En réponse à l'évolution du conflit russo-ukrainien, plusieurs agences gouvernementales ont publié des recommandations pour renforcer la cybersécurité. C’est le cas de l’Anssi (agence nationale de la sécurité des systèmes d’information) en France qui vient de rendre un rapport sur l’état de la menace et les bonnes pratiques à adopter. Aux Etats-Unis, la CISA (Cybersecurity and Infrastructure Security Agency) a récemment publié un avis intitulé Shields Up. L'agence rappelle que « au cours de la dernière décennie, le gouvernement russe a utilisé le vecteur cyber comme élément clé de sa réponse militaire » et elle prévient que la Russie pourrait envisager des actions visant à perturber l'extérieur de l'Ukraine. Alors, que faut-il faire pour protéger son entreprise ? Inutile de se précipiter et d'apporter des changements radicaux à son réseau. Mieux vaut profiter de ces événements pour faire un audit de l’état du réseau et programmer des changements futurs. Voici quelques-unes des actions à entreprendre, selon les deux agences :
Revoir et mettre à jour ses plans de réponse aux incidents
Il est important de passer en revue la planification des réponses aux incidents (IRP). Ces plans sont-ils à jour ? Prennent-ils en compte les dernières cyberattaques destructives menées par la Russie contre l’Ukraine ?
Renforcement des solutions et services de sécurité
Le guide intitulé « Hardening to Protect Against Destructive Attacks » (« Renforcement pour se protéger contre les attaques destructrices ») publié par l’entreprise de sécurité Mandiant contient de nombreux conseils qui méritent l’attention. Mandiant et la CISA recommandent en premier lieu aux entreprises d’examiner tous les accès distants de leur réseau et de mettre en place une authentification multifactorielle (MFA). Personne ne devrait pouvoir se connecter à distance sans une modalité d'authentification supplémentaire, en plus du mot de passe, soit via une application à deux facteurs, soit à l’aide d’un jeton qui fournit un code à saisir.
Même conseil de la part de l’Anssi qui prône une authentification forte nécessitant l’utilisation de deux facteurs d’authentification différents soit :
- un mot de passe, un tracé de déverrouillage ou une signature
- un support matériel (carte à puce, jeton USB, carte magnétique, RFID) ou a minima un autre code reçu par un autre canal (SMS).
Exploiter des sources externes d'informations sur les menaces
Que ce soit à l’aide d’un outil partagé entre collègues sur un forum ou une session de chat, il est important de partager des informations et d’échanger des conseils entre personnes ou communautés de confiance en privilégiant les informations spécifiques à son secteur d'activité. Len entreprises qui ne disposent pas de ce type de ressources peuvent s’informer via des canaux gouvernementaux comme Infragard aux États-Unis, et vers la ressource locale de sécurité informatique de leur pays. En France, ce rôle est assuré par l’Agence nationale de la sécurité des systèmes d'information (ANSSI). Les conseils et les informations du CISA, de l'Australian Cyber Security Centre et de l'UK National Cyber Security Center, pour ne citer que ceux-là, offrent également des ressources accessibles à tous.
Évaluer les risques de la connectivité Internet et réseau
Les entreprises qui se trouvent dans une zone à risque doivent se préoccuper de la sécurité de leur connectivité Internet et réseau. Selon plusieurs rumeurs, des banques et des entreprises ont été ciblées par des attaques en Ukraine. N’oublions pas que l'attaque par ransomware Maersk visait à l’origine les entreprises ukrainiennes. En juin 2017, NotPetya avait également ciblé des entreprises en Ukraine, s'en prenant spécifiquement aux institutions gouvernementales, financières et énergétiques.
Étudier les risques liés aux liens des entreprises et des infrastructures avec la Russie
Si l'un des déploiements dans le cloud de l’entreprise se fait sur des serveurs en Russie, celle-ci peut envisager de déplacer ses données vers un autre datacenter. Et si une entreprise utilise les services de développeurs de logiciels ou d’un support informatique basé en Russie ou dans des pays environnants, elle devrait aussi en évaluer l'impact sur son réseau, et s’interroger sur des alternatives éventuelles.
