sécurité des fichiers sur la GED
-
Bonjour,
Suite aux difficultés de certains établissements de santé de notre région subissant une attaque du virus Wannacry, la question suivante m'a été posée mais je n'ai pas su y répondre.
Y a t il des mesures de sécurité lors du téléversement des documents dans la GED (Scan anti-virus,...)?Merci de votre réponse.
-
Il faut tout d'abord savoir que GoFAST permet d'être très nettement moins vulnérable qu'un serveur de fichiers Windows classique, vecteur de la plupart des attaques de ransomware avec des conséquences catastrophiques (plusieurs jours à plusieurs semaines d'interruption de service). On peut citer les ransomware Ryuk, Egregor, Ragnarlocker, Clop, Maze, WannaCry, Petya ... (voir https://attack.mitre.org/techniques/T1486/)
De nombreuses villes ont été touchées ces derniers mois, des hôpitaux, Dassault Aviation US, Sopra-Steria, Wagons-Lits, CMA-CGM... L'ensemble du serveur de fichiers est généralement verrouillé et il est demandé une rançon importante (dans certains cas plusieurs millions) pour pouvoir récupérer ses données. Dans certains cas les données ont en plus été subtilisées et les pirates menacent de diffuser les contenus sensibles.
Selon l’ANSSI en octobre 2020, Ryuk serait par exemple responsable de 75% des attaques sur le secteur de la santé [14], secteur qu’il attaquerait depuis le premier semestre 2019.
GoFAST de son coté n’est pas sensible à ce type d’attaque car l’accès aux fichiers se fait directement dans le navigateur web totalement cloisonné du poste de travail.
Dans le pire des cas si le lecteur réseau windows a été monté, GoFAST sauvegarde chaque nouvelle version d’un document, donc si un ransomware rentre par ce moyen, il est possible de récupérer les versions précédentes. Contrairement à une attaque sur serveur de fichiers, le travail de la journée n’est donc pas perdu.
De plus, les droits étant souvent plus finement attribués sur GoFAST, le nombre de fichiers infectés peut être plus limité.Donc pour résumer et sans montage réseau windows webdav, GoFAST protège efficacement des ransomware.
Concernant la protection coté serveur GoFAST celui-ci embarque de nombreuses protections comme un antivirus, un IDS (Intrusion Detecting System), un Mandatory Access Control permission system (MAC) basé sur ‘selinux’, et bien d’autres protections, pare-feu et reverse proxy intégré. Tout cela est décrit notre politique de sécurité.
Nous utilisons sur notre GoFAST de pré-production un Web Application Vulnerability Scanner de la société leader Tenable permettant de détecter rapidement toute faille connue ce qui n’est pas le cas d’un serveur de fichiers.
Pour répondre maintenant à la question posée : Pour l’instant nous avons fait l’hypothèse que les fichiers ajoutés sur GoFAST avaient été préalablement scanné par l’antivirus à jour du poste de l’utilisateur. Les fichiers ne sont donc pas scannés lors de leur import dans GoFAST.
Ceci est néanmoins une protection supplémentaire que nous pourrions développer.
A noter que la « charge utile » est souvent véhiculée par des macros VBA dans des fichiers bureautique MS-Office, tant que les utilisateurs ne consultent que la prévisualisation aucun risque. A noter qu'il serait intéressant de voir si les macros d'Onlyoffice peut avoir la même dangerosité que celles d'Office.
Reste donc uniquement le cas, d’un utilisateur n’ayant pas un antivirus à jour qui dépose une fichier infecté sur GoFAST et que ceui-ci soit ouvert en édition par un autre utilisateur n’ayant lui aussi pas d’anti-virus à jour. Si aucun montage réseau, il n’y aura en plus aucun dommage sur l’ensemble des autres fichiers sur GoFAST.
L’utilisation de GoFAST montre donc de nombreuses protections supplémentaires par rapport à un serveur de fichiers Windows, même lorsque la sécurité de base du poste de travail est compromise.
-
Merci pour cette réponse complète.
