Reprise du message précédent :

La boite où je suis resté 3mois (étrange) quand je suis arrivé il venait juste de récupérer d'un pétage violent. Chiffrement des serveurs de L'ERP (C€G!D) car le RDP du/des serveurs étaient ouvert sur le net avec les login/mdp par defaut de C€G!D, le distributeur de l'ERP voulait pas que la boite change les MDP

Après le "retour à la normal" avec la sauvegarde (1 semaine de delta jcrois), pour respecter la chronologie réel, batch, numéro de factures etc... (entrepôt) et virtuelle (dans la BDD avec 1 semaine de retard) ils ont re-simuler une à une toutes les manips d'une semaine faites en prod

Et bien sur aucune déclaration de l'incident

 
Le distributeur de l'ERP avait-il également une branche "réponse sur incident" ? ça ferait une bonne activité complémentaire, on peut même proposer les deux en bundle

 
En complément, le retex du RSSI du CHU : https://www.nolimitsecu.fr/retex-incident-de-securite/
 
Il explique notamment la question du RDP ouvert, parce que forcément, c'est plus compliqué que ça. Mais bon HFR what else

RDS/AD, y'a pas des alternatives moins trouées ?

l'alternative est d'implémenter les choses correctement. Mais c'est pas à la portée de tout le monde

Je dois être un trouduc anti windows mais pourquoi du windows dans des trucs critiques
Genre cauda tourne sous win10 et se connecte en RDS au taf ? Je ne pense pas

 
Teamviewer

C'est cool ce retex, un peu chiant à écouter quand tu taffes (héhé) mais c'est pas mal.
Par contre la mise en prod de servers sans avoir installé l'EDR : on est d'accord que c'est un soucis de procédures mal formulées, déployées ou respectées ?
Pas de 2FA pour accéder à RDS aussi
Ils savaient pas où étaient les logs RDS aussi
Pour la com physique de l'incident = "on a oublié" (mais bon sous la pression ça doit pas être facile)
"infrastructures obsolètes", je dsais pas ce qu'il veut dire exactement

Avec un design correct, une bonne implémentation et du patch management, ce n'est pas plus troué qu'un autre système Windows.

Par forcement.
Le CHU n'avait peut être pas d'EDR du tout avant.

J'ai cru comprendre que si

Rapport de l'anssi what else

 
J'ai compris que c'était le gros projet à son arrivé et que donc, c'était en cours de déploiement.
Enorme legacy à gérer, et forcément tout ce que cela implique.

La loose a 3 jours ..
Par contre, initialement, les accès ont été powned depuis un PC perso..

 
Le PRA/PCA, c'est surfait...

 
Hopital donc pas de matériel pour le personnel. L'interne/docteur se connecte avec son PC perso a des outils de l'hopital.
Pas de politique sécu pendant des années donc le 2FA n'est pas encore déployé. Tu arrives forcément à une compromission.    

Ok je comprends mieux alors, à 2/3 jours se faire pown c'est con mais bon vu le nombre de trous dans les process ils peuvent s'estimer très heureux d'avoir eu un call de l'anssi et de pouvoir débrancher avant d'être niqué (et que les types avaient l'air de galérer ).
Au final l'attaque est positive avec les solutions déployées par la suite
 
Donc c'était p'tet une attaque de l'anssi (ou alors c'est un type infiltré qui a donné l'alerte )

Le quoi ?

Ah oui l'excuse du "C'est legacy"  

au delà de ça, ça me fait bien marrer tous ceux qui fanfaronnent "olalala l'état FR", mais qui sont les premiers à se faire trouer, ils sont juste pas au courant

En même temps le budget d'un hosto pour les soins c'est déjà tendax alors pour la sécu informatique...

aussi ouais

Oui et les salles pleines de matos neuf entassé avec la palette du fond déja hors garantie ...
CHU Grenoble inside ....  
Autant coté soin (et encore surtout en bas de l'échelle) ils en chient grave autant sur d'autres volets c'est la bonne planque ...
Les docs en smur qui sont dans le batiment de nuit à dormir a coté des urgences  qui décallent pas et refusent d'aller aider les urgences qui sont sous l'eau...
Alors qu'en campagne le medecin smur fait aussi les soins des urgences (quand elles ne sont pas fermées la nuit)

Quand tu en viens a prendre des ASC pour bilanter les gens qui arrivent, appeler le 15 pour que le doc dise de le faire rentrer...
Pendant que chez eux certains dorment et que tu attends quasiment 2h pour un appel non urgent ...

