Reprise du message précédent :
Une des cliniques du coin est victime d'un ransomware.
Toutes les opérations annulées, retour aux bloc à papier pour les prescriptions.

 
Normalement oui.
 
Mais bon, on sait jamais : si le nouveau pète un plomb et se barre... (oui je sais, je suis trop bon / trop con)

Dis toi aussi que si tu le fracasses un peu il sera probablement plus cool avec le reste de l'équipe

Exactement. Un confinement n'aurait rien fait pour arrêter omicron.

 
Cette année va être fantastique  

Incompétence totale, syndrome du "ça n'arrive qu'aux autres" alors que des dizaines (centaines) de cliniques en France ont été touchées, et des milliers au Royaume-Uni. A ce niveau, c'est limite criminel.

Les médecins actionnaires sont sur les dents alors que ce n'est bloqué que depuis 5h ce matin.
Ils ne sont pas prêts pour entendre le temps que ça va prendre pour rétablir les services

Genre tu restes dans la même boite donc tu pourrais revenir là dessus?

Ou pas.

Même s'ils ont fait ce qu'il faut, tout nettoyer et de remonter les sauvegardes ça prend quand même du temps

Ca me paraît pragmatique je fais la même chose mais faut savoir l'amener gentillement sans défoncer la personne.  
 
et ça ne marche pas toujours, exemple ici à la cogip on a une app les tests d'intégration sont assez lent car les tests sont en mode dirtycontext pour pas se faire trop chier et donc à chaque test liquibase se lance et crée des tables les popule etc.  
 
Les tests prennent genre 6min a runner en local et 10 sur jenkins. En arrivant j'ai proposé une amélioration en s'intercalant dans le runner junit pour snapshot la DB et empêcher liquibase de se lancer systématiquement, résultat les tests tournent en 2min et 4sur jenkins, sachant que les tests tournent à chaque commit, résultat le mec qui maintient l'app n'a pas voulu intégrer car ça lui paraît compliqué (on parle de 20 lignes de code) et qu'on rely sur un mécanisme de snapshot de H2 (lol c'est vrai qu'en in memory on va changer de db toutes les semaines).
 
Bref même avec des bons arguments et bien amené ça marche pas toujours, mais au moins tu auras essayé

a ben voilà, Raphaël est cas contact, mais pas de l'école : foot

 
Et le CTO de la clinique du coin ? Il est toujours en poste sinon ? Parce qu'en 2022, il existe des moyens de se prémunir contre les ransomwares en mettant en place un file versionning efficace par exemple...

 
Mais as-tu essayé de le fracasser ?

tu savais bien, que ce n'étais malheureusement qu'une question de temps.

 
Avec 300 000 cas par jour, les gens qui vont en réchapper ou qui ne seront jamais cas contact, ils peuvent brûler un cierge AMA.

C'est assez différent, parce-que là le but de gfive c'est pas d'améliorer la méthode en question (qui est probablement sans importance), c'est de foutre au con le nez dans sa merde

ça depend de ce qui est mis en place dans ce cas ... certains ransom savent deja s'attaquer au versionning

Ben c'était ma deuxième partie, l'équipe a bien vu que 20 lignes pouvaient améliorer leur quotidien, j'attends la révolte

 
LOL, PEBCAK, le switch Dolby Vision était désactivé sur mon Shield    
Le HDR c'était déjà très bien sur de l'OLED, je me réjouis de voir le sampling dynamique image par image

Oui mais toi c'est aussi (et surtout) une vraie amélioration notable, c'est pas que le type est un gros con hypocrite qui vous a brisé les couilles parce qu'une suite de tests a pris 30s alors qu'il est en charge d'un truc qui prend 20x ça complètement inutilement

On est d'accord. Mais là il doit déjà être en train de pleurer sur l'absence de sauvegardes off-site avec ses chefs derrière sa nuque.

Il serait intéressant de voir ce que les même actionnaires étaient près à allouer pour le budget IT/DSI lors des précédents conseil d'administrations/AG
Parce que de ce que j'ai pu avoir comme echo, avant même de parler de la compétence des équipes, les moyens sont pas toujours à la hauteur.

Ah et évidemment, tous les praticiens qui exercent aussi en ville ont une liaison réseau vers la clinique.

Bien sûr ! Le manque de moyens humains pour les compétences, comme matériels, sont la cause première de ce genre d'attaques.
Et probablement sans compter Roger qui a cliqué sur le mauvais lien. Donc manque de formation.

