Reprise du message précédent :
 
Disons que l'archivage sur le Cloud permets aussi de s'affranchir pour moi de la volumétrie. Car la boite grossit très vite (+30% de CA tous les ans depuis 6 ans, et entre 70 et 100 embauches par ans depuis 3 ans).
 
Sans compter la croissanxe externe avec déjà 3 rachats de boite depuis que j'ai pris le poste en decembre. Donc c'est très compliqué de dimensionné même à moyen terme l'infra. Donc gérer des bandes, sachant que dans 4 ou 5 ans mes bandes, elles sont lisibles ? Toujours les memes support ? Toujours le même soft de sauvegarde ?
 
Bref pas trop envie de m'embêter avec cette gestion. Pour moi 2 backup sur 2 sites différents + 1 externe, ça me paraît pas trop mal.
 
 
Après comment restreindre au max les accès ? Serveur en bastion ?

Sans compter les mots de passe stocker dans les navigateur web facilement récupérable .....

 
Ben le seul truc que tu grattes c'est le MDP en clair du user sur lequel tu (le process) t'es lancé.
Cela permettait par exemple à NotPetya d'attaquer d'autres machines sur le réseau via PSEXEC (et donc WMI).
 
Bien sûr, cela ne fonctionne que si le compte qui exécute le virus à des droits admins sur les autres machines.

Comme ça que Saint Gobain s'est fait défoncer son réseau avec un domain admin en ukraine qui a lancé le crypto

 
J'ai eu plusieurs clients dans ce cas

Du coup quand vous avez besoin de faire des actions sur vos serveurs. Comment procedez vous ?

Un très bon doc sur les AD :  
 
https://www.ssi.gouv.fr/uploads/IMG [...] teTech.pdf

 
Une PME n'a pas la taille pour avoir les moyens d'un responsable sécu (sauf si sont domaine c'est justement la sécurité) et la plupart même pas celle d'avoir un admin.

Oui enfin la ils ont les moyens financiers (boite rachète par Renault pour fabriquer des vehicules à eux).
 
Maintenant s'il N arrive pas rapidement à retrouver un SI ... ils seront mis en liquidation. La il y a déjà 80 personnes en chômage techniques. Mais bon quand tu as un ERP comme Microsoft AX et que tu dois le remonter de A à Z (parametrage, installation, refaire un inventaire complet etc...) il faut mini un bon mois et avec ça tu as perdu l'historique complet.
 
Actuellement il y à 80% de chance qu'il ne reparte pas d'après les premiers retours.
 
Ce qui fait que j' accélère aussi sur ma boite les mesures pour éviter ça.

Attention à ne pas confondre PME et TPE.
 
Une PME, c'est jusqu'à 250 personnes et 50 millions d'€ de CA.
Avec ça tu peux avoir plus qu'un admin.
Et je connais plusieurs PME qui ont plus d'un admin.

Oui c'est vrai, d'ailleurs avant décembre il y avait dans cette boite :  
 
- 1 Responsable info qui était aussi le dev pour l'ERP et applis métiers
- Moi en responsable infra et responsable support
- 1 Technicien support N1+N2
 
C'était déjà plus logique et plus réactif (même si la sécurité n'a jamais parlé à la direction). Malheureusement les budgets se débloquent uniquement quand ta une emmerde dans certaines sociétés

Ils sont sûrs que les fichiers de backup sont illisibles ? Et pas juste inaccessibles car OS HS ?
Ils ont tenté de décrypter ? Voir https://noransom.kaspersky.com/fr/
Ils se sont fait aider par des spécialistes ?
Ils ont porté plainte ?

"Ils sont sûrs que les fichiers de backup sont illisibles ? Et pas juste inaccessibles car OS HS ?"
 
Oui la SSII qui en infogérance à essayer, mais rien n'a faire. La il regarde pour voir de vielle bande LTO de 8 mois 1 ans, pour récupérer au moins le paramétrage de l'ERP.
 
"Ils ont tenté de décrypter ? Voir https://noransom.kaspersky.com/fr/"
 
De mon côté j'ai envoyé les liens vers les deux virus à la SSII, après pas eu de retour sur ça. Je pense qu'ils ont surtout la tête dans le guidon pour remettre tout en urgence, mais je pense pas que ça soit le bon choix. Prendre une journée pour voir ce que tu peux ou pas récup me parait plus utile mais bon, je suis pas au commande et plus dans la boite quoi.
 
Pour le dépôt de plainte, je suppose que oui, et pour les spécialistes c'est la SSII ..... mais pas convaincu de leurs compétences sur ça franchement.

Là faut faire appel a une autre société capable de gérer les situations de crise en renfort de la ssii actuelle

Oui pour moi la ssi qu'ils ont on clairement pas les compétences ni le temps (1 seul mec actuellement pour tout remonter !)

La ssii ne va pas pouvoir faire grand chose si ce n'est constater.
Payer la rançon est peut-être la solution la plus économique.
Mais si les gars se sont donnés du mal à chiffrer tous les serveurs, ils vont faire augmenter le prix.
Après c'est plus des éditeurs d'antivirus qui pourraient essayer de déchiffrer les fichiers, mais les résultats ne sont pas garantis et cela risque de mettre du temps.

Non la, la SSII remonte une nouvelle infra, mais n'ont envoyé qu'un seul mec et qui boss pas le weekend ....

