Ransomware : que faire face à la bêtise des utilisateurs ?

Quelle que soit la qualité de votre antivirus, il n’empêchera pas un utilisateur parfaitement abruti d’exécuter un cryptolocker à l’insu de son plein gré. C’est bien l’utilisateur qui est le dernier rempart en termes de sécurité informatique.

Retour dans le passé

Ransomware : que faire face à la bêtise des utilisateurs ?C’était en septembre 2004. Je travaillais alors pour le compte de Scripta Informatique, une SSII qui a depuis passé l’arme à gauche. Nous avions été contactés par la DIREN – devenue DREAL depuis – de Basse Normandie pour réaliser une formation sur la sécurité informatique. Lors de la 1ère réunion, j’avais proposé au Directeur de former ses utilisateurs sur leur informatique personnelle de manière à les sensibiliser sur leur environnement professionnel. J’avais dû affronter des « informaticiens » qui trouvaient qu’il s’agissait là d’une très mauvaise idée. Le Directeur de l’époque valida ma proposition !

En novembre, les serveurs de messagerie du ministère furent inondés d’attaques en tout genre, et la seule délégation à ne pas avoir été contaminée fut celle où nous avions organisé la formation.

Virer le DSI et le RSSI ?

J’ai lu un article récemment dans lequel j’ai pu apprendre que 47% des entreprises allemandes du bâtiment étaient prêtes à virer leurs DSI ou/et RSSI en cas d’infections de ce genre, vis à vis desquelles aucun dispositif technique n’est fiable à 100% ! A leur place, je me poserais la question de savoir s’il ne faudrait pas plutôt virer des utilisateurs qui sont des abrutis notoires et qui mettent en péril par leur bêtise toutes les données de l’entreprise.

Je me demande aussi s’il ne faudrait pas virer tous ces dirigeants qui n’acceptent pas d’investir du temps pour sensibiliser et former les utilisateurs à la sécurité informatique !

Sécurité informatique  / CryptoLocker DSI Formateur Sécurité informatique Formation Sécurité informatique Ransomware Sécurité informatique 

Commentaires

« des utilisateurs qui sont des abrutis notoires » Bel exemple d’élitisme et de mépris. Faire un billet « que faire » et donner comme réponse « les virer », ça a beau être un coup de gueule, c’est méprisant au possible.
Si tu prends les gens de haut comme ça, ne t’étonnes pas qu’ils ne cherchent pas à comprendre les bases de l’informatique…

@genma

Tu as beau leur expliquer. Ils s’en foutent. Ils considèrent que les informaticiens sont là pour nettoyer les écuries d’Augias.

Sans utiliser les mêmes mots, je suis malheureusement d’accord avec Denis à force d’exaspération.

Malgré les courriels explicatif et afin de former les utilisateurs, malgré les courriels de mises en garde sous les différentes attaques d’actualité, malgré les procédures d’actions d’urgence à mener sur un poste en cas de suspicions d’infection… les utilisateurs s’en moquent royalement.

Les courriels en questions ne sont pas lus ou négligés.
Infecter une infra, c’est 24h minimum de repos (mauvais calcul car il faudra bien reprendre le retard) le temps des restaurations et nettoyages d’usage.
Aucune sanction n’est encourue pas l’utilisateur fautif et pourtant prévenu.

La solution a été simple. Bloquer l’utilisateur 24h.
En faisant le filtrage directement des fichiers sur les serveurs DATA, je ne déconnecte que l’utilisateur qui infecte, dès que des qu’une série de fichiers suspicieux est détectée. Ainsi je ne restaure que les rares fichiers, et uniquement le poste à désinfecter, voir restaurer.
Et aucune sauvegarde des postes locaux. Il y a un espace de stockage.

Depuis 6 mois… plus de problème.

Quand à considérer cela comme de l’élitisme, il faudrait travailler dans un support pour voir comment les utilisateurs traitent les techniciens et ingénieurs.

Laisser un commentaire

(requis)

(requis)