Rattraper son retard en matière de correctifs
Plusieurs campagnes de correctifs se sont succédées ces derniers mois, correctifs que certaines entreprises ont peut-être omis d’appliquer. Un passage en revue des vulnérabilités exploitées connues, en particulier celles identifiées et listées par la CISA, permet de s’assurer au minimum que ces correctifs ont été appliqués. Configurer son pare-feu en limitant l'accès aux seuls sites et lieux qui ont réellement besoin de se connecter au réseau de l’entreprise fait aussi partie des bonnes pratiques. Pour les services cloud, la tâche peut s’avérer plus complexe, mais pour les serveurs sur site qui ne fournissent pas de services à tous, le filtrage des accès selon des profils personnalisés constitue une bonne parade. Une limitation de l'accès du contrôleur de domaine à ceux qui ont vraiment besoin de se connecter au site est également une parade efficace.
Remonter la sécurité dans Microsoft 365
L’enregistrement de toutes les informations qui pourront fournir des renseignements utiles en cas d'attaque fait aussi partie des recommandations. Une entreprise à haut risque disposant d’un abonnement Microsoft 365 peut activer l'abonnement de sécurité E5 plus élevé pour certains de ses utilisateurs, mais pas nécessairement pour tous. Les offres Microsoft 365 permettent aussi de mettre en place une journalisation, une investigation et une protection supplémentaires pour des utilisateurs spécifiques.
Tester les processus de sauvegarde et de restauration
En cas de restauration de ses systèmes, l’entreprise doit savoir si elle pourra restaurer un grand nombre de services en même temps. Pour cela elle doit disposer d’une liste de contrôle précisant toutes les étapes de la restauration. Il est préférable de tester à l’avance son processus de restauration. Estimer le temps qu'il faut pour restaurer un seul serveur et l'ensemble du réseau peut fournir un autre indicateur intéressant à l’entreprise.
L’Anssi ajoute dans ces recommandations des sauvegardes régulières de l’ensemble des données, y compris celles présentes sur les serveurs de fichiers, d’infrastructures et d’applications métier critiques.
Préparer le personnel IT et de sécurité à la gestion de crise
L’entreprise a tout intérêt à préparer son personnel IT à ce type d’évènement. La pandémie avait déjà mis de nombreuses ressources IT à rude épreuve, avec parfois des réductions dans les budgets. Il est important d’estimer l’état de ces ressources et la préparation du personnel sur les plans de réponse aux incidents pour réévaluer ses priorités. Quelle que soit sa taille, l’entreprise a tout intérêt à savoir de quelles options et de quelles ressources elle dispose.
Elle peut profiter de ce contexte pour faire des simulations et s’assurer qu’elle est prête à faire face aux risques. Des jeux de carte comme « Backdoors and Breaches », de l’éditeur Black Hills, permettent de générer des risques types et de tester les réactions à ces problèmes. Ces jeux permettent à l’entreprise de tester des scénarios réalistes, par exemple l'ingénierie sociale, la compromission de serveurs Web et le bourrage d’identifiants. Le gardien français rappelle des règles de bon sens. « Définir des points de contact d’urgence, y compris chez les prestataires de services numériques et s’assurer d’avoir les numéros en version papier est particulièrement utile dans ces situations ».
Évaluer les faiblesses du réseau
L’entreprise doit analyser son réseau externe et identifier ses faiblesses. Pour cela, elle peut faire appel à une équipe de pentesteurs ou à un consultant externe. Aux États-Unis, une entreprise qui travaille pour une administration fédérale, d’un état, locale, tribale ou territoriale, ou une entreprise d'infrastructure critique des secteurs public et privé, peut profiter gratuitement des services d'évaluation de la cybersécurité du CISA. Sinon, toute entreprise peut au minimum identifier les risques auxquels elle est potentiellement exposée à l’aide de moteurs de recherche publics capables d’identifier les vulnérabilités dans un réseau externe. Avec des outils comme Shodan et Censys, il est possible de savoir à quelles informations du réseau les attaquants ont accès.
Il est important pour chaque entreprise de passer en revue les risques auxquels elle est exposée et de savoir où se trouvent ses faiblesses. Les attaques complexes commencent souvent par une simple faille qu’un attaquant peut utiliser ensuite pour se faufiler, effectuer des mouvements latéraux, enquêter et attendre le bon moment pour lancer son attaque.
Commentaire