 
 
VLAN d'admin avec les bonnes ACL pour tous les serveurs.
Le serveur de backup doit être hors AD avec un password local différent du password admin du domaine.  
Si déjà y'avait eu ca, ca ne serait pas arrivé sauf s'il s'agit de sabotage.
Après si ton chef s'est prix un keyloger sur son pc, c'est chaud, mais y'a un problème avec l'AV dans ce cas.

Le soucis c'est qu'ils ont un réseau assez classique j'ai envie de dire, avec un VLAN datas et un téléphonique, un TMG pour le pare feux mais extérieur et un antivirus (Kaspersky) ou depuis mon départ ... il n'a pas été renouvelé non plus .... bref la sécu dans cette boite ça n'a jamais était ça clairement.

Tu as plein d'options pour restreindre au max les accès. Il faut travailler sur toutes les couches: matériel, réseau, OS, AD...

A mon avis, ce n'est pas utile de vouloir restreindre les droits au maximum.
On peut plus faire les infra comme "un château fort" complétement isolé.
Entre le cloud, le byod, la fin du nap, ce n'est plus la politique qui va être adoptée.
 
On voit bien avec les faux mailings envoyés par Bercy à ses utilisateurs, le nombre potentiel de personnes prêts à cliquer sur le lien dans un spam.
On aura presque toujours des personnes qui seront prêtes à cliquer sur ces liens et on ne pourra jamais les empêcher.
La chose la plus importante est d'avoir un système de sauvegarde sécurisé qui permet de reprendre le travail rapidement.
Même si l'infra est entièrement chiffrée suite à un crypto et que tu peux reprendre le boulot dans la demi-journée ou le lendemain, ça limite sérieusement les dégâts.

Le soucis c'est que les crypto il y en a de plus en plus souvent, et selon ce qui est touché ... redescendre un backup de plusieurs Terra depuis un Cloud c'est forcément très long.
 
La nous allons déployer du Symantec chez nous, le soucis c'est d’être up to date en terme de virus et de pas avoir 1 poste sans rien (il y aura toujours un mec qui va venir avec son pc perso).
 
C'est vrai que le côté ultra blindé c'est plus possible, avec les pcs perso, téléphone, invité, cloud, clé USB etc... il faut effectivement plus pensé à bien sécure les serveurs (antivirus, pare feu etc...) et les backups.
 
Forcément beaucoup de boulot pour refaire des infra existantes et remettre tout en ordre... mais bon c'est toujours moins de boulot que tout refaire en cas de crash complet

Pour la partie admin si, c'est l'objectif des forêts "Bastion" dispos depuis 2016 (mais déjà réalisables sur d'anciennes versions).

Oui je vois de plus en plus en lisant le coup des forêts Bastion, tu utilises ça ? pas trop galère à administrer ?

C'est le genre d'infra que tu ne vois que dans des milieux très sécurisés avec de gros moyens type banques. Ca fonctionne bien, mais c'est aussi une vraie usine à gaz qui apporte d'autres problématiques (ça revient à gérer un deuxième SI en fait).

Oui j'imagine que ça doit etre un beau merdié, j'ai vu aussi des choses un poil plus simple avec juste 1 domaine pour l'administration et l'autre pour les users.

Dans la même forêt ? Aucun intérêt, la frontière de sécurité d'un AD est la forêt

Ouep, si tu fais pas une deuxième forêt ça sert à rien (à part montrer que les types qui ont monté ça ont 15 ans de retard sur les notions de sécurisation de l'AD).

 
  Un autre presta apportera possiblement un meilleur niveau technique, quelques solutions, une méthodologie de gestion de crise.  
Dans un cas pareil un dirigeant doit remettre en question le presta avec un avis technique extérieur effectivement constater et mettre en évidence les responsabilités ensuite mettre en place un schéma directeur pour la remise en route et la mise en conformité des sauvegardes et de la secu (a priori tout ce qui n'a pas été fait, on doute donc que les choses soient bien faites la seconde fois...).
 
Payer: la bonne blague tout le SI est compromis, le risque de se faire re chiffrer dans la foulé de la remise en service est énorme
A mon sens il n'y a que les cas ou il y a un risque vital dans lesquels payer pourrait être envisagé.

 
Si toute l'infra est compromise, il y a un fort risque vital pour l'entreprise.
Après avoir payé, tu fais un backup sur un support externalisé pour être sûr où cas où il y aurait une backdoor.
Mais je doute qu'ils s'amusent à chiffrer les données juste après avoir donné le code.
C'est avant tout un business pour eux, si les gens savent qu'en payant ils n'ont jamais la clef pour déchiffrer ou que cela sera rechiffré au bout de quelques minutes,
alors les gens ne payeront plus et ils auront à trouver un nouveau business.

Vital pour des personnes

Beaucoup d'entreprises font faillites après avoir perdu la totalité des données.
Une faillite fait toujours beaucoup de dégâts pour les anciens patrons et employés.
 
Sinon ils avaient fait des demandes chez Ontrack, Stellar, EaseUS et les éditeurs d'antivirus pour voir s'ils pouvaient déchiffrer les fichiers ?

Si en fin de mois ils arrivent pas à relancer la production, la boîte sera fermer.

Soit 1 mois après l'arrêt !?
Et ben ça va leur faire un trou dans le CA !

D'après KrolOntrack, 60% des entreprises qui perdent leur données fermeront dans les 6 mois.

Oui la boîte a etait reprise par Renault il y a 1 ans car pas bien financièrement .... donc un crash comme ça avec aucune données à reprendre ....
 
Espérons que le groupe accepte de sauver cette pme mais  c'est pas à l ordre du jour ...

Bon alors elle en est où cette PME ?