Attaque sur le CH de Narbonne

Nous essayerons ici de faire passer un maximum d’alertes de sécurité relatives au SIH, tous les types de cyber attaques
Répondre
Jlahoz
Messages : 4
Enregistré le : 31 mars 2018 09:36
Etablissement : Ch de Narbonne
Fonction : Directeur SI
DPO / DPD : Non

Attaque sur le CH de Narbonne

Message par Jlahoz » 29 déc. 2020 08:35

Voici un retour sur l'incident que nous avons rencontré le 11/12/20 vers 00h40.

Les attaquants ont pu accéder de 00h40 à 1h40 à l'un de nos serveurs AD. Pour cela ils ont utilisé un compte de l'un de nos fournisseurs qui utilise notre VPN pour nous assister dans l'analyse de nos infrastructures. Compte tenu du faible niveau des privilège du compte ils n'on pu lancer leur attaque via le Trojan.ps1.Powtran.a qui a été bloqué par notre Antivirus TrendMicro.

Au matin lors de l'analyse des tâches d'exploitation nous avons identifié ce virus mis en quarantaine et nous avons immédiatement bloqué les accès Internet en entrées et sortie. Nous avons appelé notre fournisseur d'infrastructure, fait le signalement sur le portail de l'ANSSI et contacté notre consultant sécurité de SPIE.

Nous avons été confortés sur les bonnes mesures prises et de nouvelles recommandations ont été prodiguées. L'ACSS a transmis "une bible de choses à faire" mais ils ont été inquiétants, pas pragmatiques pour un sou à notre avis. C'est notre consultant sécurité de SPIE qui nous a été de la plus grande aide et efficacité. Il avait déjà eu 3 clients hospitaliers qui étaient tombés dans le piège et avaient subi les mêmes problèmes.

Nous n'avons eu aucune perte de données et de dommages. Le CH d'Albertville ne semble pas avoir eu la même chance car ils ont subi la même attaque mais leur antivirus sur le serveur n'a rien bloqué et cela s'est terminé avec le cryptage de données.

Nous avons mis 7 jours pour tout contrôler avant de remettre en service Internet et la messagerie. Nous n'avons pas arrêté la production (juste quelques minutes pour isoler le serveur AD attaqué). Nous avions également isolé le serveur de sauvegardes pour parer à tout risque.

En conclusion:
- notre Parefeu Fortinet avait été mis à jour 15 jours avant la parution de l'avis de sécurité du CERT du 28/10/20, mais la récupération des identifiants et mots de passe sur le Parefeu avait déjà été faite par les attaquants.
- la prise en compte de l'alerte du cert du 27/11/20, sur la nécessité de changer les mots de passe, n'a pas été faite par mes équipes malgré mes nombreuses relances et malgré un résultat de Pen test (test d'intrusion externe et interne) qui avait fait état de recommandations non prises en compte immédiatement. On peut considérer que lorsque l'on relâche la vigilance et que l'on ne priorise pas les actions correctives (malgré l'insistance du DSI …) on le paye cache. Mais on s'en sort bien sur ce coup ...

Gérard
Messages : 78
Enregistré le : 03 oct. 2016 11:00
Etablissement : LNA-Santé
Fonction : RSSI
DPO / DPD : Oui

Re: Attaque sur le CH de Narbonne

Message par Gérard » 29 déc. 2020 13:57

Merci pour ce retour d'expérience instructif

Avatar du membre
charles
Administrateur du site
Messages : 5100
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Attaque sur le CH de Narbonne

Message par charles » 30 déc. 2020 10:55

Merci beaucoup pour ce retour ;)

Répondre

Retourner vers « Alertes de sécurité - Attaques et infections »