Guerre en Ukraine : l'ANSSI prévient de possibles cyberattaques

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 03 mars 2022 à 14h25

Face au risque d'attaques informatiques, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) distille toute une série de recommandations pour protéger les utilisateurs et entreprises durant le conflit entre l'Ukraine et la Russie.

La guerre en Ukraine génère des tensions diplomatiques inquiétantes et contamine tout le cyberespace, plus remuant que jamais et dont on redoute un embrasement à mesure que le conflit gagne en intensité. L'ANSSI, qui veut limiter la probabilité d'une cyberattaque et ses effets, a publié une liste de mesures cyber préventives prioritaires, pour mieux protéger les institutions, administrations et entreprises, ainsi que leurs utilisateurs.

L'importance d'un renforcement de l'authentification, de la supervision de sécurité et des sauvegardes

La première recommandation livrée par l'ANSSI consiste à renforcer l'authentification sur les systèmes d'information. Elle vise notamment les comptes à privilèges, comme ceux des administrateurs, qui ont accès aux ressources critiques du système d'information de l'entreprise ; ainsi que les dirigeants. Certains réflexes, comme la double authentification (mot de passe, tracé de déverrouillage, signature, jeton USB, SMS), doivent devenir systématiques, tandis que les administrateurs se voient conseiller d'activer une authentification renforcée sur leurs comptes Cloud, Active Directory ou administration d'applications.

Autre conseil livré par l'agence : accroître la supervision de sécurité. L'ANSSI recommande de mettre en place un système de supervision des événements journalisés. Celui-ci permet de détecter les compromissions et de gagner du temps dans la réaction. À défaut, centraliser les journaux des points les plus sensibles du système d'information (VPN, bureaux virtuels, contrôleurs de domaine, etc.) semble être un bon compromis. « Les alertes dans les consoles d'antivirus et EDR (Endpoint Detection and Response) doivent systématiquement être étudiées », préconise l'ANSSI.

Les sauvegardes des données sont impératives. On parle ici des données embarquées dans les serveurs, infrastructures et applications métier critiques. Pour les protéger des attaques, ces sauvegardes doivent être déconnectées du système d'information, en étant par exemple hébergées sur des disques durs externes ou des bandes magnétiques.

Lister les services critiques de l'entité et se doter d'un dispositif de gestion de crise : deux autres indispensables pour anticiper une cyberattaque

Cela peut paraître bête ou simple, mais avoir une idée certaine de ses systèmes d'information et de leur criticité est crucial. Cette vision permet de prioriser les actions de sécurisation, et de réagir face à un incident. L'ANSSI conseille aux entreprises, institutions ou organisations de mener un inventaire de leurs services numériques, puis de les lister.

Enfin, la dernière recommandation n'est aussi pas nouvelle mais ô combien importante. Lors d'une cyberattaque, bien des services peuvent tomber au sein d'une entité : messagerie, téléphonie, applications métier. Il faut pouvoir ainsi palier à une interruption partielle, voire totale de l'activité. Mieux vaut posséder une version écrite des contacts d'urgence, prestataires et services numériques à joindre en cas de pépin. Toute organisation ou entreprise doit avoir par ailleurs mis au point un plan de réponse à une attaque, soit pour assurer une continuité informatique (et donc maintenant l'activité), soit pour remettre en route les systèmes qui ont été endommagés. La restauration des systèmes et des données doit être anticipée.

Une bonne protection informatique en temps de crise extrême ne se limite pas à ces seules recommandations, évidemment. La bonne hygiène informatique dite « de base », qui passe par la sensibilisation ; la formation ; la sécurisation des postes, des réseaux, de l'administration ; ou la gestion du travail hybride, doit déjà être adoptée au sein de toutes les entités.

L'ANSSI attire l'attention sur « les outils numériques liés à la Russie »

Dans un document faisant le point sur la menace en lien avec les opérations militaires qui ont lieu sur le sol ukrainien, l'ANSSI a publié un rapport, le 2 mars, qui alerte sur l'utilisation de certains outils numériques, « notamment les outils de la société Kaspersky », évoquant le fait que l'utilisation de ces outils « peut être questionnée du fait de leur lien avec la Russie ».

