Les entreprises et institutions doivent se préparer aux menaces éventuelles en faisant un bilan complet de leurs outils et pratiques de défense numérique. L’occasion de les compléter pour limiter les impacts d’une attaque dans une démarche de long terme de cybersécurité globale.
La guerre physique sur les terrains d’opération militaires se double aujourd’hui d’une cyberguerre qui fait appel à des hackers mandatés par les gouvernements ou faisant partie de groupes indépendants comme Anonymous. L’offensive numérique russe a déjà fait ses premières victimes, une dizaine de milliers d’abonnés français et européens au réseau satellitaire Viasat opéré par Nordnet n’ayant plus accès à internet. Dans le camp des adversaires de la Russie, plusieurs cyberattaques de type déni de service (Ddos),revendiquées par Anonymous, ont pris pour cible de nombreux sites officiels en Russie, dont celui du Kremlin, de la chambre basse du Parlement russe et du ministère de la défense. Ces attaques ont aussi concerné des opérateurs téléphoniques ou des médias.
Face à ces menaces, les services gouvernementaux nationaux sont en ordre de bataille. En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) préconise la mise en œuvre de 5 mesures préventives prioritaires.
Il s’agit d’abord du renforcement de l’authentification sur les systèmes d’information. L’agence conseille vivement de mettre en œuvre une authentification forte nécessitant l’utilisation de
deux facteurs d’authentification différents. Soit, un mot de passe, un tracé de déverrouillage ou une signature. Soit, encore, un support matériel (carte à puce, jeton USB, carte magnétique, RFID) ou a minima, un autre code reçu par un autre canal (SMS).
Côté administrateurs, l’activation d’une authentification renforcée doit se faire sur l’ensemble des comptes : Active Directory, administration d’applications, cloud, etc.
La sauvegarde régulière hors-ligne, pilier des politiques préventives de cybersécurité
Le deuxième conseil de l’Anssi repose sur la supervision des évènements journalisés. Dans les environnements Active Directory, les connexions anormales sur les contrôleurs de domaines doivent être analysées. Parmi les points sensibles figurent les accès au VPN, les bureaux virtuels, ou les hyperviseurs. Quand c’est possible, il faut faire un bilan e sécurité du SI avec les outils Sysmon, Edr ou Xdr,
En troisième lieu, il faut effectuer les sauvegardes régulières de l’ensemble des données, y compris celles présentes sur les serveurs de fichiers, d’infrastructures et d’applications métier critiques.
Pour les données critiques critiques, la déconnexion entre le système actif d’information et les solutions de stockage sur disques durs externes ou bandes magnétiques, est fortement recommandée pour éviter leur chiffrement. Bien entendu, l’actualisation des sauvegardes doit être fréquente.
Il importe également d’avoir un état des lieux précis et hiérarchisé des données sensibles pour l’entreprise en consultant tous les responsables métiers. Les dépendances vis-à-vis des prestataires ne doit pas être oubliée.
Le dernier conseil concerne la présence d’un plan de crise qui permet la reprise progressive de l’activité. Lors d’une attaque sévère, la plupart des services du SI fonctionnent en mode dégradé ou pire, supposent l‘usage du papier et du crayon. Il faut définir des points de contact d’urgence, y compris ceux des prestataires de services numériques
Le plan de reprise informatique vise, notamment, à prévoir la restauration des systèmes et des données. D’où l’intérêt majeur de disposer de sauvegarde à jour, ce qui n’est pas toujours le cas dans les entreprises et institutions. Les conseils détaillés de l’Anssi en date du 26 février 2022.