Tensions internationales : l’ANSSI préconise 5 mesures de cyberprévention

Authentification renforcée, supervision de la sécurité, sauvegardes hors ligne des données, listage des services numériques critiques, gestion de crise cyber… l’Agence nationale de la sécurité des systèmes d'information rappelle les principales mesures à prendre dans le cadre d’une démarche de cybersécurité globale à long terme.

À peine deux jours après le début de l’offensive éclair de la Russie sur l’Ukraine, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a sorti un mini guide pour aider les organisations à se prémunir d’éventuelles cyberattaques. À cet égard, les chercheurs en cybersécurité de Proofpoint alertent sur une activité cyber importante, soutenue par l’État Biélorusse, qui vise des membres de gouvernements européens impliqués dans la gestion des flux de réfugiés fuyant les zones de conflits Russo-Ukrainien. Selon l’éditeur, cette activité proviendrait du groupe TA445 (Ghostwriter / UNC1151) opérant en Biélorussie. Lequel a été impliqué dans de larges campagnes de désinformation pour manipuler le sentiment européen face aux mouvements de réfugiés au sein de l’OTAN… Dans ce contexte, la mise en œuvre des mesures de cybersécurité et le renforcement du niveau de vigilance sont essentielles afin de garantir la protection au bon niveau des organisations dans le cadre d’une démarche de cybersécurité globale à long terme.

Renforcer l’authentification pour l’accès au SI

Afin de réduire le risque d’une cyberattaque, l’ANSSI recommande de renforcer l’authentification des comptes particulièrement exposés. « Notamment ceux des administrateurs qui ont accès à l’ensemble des ressources critiques du système d’information et ceux des personnes exposées de l’entité (personnel de direction, cadres dirigeants, etc.) », indique le guide de l’ANSSI. Il est ainsi vivement conseillé de mettre en œuvre une authentification forte nécessitant l’utilisation de deux facteurs d’authentification différents. Par exemple un mot de passe, un tracé de déverrouillage ou une signature. Ou un support matériel (carte à puce, jeton USB, carte magnétique, RFID), voire, a minima, un autre code reçu par un autre canal comme le SMS. Pour les administrateurs, l’activation d’une authentification renforcée doit se faire sur l’ensemble de leurs comptes : Microsoft Active Directory, administration d’applications, cloud, etc.

Accroître la supervision de la sécurité

L’Agence nationale de la cybersécurité préconise de mettre en place un système de supervision journalisée des événements qui aidera à détecter une éventuelle compromission et à réagir le plus tôt possible. En cas d’incident, cette journalisation des points les plus sensibles du système d’information sera particulièrement précieuse lorsque l’organisation ne dispose pas d’une supervision globale de la sécurité. Il faudra alors lister les points d’entrée VPN, les bureaux virtuels, les contrôleurs de domaine ou encore les hyperviseurs. « Le renforcement de la vigilance des équipes de supervision est indispensable, en investiguant les anomalies susceptibles d’être ignorées en temps normal », rappelle le guide de l’ANSSI. Notamment dans les environnements de Microsoft Active Directory où les connexions anormales sur les contrôleurs de domaine doivent être inspectées. Les alertes dans les consoles d’antivirus et systèmes de protection des terminaux (EDR) concernant des serveurs sensibles doivent également être systématiquement étudiées. Pour les entités qui en ont la capacité, l’accélération des déploiements d’outils donnant de la visibilité sur l’état de sécurité des systèmes d’information (Sysmon, EDR, XDR) est également préconisée.

Sauvegarder hors ligne les données et applications critiques

Autre nécessité : sauvegarder régulièrement l’ensemble des données. Y compris celles qui sont présentes sur les serveurs de fichiers, d’infrastructures et d’applications métier critiques. Ces sauvegardes, au moins pour les plus critiques, doivent être déconnectées du système d’information afin de prévenir leur chiffrement éventuel par un rançongiciel. L’usage de solutions de stockage à froid, comme des disques durs externes ou des bandes magnétiques, contribue à protéger les sauvegardes d’une infection des systèmes et de conserver les données critiques à la reprise d’activité.

Lister les services numériques critiques

Avoir une vision claire de ses systèmes d’information et de leur criticité est essentiel afin d’établir les priorités dans les actions de sécurisation ainsi que pour réagir efficacement en cas d’incident. Dans cette perspective, il convient d’associer les métiers afin de réaliser un inventaire de leurs services numériques à utiliser et d’en qualifier le degré de criticité pour assurer la continuité d’activité de l’entreprise. Les dépendances vis-à-vis de prestataires doivent également être identifiées.

Gestion de crise

Une cyberattaque peut avoir un effet déstabilisateur sur les organisations. Les fonctions support comme la téléphonie, la messagerie mais aussi les applications métier peuvent être mises hors d’usage. Il s’agit alors de passer en fonctionnement dégradé. Dans certains cas, cela signifie revenir au papier et au crayon. L’attaque cause en général une interruption d’activité partielle et, dans les cas les plus graves, une interruption totale. Définir des points de contact d’urgence, y compris chez les prestataires de services numériques et s’assurer d’avoir les numéros en version papier est particulièrement utile dans ces situations. En clair, il s’agit pour les organisations de définir un plan de réponse aux cyberattaques associé au dispositif de gestion de crise – quand il existe – visant à assurer la continuité d’activité, puis son retour à un état nominal. La mise en œuvre d’un plan de continuité informatique doit aider l’organisation à fonctionner lorsque survient une altération plus ou moins sévère du système d’information. Le plan de reprise informatique vise, quant à lui, à remettre en service les systèmes d’information qui ont dysfonctionné. Il doit notamment prévoir la restauration des systèmes et des données.

Erick Haehnsen

 

Pour aller plus loin

L’ANSSI recommande fortement de s’assurer que soient mises en place les « mesures d’hygiène informatique », essentielles qui sont présentées dans son guide éponyme.

L’Agence conseille également de suivre avec attention les alertes et les avis de sécurité émis par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), disponibles sur son site: https://www.cert.ssi.gouv.fr/.

Enfin, elle préconise les organisations de se préparer à la gestion de crise cyber en appliquant les recommandations émises dans ses guides Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique et Anticiper et gérer sa communication de crise cyber.