Infection virus ou Malware

Home / Fiches reflexes / Infection virus ou Malware
  • 31 octobre 2023
  • 2mins read

Caractéristiques

Une infection virale  ou un malware est un programme malveillant qui été chargé sur le système d’information et qui peut endommager les données ou dégrader son fonctionnement. Tout comme une infection virale naturelle, un virus vise à se répandre pour infecter les pluparts des machines.

Situations possibles

Les machines ont comportements étranges

Les machines sont très lentes

Un employé a utilisé une clé USB personnelle contaminée

Un employé a ouvert une pièce jointe de courrier contaminée

Stratégie de réponse

  1. Qualification
  • Analyse les symptômes pour identifier le virus, ses vecteurs de propagation et des Notifier le RSSI. Contacter le CERT si nécessaire. Déterminer le périmètre de l’infection (Globale, limitée à une filiale …) Si possible, identifier l’impact métier de l’infection
  1. Confinement
  • Déconnecter le domaine infecté le domaine infecté d’internet
  • Isoler le domaine le domaine infecté
  • Déconnecter de tout réseau
  • Si du trafic critique pour le métier ne peut pas être déconnecté, l’autoriser après avoir vérifié qu’il ne peut pas être un vecteur d’infection ou trouver des techniques de contournement validées. Neutraliser les vecteurs de propagation.
  • Répéter les étapes 2 à 4 sur chaque sous domaine du domaine infecté jusqu’à ce que le virus arrête de se propager. Si possible, contrôler l’infection en utilisant des outils d’analyse (console d’antivirus, journaux de serveurs, appels d’assistance)

Un vecteur de propagation peut aller d’un trafic réseau à un défaut applicatif. Des contremesures efficaces doivent être appliquées, Par exemple, utiliser : un outil de déploiement de patch(WSUS), des règles de pare-feu, des procédures opérationnelles … Attention : Certains virus peuvent bloquer certaines méthodes de remédiation. Si cela se produit, une solution de contournement doit être trouvée

  1. Remédiation (Correction)
  • Identifier des outils et des méthodes de remédiation : tenir compte des correctifs des éditeurs (Microsoft, Oracle…) de base de signature de virus de l’antivirus, des contacts avec un support externe, des sites web de sécurité.
  • Définir un processus de désinfection. Le processus doit être validé par une structure externe, comme le CERT par exemple. Tester le processus de désinfection et s’assurer qu’il fonctionne correctement sans endommager de services. Déployer l’outil de désinfection. Plusieurs options peuvent être utilisées : Windows WSUS, GPO, le déploiement de signature de virus, la désinfection manuelle

La majorité  des attaques par « malware » sont dues à un défaut de mise à jour du logiciel antivirus et du système d’exploitation de l’ordinateur

En veillant qu’ils soient en permanence à jour vous limitez grandement le risque de contamination

Cas des Ransomware et des cryptolocker : Après avoir chiffré les données, ces attaques débouchent sur des demandes de rançon. Généralement, il ne faut pas payer car votre chance de récupérer vos données reste très faible d’autant plus que le virus ancien.

Attention : ce type de malware sont au départ des logiciels silencieux qui prennent leur temps pour chiffrer les données les sauvegardes inclues et qui s’activent lorsque toutes les données sont chiffrées.

Assistance en cas de problème

  • Veuillez-vous faire assister par un prestataire CYBERSECURITE local que vous aurez préalablement identifié.
  • Contacter vos correspondants « infrastructure et sécurité » qui vous apporteront leurs assistances et compétences pour traiter l’incident

Leave feedback about this

  • Quality
  • Price
  • Service
Choose Image