Un bilan de l’attaque informatique contre Manutan
31 juillet 2022
Je suis tombé ce matin sur le récit de l’attaque par ransomware dont a été victime Manutan. L’article écrit sur LeMagIT par Yann Serra est riche d’enseignement en ce qui concerne l’organisation de la sécurité informatique et la prévention d’attaques de ce genre.
Les assaillants sont entrés, de manière assez classique, dans le système d’informations en utilisant une technique de phishing ou d’hameçonnage.
Leçon n°1 :
- informer et former vos utilisateurs aux enjeux de sécurité, au travers de la création de clubs utilisateurs !
- installer le bloqueur uBlock Origin dans le navigateur par GPO, utiliser les blacklists DNS afin d’éviter à vos utilisateurs les sites exotiques et mettre en place des proxy pour accéder à Internet.
- configurer avec beaucoup de soin le pare-feu équipant les stations Windows.
Ils ont pris 3 mois pour faire leur prise d’empreintes.
Leçon n°2 :
les DNS peuvent révéler des activités suspectes, ainsi que les logs de suivis de processus à centraliser très simplement avec rsyslog. Évitez les usines à gaz et préférez toujours la simplicité à la complexité artificielle et très onéreuse !
Les serveurs Linux n’ont pas été touchés par le cryptolocker. Et la multiplication des logiciels de sauvegarde a permis de récupérer les données.
Leçon n°3 :
- ne mettez pas tous vos œufs dans le même panier. Autrement dit, les solutions monolithiques vous exposent à des attaques systémiques à forts impact et gravité.
- n’oubliez pas d’effectuer vos sauvegardes !
Des fichiers aux extensions exotiques ont commencé à apparaître sur les serveurs.
Fort de mon expérience, de mes compétences, de mes audits et autres prestations, sachez que je peux vous accompagner sur les sujets de la sécurité informatique et de la cybersécurité.