 
Ah oui ? Et comment ?    Ils peuvent générer plein de nouvelles versions, mais je vois pas comment ils pourraient détruire ou changer les anciennes si tu mets en place les bonnes options.

Un indice chez vous

Si c'est pas les bonnes options par défaut, ça marchera pas pour la victime moyenne.

Suffit de regarder que par défaut dans ton git tu peux "push -f" pour défoncer tout le repo, si tes deux copies de travail c'est le repo github/lab/... et la copie locale c'est vite fait.

Idem pour les backups en push sur un NFS ouvert au monde.

 
Les Roger cliquent toujours sur le mauvais lien tôt ou tard. Là, le problème pour moi, c'est pas les Roger.

 
Bravo.
 
Après ca reste des gouts perso, mais putain le Dolby Vision  

J'attends ton bench
Mais je suis confiant dans ma proposition

Va falloir faire un peu de CNV pour le présenter mais si t'as raison, ça se prouve assez facilement

Dion empathique, faut en profiter  

Ils ne sont pas prêts à entendre qu'ils auraient dû accepter l'augmentation du budget, qu'ils voient comme un centre de coût dans l'organisation

Faut varier les plaisirs

C'est clair.

Tu m'as grillé

T'auras toujours un Roger. La question c'est : quel est ton PRA dans ce genre de cas ?

Tant que tu n’as pas du worm/data-lock/ immutabilité ça se fait.
Ça fait déjà plusieurs années que les ransomware savent dégager les vss/previous version de MS.
Et depuis environ 1 an et demi, ils sont également capables de s’attaquer aux softs de backup couramment utilisés.

Les seules parades sont des sauvegardes externalisées ou la mise en place de worm/data-lock/ immutabilité.
Des snapshots ne sont plus actuellement une garantie selon la ”sophistication” de l’attaque. Il y a de plus en plus un travail préparatoire visant à neutraliser les mécanismes de recovery en place avant déclenchement de la charge.

Ouais après, sans même aller jusque là, combien ont un PRA en place ET testé voir exécuté régulièrement ?  

Tant que tu ne connais pas la quantité de données perdues, le délai de rétablissement et le budget alloué tu n'as aucun éléments pour savoir si quelqu'un a merdé  

la vie dans une DSI d'une clinique ou établissement de santé hors CHU c'est : t'es 4 pour gérer 200 users et 100 applis dont un tiers fait aux US "idontgiveafuck about ur shithole", un autre tiers validé sous windows 7 péniblement et que ton DG t'annonce un réduction de 10% de ton budget  
 
y a des tocards certes comme ailleurs, paplus.  
 
mais de là à crier "incompétence totale" ... hum...  
pour rappel, si un soft de l'établissement ne te plaît pas et bien c'est pas toi qui choisit de le dégager, y a des AO, les éditeurs se foutent de la gueule du monde, sont flous sur la sécurité, t'as pas de pouvoir de véto.
 
C'est bien plus facile de tenir une infra clean quand tu vois qu'un truc est daubé et que dès le lendemain tu peux décider de t'en séparer.
Ton dossier patient qui s'exécute dans un firefox version 2010 bah... tu l'as acheté 3 millions d'€. Certes l'éditeur t'as écrit qu'il allait mettre à jour le navigateur, oui théoriquement tu peux l'attaquer en justice.
Ouais en théorie.
Ouais.  
 
Bon tu le fais pas.
 
tout est comme ça, provisionning, pra, suivi des évols....

Déjà tu vires les license VMware pour du XCP-ng avec un support FR de qualité pour moins cher

Bah oui, vu le potentiel du marché ils branlent quoi tes sales ?

Ça protège des ransomware XCP-ng ?

 
On a croisé un type qui représente une association d'achat pour un gros groupe d’hôpitaux. Il s'avère que c'est très très difficile de faire changer les choses… En général, la réponse c'est : on a toujours fait comme ça et on va pas prendre un éditeur pas connu pour des trucs sérieux

Tu peux en place une politique de backup et rolling snap de tes VMs facilement, c'est invisible à l'intérieur de la VM.

edit : y compris snap ou backup AVEC la mémoire vive, ce qui permet de retrouver des clefs de chiffrement dans des cas (tu peux lire ton dump mémoire tranquille et regarder ce qu'il s'y passe)

Si tu envoies tes sauvegardes au bon endroit.
Tu pourras restaurer.

 
Surtout que le backup coûte pas cher, et pas limité en quantité (donc tu peux répliquer sur plusieurs endroits avec des schedule différents, et avec la rétention que tu veux)

Yes local NFS crypté + S3 ailleurs (cloud ou autre) et ça roule.