La crise internationale provoquée par l’invasion russe de l’Ukraine a eu des répercussions considérables au niveau du cyberespace. En effet, même si la situation en Ukraine est avant tout conventionnelle, l’ANSSI a noté l’apparition d’une salve de cyberattaques liées au contexte actuel.
Ces cyberattaques risquent d’impacter négativement plusieurs entités françaises devant être prêtes à les affronter loin de toute panique ou mesures irréfléchies.
Dans ce sens, l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information) a décidé de communiquer les bonnes pratiques de sécurité à suivre dans le but de diminuer la probabilité d’événements similaires et d’en restreindre les effets. Nous vous invitons à les re-découvrir à travers notre article !
Paysage politique mondial et cyberattaques : deux concepts relatifs malgré les apparences
Diverses cyberattaques ont été observées la veille du commencement de l’opération militaire russe contre l’Ukraine, plus précisément depuis le 23 février 2022 :
- Des attaques via déni de service distribué (DDoS) : Ces attaques ont spécialement ciblé les organismes gouvernementaux et les banques en Ukraine. De plus, des groupes de hackers reconnus mondialement ont répondu à l’appel du gouvernement ukrainien en menant des attaques par déni de service contre différentes cibles russes.
- Des “déformations” de sites Internet en Russie, en Ukraine et en Biélorussie
- Des tentatives d’intrusion et hameçonnage ciblées sur les messageries électroniques des forces armées et des organisations ukrainiennes
- Des cyberattaques utilisant des codes malveillants de sabotage
- Des exfiltrations (ou fuites) de données
Ces attaques ont actuellement des conséquences limitées. Elles peuvent néanmoins prendre pour cible les entités françaises, notamment celles dont les filiales sont localisées en Russie ou en Ukraine et sont tenues de rester vigilantes à la moindre menace.
“ L’humanité devra mettre un terme à la guerre, ou la guerre mettra un terme à l’humanité ” John Fitzgerald Kennedy
A titre d’exemple, les courriels ou spams faisant allusion à la question de l’hébergement des réfugiés ukrainiens doivent faire l’objet d’une vigilance renforcée pour éviter toute mauvaise surprise à l’avenir.
Précaution et prudence doivent être de mise
La situation actuelle a poussé plusieurs utilisateurs à se servir de certains dispositifs numériques tels que les solutions de sécurité. Cependant, leur lien avec la Russie peut pousser à se poser certaines interrogations concernant la qualité des produits et des services proposés.
Par ailleurs, l’exclusion de la Russie de la scène internationale et la menace d’attaque contre les acteurs industriels russes ont de fortes chances de bouleverser la capacité des entreprises à apporter des mises à jour de leurs produits et services.
“ Deux précautions valent mieux qu’une ” - Proverbe français
Par conséquent, il peut devenir de plus en plus difficile de maintenir un certain niveau de sécurité et de protection. Certaines précautions doivent donc être de rigueur :
- Se déconnecter provisoirement des outils de cybersécurité
- Préconiser des solutions de substitution
- Prévoir une politique de diversification des solutions de cybersécurité
Les mesures cyber préventives à suivre
Devant les éventuels rebondissements relatifs à l’état de guerre entre l’Ukraine et la Russie, l’ANSSI recommande d’opter pour la mise en œuvre de 5 mesures cyber préventives prioritaires :
- Renforcer l’authentification au niveau des Systèmes d’Information (SI) : Particulièrement ceux des administrateurs ayant accès à la totalité des ressources critiques et ceux des personnes les plus “vulnérables” de l’entité tels que les dirigeants et le personnel de direction...Il est également recommandé de mettre en place une authentification puissante dépendante de l’utilisation de deux facteurs d’authentification séparés. Pour les administrateurs, il est plus avisé de recourir à une authentification renforcée sur tous leurs comptes professionnels.
- Fortifier la supervision de sécurité : En établissant un journal contenant les événements qui se sont produits dans le système de supervision. Il permettra ainsi de repérer et de comprendre les éventuelles menaces pour intervenir plus rapidement. De leur côté, les équipes de supervision doivent être plus vigilantes en surveillant méticuleusement toutes les anomalies pouvant bloquer le bon fonctionnement du système.
- Conserver les données et les applications “sensibles” en hors ligne : Toutes les données doivent être sauvegardées régulièrement, y compris celles disponibles sur les serveurs de fichiers, d’infrastructures et d’applications métier critiques. Ces sauvegardes, du moins pour les plus critiques, doivent être déconnectées des systèmes d'information pour éviter qu'elles ne soient cryptées comme les autres fichiers. Il est également recommandé que ces sauvegardes soient mises à jour fréquemment.
- Préparer une liste de priorité des services numériques “vulnérables” de l’entité : Bien comprendre le mécanisme de ses systèmes d'information et leur importance est vital pour prioriser les mesures de sécurité et réagir efficacement lorsqu'un incident survient. Par conséquent, il est conseillé aux entités de dresser un inventaire de leurs services numériques et de les répertorier en fonction de leur sensibilité pour la durabilité des activités de l'entreprise. Les dépendances vis-à-vis des prestataires de services doivent également être déterminées avec précision.
- Veiller à la mise en place d’un système de gestion de crise pour s'adapter aux cyber-attaques : En cas de crise, les fonctions support telles que la téléphonie, la messagerie et les applications métier peuvent être momentanément indisponibles. Vient ensuite la question du passage en mode dégradé. Il faut garder en tête que les attaques se traduisent souvent par une interruption partielle de l'activité, et dans les cas les plus critiques, une interruption complète. Dans ces cas, il est particulièrement utile de mettre en place des points de contact d'urgence (y compris chez les fournisseurs de services numériques) et de vous assurer d'avoir une copie physique ou déconnectée du répertoire de contacts.
En plus de cela, les organisations doivent prédéfinir un plan de réponse à toutes les probables cyberattaques liées au système de gestion de crise visant à garantir la continuité des activités. Les plans de reprise informatique sont conçus pour restaurer les systèmes d'information défaillants et permettent la récupération des systèmes et des données.
Nous suivons de près l’actualité internationale et restons à votre disposition pour répondre à toutes vos questions via notre formulaire de contact !
Source :
https://www.ssi.gouv.fr/actualite/tensions-internationales-renforcement-de-la-vigilance-cyber/