avant d’être donnés à des associations. Les disques durs et les périphériques de stockage amovibles en réparation, réaffectés ou recyclés, doivent faire l’objet au préalable d’un formatage de bas niveau destiné à effacer les données qui peuvent y être stockées.

Anticiper et formaliser une politique de sécurité du système d’information

L’ensemble des règles relatives à la sécurité informatique doit être formalisé dans un document accessible à l’ensemble des agents ou des salariés.
Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés »

Participer aux formations Circe.

Support Technique 1er niveau

Circe informatique répond a vos demandes immédiatement. Vous appelez directement le service technique et vous avez tout de suite un interlocuteur. Bénéficiez d’un diagnostique plus poussé par l’un de nos experts grâce à nos agréments et à notre pôle d’ingénieurs.

Contactez Circe 05 56 75 57 78

* cnil 10 conseils pour la sécurité