Quand trop de sécurité empêche d'utiliser les PC (et probablement les serveurs windows aussi équipés)... Et cela à un période de vacances où les services informatiques ne sont pas au complet. Les entreprises ou administrations touchées doivent être ravies.
Pour aller plus loin, les EDR ont la réputation de pouvoir facilement bloquer, si ce n'est le système, au moins des applications légitimes, qui ont parues suspectes à l'EDR. Celui-ci est souvent basé sur des signatures des applications à qui il fait confiance.
C'est pourquoi, au moins au début de son installation, il est mis en mode détection, et pas 'Response' (blocage). Il est arrivé à plusieurs reprises, que par exemple des hôpitaux aient bien eu un EDR, mais aient été victime d'un ransomware, car l'EDR avait bien détecté le ransomware, la nuit de samedi à dimanche à 3h du matin...., mais ne l'avait pas bloqué.
C'est par exemple ce qui était arrivé à l'hôpital de Versailles, André Mignot, en Décembre 2022 :
...
Selon nos sources, l’hôpital André Mignot est équipé d’un système de détection et de réponse sur les hôtes (EDR, Endpoint Detection and Response), serveurs et postes de travail. Et celui-ci, signé Cybereason, aurait bien détecté des signaux trahissant l’attaque en cours – sans qu’il nous ait été précisé à quel stade de celle-ci la détection avait commencé.
L’outil lui-même n’est pas supervisé en interne par les équipes informatiques de l’hôpital, mais par un prestataire de services managés. Selon nos informations, l’EDR était configuré pour générer des alertes et pas pour bloquer les activités suspectes observées. Ce qui suggérerait un déploiement relativement récent : en début d’adoption de ce genre d’outil, il est souvent préféré – sinon recommandé – d’attendre, afin d’activer les capacités de blocage et éviter les erreurs ainsi que leur impact sur les activités des métiers.
...
https://www.lemagit.fr/actualites/252528032/Cyberattaque-au-centre-hospitalier-de-Versailles-la-piste-dun-usurpateur-de-LockBitIl y a eu également le cas d'antivirus traditionnels dont la mise à jour avait entrainé des blocages des PCs.