Ya un topic professionnels de santé aigris peut être ?

 
C'est comme partout, l'argent arrive après coup

Le gâchis qu’il y a est aberrant…
Associé à une culture de la sécurité informatique proche du néant.
Va dire à un Docteur , professeur de fermer sa session alors qu’il sors du boxe de consultation sans se déconnecter et que le patient a libre accès et peux consulter n’importe quel dossier médical …
Faut pas s’étonner que ça se fasse deglinguer tout les 15j …
 
Va gagner contre un professeur qui exige qu’on mette son MacBook sur le domaine car il ne veux pas utiliser le wyse prévu pour son usage…
Dès que ça montera dans la hiérarchie on te demandera de le faire …
 
C’est pas en arrosant de pognon que tu règles les soucis. Parfois faut tout cramer  

 
C'est pas une excuse, mais quand tu récuperes un SI d'hopital, avec zéro budget, zéro équipes et un legacy de ouf ; bah tu vas pas tout transformer en 6 mois. Ca prends des années.

On est sur HFR. Ici c'est soit win 2003 sans AV sans patch sans la moindre sécurité tous les users en droit admin ou le budget de la défense américaine dans l'IT pour une boulangerie de quartier.

 
De toute façon une boulangerie de quartier sérieuse ça n'existe pas, il faut au minimum 2 boulangeries séparées d'au moins 50km pour avoir toujours des croissants même en cas de catastrophe

²
 
Les fournils avec four gaz et électricité, installation électrique d'hopital minimum, test quotidien de livraison du pain/viennoiserie entre les 2 boulangeries, contrôle d'accès dans chaque four pour que chaque boulanger ai l'accès unique à son four le temps de la cuisson, droit restreint au stock pour les stagiaires, séparation de l'espace et de l'accès entre les serveurs côté boutique et les boulangers côté fournil.

viennoiseries sérialisées au laser et stock maintenu dans un outil d'inventaire avec audit régulier (et tout mouvement d'une valeur de plus de 10 euros d'une même source vers une même destination déclenche une alerte à faire valider par le contrôle de gestion), accès MFA pour ouvrir la caisse et la vitrine, et tout le monde pesé à l'entrée et ça la sortie de l'établissement pour vérifier qu'aucun macaron n'a été embarqué ou mangé en douce
Fiches de recettes des différents gâteaux régulièrement détruites et réimprimées pour éviter que quelqu'un rajoute au crayon une instruction malveillante sur une phase du processus qui pourrait être de nature à compromettre les gâteaux

Qui donc exactement ?  

As-tu vérifié l'état de ton cul, du coup ?

 
Merci.
 
On sait ce que c'est leur EDR ?

HarfangLab

 
Hey d'où tu connais nos clients ?

 
CAIH/Advens inside

Ca me semble une bonne base

Je suis peut-être client, ou peut-être infiltré dans ta boite  

 
Ah mais c'est toi le mec qui pue la vinasse en racontant des histoires de trucs veineux et noueux ? Faut pas rester la monsieur.

I'm like the wind, baby

Exactement, j'ai la capacité spéciale d'être présent à l'ensemble des machines à café de la COGIP simultanément pour raconter ça. Par contre je ne sens pas la vinasse mais la bière bas de gamme 8.6    
 
 
Exactement  

 
Parce que c'est souvent mal présenté.
 
Le budget sécurité, il faut le ramener au CA, au bilan, au budget total, ..., au nombre le plus gros qu'on puisse trouver pour parler aux dirigeants. Et s'il font la sourde oreille, à chaque occasion leur balancer à la tête que la sécurité informatique ne protège pas l'informatique : elle protège tout le reste et ce gros nombre en particulier.

Je ne sais pas quoi en penser