S'il est rare, pour ne pas dire exceptionnel que l'ANSSI cite une entreprise en particulier, l'agence précise bien qu'« à ce stade, aucun élément objectif ne justifie de faire évoluer l'évaluation du niveau de qualité des produits et services fournis ». En d'autres termes, elle ne recommande pas la désinstallation des solutions Kaspersky et autres, qui pourrait fragiliser la protection de l'entreprise ou organisation concernée mais appelle cependant à prendre des précautions, « l’isolement de la Russie sur la scène internationale et le risque d’attaque contre les acteurs industriels liés à la Russie pouvant affecter la capacité de ces entreprises à fournir des mises à jour de leurs produits et services et donc de les maintenir à l’état de l’art nécessaire pour protéger leurs clients », poursuit l'ANSSI.

À terme, l'agence recommande tout de même à toutes les entités d'envisager une stratégie de diversification de leurs solutions de cybersécurité.

Sur le même sujet :
L'escalade du conflit en Ukraine va-t-elle inexorablement causer une cyberguerre ?

Sources : ANSSI, guide d'hygiène informatique

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Cyberguerre

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (6)

Mister_Georges

Installation de FreeBsd sur tous les postes de travail, les "petits génies de l’active directory, Sccm etc… " à la photocopieuse!

C’est une révolution!

gothax

Merde tous mes PC CNRS sont sous Kaspersky (loi des marchés).
Cela veut dire que mon CNRS est Pro-Putin et anti-démocratique et tueur de petitschatsmignons ?

Tout cela est du storytelling et mérite plus de réflexion de la part de ces gens : j’ai lu la lettre communiquée par mon directeur cet aprèm, comme d’hab c’est débrouillez vous dans les laboratoires, mais dîtes bien que nous nous occupons de tout… Bien sur vous imaginez l’informaticien aller dans toutes les salles avec son CD Norton ou Avast (sic)…

troll : demain Deezer ou autres vont ils enlever les musiques classiques des compositeurs Russe du 19ème siècle ?

stratos

« elle ne recommande pas la désinstallation des solutions Kaspersky et autres, qui pourrait fragiliser la protection de l’entreprise ou organisation concernée mais appelle cependant à prendre des précaution »

Donc personne dit que tout va peter demain, mais ca pose des questions sur les logiciels et les appels d’offres. J’ai bossé au CNRS et les PC n’avait pas kaspersky justement pour ça, maintenant si votre site a kaspersky il faut voir pour les mois ou années futurs si le gouv russe reste le même.
Pour les server ça peut se faire « rapidement », et après les PC personnels c’est pas forcément compliqué, ça prend du temps mais c’est le taff, chacun a son taff

gothax

Les serveurs sont sous du microsoft c’est pas mieux, nos documents sont sous du sharepoint c’est pire ! mais le pompon c’est Thalles qui héberge notre messagerie qui est du hotmail ou officemachintruc. Un tueur de Yéménites qui héberge un Trojan.

Je te confirme que le marché avant septembre 2021 était chez Kaspesky et dans certains labo aussi Tu imagines avant on avait Sophos qui un jour avec une mise à jour windows faisait redémarrer les pc en boucle.
Je suis au CNRS depuis 23 ans et je peux te dire que toutes nos datas partent gentillement au USA sous les pleurs des DSI.
Dernière chose en date : Zoom ! Interdit par les DSI et autorisé par les feignasses de directeurs et administratifs.
En France on est des minus, on protège rien !

EnLighter

Honnêtement, je pense qu’il vaut mieux évaluer la capacité de détection heuristique de Kaspersky par rapport aux autres produits du marché avant de se demander s’il faut le désinstaller ou le remplacer.

Car il me semble que les grosses nouveautés vont de toute façon faire l’objet de mises à jour malgré le contexte.

SauPhi

Et Orange qui vend son antivirus en abonnement qui n’est qu’un Kaspersky décoloré de vert en orange, C’est toujours le cas ?