Guerre Russie Ukraine : 5 mesures préventives contre une cyberattaque

CreditPhotoPixabay CadreDirigeantMagazine

Face à d’éventuels effets numériques liés au conflit entre l’Ukraine et la Russie, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) préconise la mise en œuvre de 5 mesures préventives prioritaires à appliquer sur vos systèmes informatiques.

Renforcez la sécurité globale en temps de crise

Les 5 mesures prioritaires préconisées par l’ANSSI visent à :
– renforcer l’authentification sur les systèmes d’information
– accroître la supervision de sécurité
– sauvegarder hors-ligne les données et les applications critiques
– établir une liste priorisée des services numériques critiques de l’entreprise
– s’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque

Si ces mesures sont à appliquer à court terme, l’ANSSI rappelle qu’elles s’inscrivent dans une vision long terme et une démarche globale de protection de l’entreprise.

1 – Renforcez l’authentification des comptes

Cette action est indispensable, rappelle l’ANSSI, et urgente, notamment sur les comptes les plus sensibles.
Les comptes les plus sensibles sont ceux dont les administrateurs ont accès à l’ensemble des ressources (pas d’accès limité), ainsi que les comptes utilisés par les personnes les plus exposées de l’organisation (organe de direction, cadres dirigeants…). Il est ainsi recommandé de prioriser la mise en place d’une authentification forte sur ces comptes, ce qui correspond à l’utilisation de deux facteurs d’authentification :
– Un mot de passe, tracé de déverrouillage ou une signature
– Un support matériel de type carte à puce, jeton USB ou carte magnétique ou a minima une demande de code sur un autre support (un code SMS, par exemple)

2 – Augmentez la supervision de sécurité

L’ANSSI préconise une supervision de sécurité journalière, a minima sur les points d’entrée dans les systèmes d’information (points d’entrée VPN, bureaux virtuels, contrôleurs de domaine…). Les équipes dédiées à la supervision doivent traiter toute anomalie et connexion anormale, même bénignes, ainsi que les alertes dans les consoles d’antivirus.

Pour les organisations qui en ont la capacité, l’accélération des déploiements d’outils de visibilité sur l’état de sécurité des systèmes d’information est préconisée (Sysmon, EDR, XDR).

3 – Faites des sauvegardes hors-ligne des données et des applications sensibles

Toute entreprise réalise aujourd’hui des sauvegardes quasi quotidiennes des données issues de ses systèmes et infrastructures. Pour une sécurité maximum, l’ANSSI préconise de réaliser ces sauvegardes de manière déconnectée du système d’information, a minima pour les données les plus critiques et les plus importantes pour la continuité de l’activité. Pour cela, vous pouvez simplement utiliser des disques durs externes ou des bandes magnétiques.

En conservant vos données importantes hors ligne, l’activité pourra continuer normalement malgré une attaque. Évidemment, l’actualisation des sauvegardes doit être quasi quotidienne pour qu’elle soit efficace en cas d’attaque.

4 – Listez les services numériques critiques de l’entreprise avec les priorités

Pour développer les mesures 1, 2 et 3, l’ANSSI rappelle que l’entreprise doit avoir une vision nette de ses différents systèmes d’information avec leur niveau de criticité / dangerosité.

Il est donc essentiel que l’organisation fasse l’inventaire de tous ses systèmes, outils digitaux et applications, service par service, établissement par établissement. Elle pourra ensuite classifier les outils selon leur sensibilité pour agir méthodiquement. Les éventuelles dépendances vis-à-vis des prestataires doivent également être identifiées.

5 – Assurez-vous de l’existence d’un dispositif de gestion de crise

Définir des points de contact en cas d’urgence, y compris chez les prestataires de services numériques et avoir les numéros et codes à proximité et en version papier, sont des démarches utiles pour pouvoir agir rapidement et efficacement en cas d’urgence.
L’objectif premier est de définir un protocole d’urgence permettant d’assurer la continuité de l’activité en cas de cyberattaque. Le stade au-dessus est de définir un plan de réponse à une cyberattaque.

Enfin, un plan de reprise informatique doit être pensé par les équipes techniques pour pouvoir remettre en service les systèmes d’information qui ont dysfonctionné et la restauration des systèmes et des données.

Rappel de l’ANSSI (Autorité nationale en matière de sécurité et de défense des systèmes d’information).

Une cyberattaque peut avoir un effet déstabilisateur sur les organisations. Les fonctions support comme la téléphonie, la messagerie, mais aussi les applications métier peuvent être mises hors d’usage. L’objectif est d’éviter à tout prix le fonctionnement dégradé de l’activité. L’organisation doit être en mesure de continuer son exploitation, y compris parmi les services supports, malgré une altération de son système d’information.
Pour lire les recommandations de l’ANSSI
L’ANSSI propose également un guide d’hygiène informatique très bien conçu pour la mise en place d’un système sécurisé dans votre entreprise pour lire le Guide d’Hygène Informatique 

La cybercriminalité en chiffres

La plateforme officielle d’assistance aux victimes de piratage Cybermalveillance.gouv a vu sa fréquentation augmenter de 155 % en un an. Un peu plus de 105 000 personnes sont venues y chercher assistance en 2020 (dernier recensement officiel).
10 % des victimes étaient des entreprises et associations et 2 % des collectivités et des administrations. En 2021, le coût mondial de la cybercriminalité a été évalué à 6 milliards de dollars.
Les tendances principales du piratage informatique sont :
– l’hameçonnage (phishing)
– le piratage de comptes en ligne
– l’arnaque au faux support
– le rançongiciel

L’hameçonnage (phishing) : le cybercriminel se fait passer pour un organisme officiel en utilisant le logo et l’adresse email de l’organisme (Banque, service des impôts…).
Le piratage de comptes en ligne : le cybercriminel entre dans vos comptes et votre Cloud.
Les arnaques aux faux supports techniques : vous recevez un e-mail ou vous voyez carrément apparaître un message qui bloque votre ordinateur, indiquant un problème technique grave et un risque de perte de données ou de l’usage de l’équipement afin de vous pousser à contacter un prétendu support technique officiel (Microsoft, Apple, Google…).
Les rançongiciels : cela consiste à bloquer tous vos systèmes avec une demande de rançon. C’est la première cause de recherche d’aide par les entreprises auprès de la plateforme cybermalveillance.gouv.

Source : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/rapport-activite-2020

Christelle Ibach, Rédactrice pour Cadre Dirigeant Magazine, Strasbourg: Christelle Ibach, dirigeante d’une agence éditoriale spécialisée dans l’actualité fiscale, la finance et la gestion, correspondante pour la presse écrite et fondatrice du web média Tendance Entreprise, elle s’intéresse de près à l’entrepreneuriat et aux nouveaux modèles économiques.