Face au risque d'attaques informatiques, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) distille toute une série de recommandations pour protéger les utilisateurs et entreprises durant le conflit entre l'Ukraine et la Russie.
La guerre en Ukraine génère des tensions diplomatiques inquiétantes et contamine tout le cyberespace, plus remuant que jamais et dont on redoute un embrasement à mesure que le conflit gagne en intensité. L'ANSSI, qui veut limiter la probabilité d'une cyberattaque et ses effets, a publié une liste de mesures cyber préventives prioritaires, pour mieux protéger les institutions, administrations et entreprises, ainsi que leurs utilisateurs.
L'importance d'un renforcement de l'authentification, de la supervision de sécurité et des sauvegardes
La première recommandation livrée par l'ANSSI consiste à renforcer l'authentification sur les systèmes d'information. Elle vise notamment les comptes à privilèges, comme ceux des administrateurs, qui ont accès aux ressources critiques du système d'information de l'entreprise ; ainsi que les dirigeants. Certains réflexes, comme la double authentification (mot de passe, tracé de déverrouillage, signature, jeton USB, SMS), doivent devenir systématiques, tandis que les administrateurs se voient conseiller d'activer une authentification renforcée sur leurs comptes Cloud, Active Directory ou administration d'applications.
Autre conseil livré par l'agence : accroître la supervision de sécurité. L'ANSSI recommande de mettre en place un système de supervision des événements journalisés. Celui-ci permet de détecter les compromissions et de gagner du temps dans la réaction. À défaut, centraliser les journaux des points les plus sensibles du système d'information (VPN, bureaux virtuels, contrôleurs de domaine, etc.) semble être un bon compromis. « Les alertes dans les consoles d'antivirus et EDR (Endpoint Detection and Response) doivent systématiquement être étudiées », préconise l'ANSSI.
Les sauvegardes des données sont impératives. On parle ici des données embarquées dans les serveurs, infrastructures et applications métier critiques. Pour les protéger des attaques, ces sauvegardes doivent être déconnectées du système d'information, en étant par exemple hébergées sur des disques durs externes ou des bandes magnétiques.
Lister les services critiques de l'entité et se doter d'un dispositif de gestion de crise : deux autres indispensables pour anticiper une cyberattaque
Cela peut paraître bête ou simple, mais avoir une idée certaine de ses systèmes d'information et de leur criticité est crucial. Cette vision permet de prioriser les actions de sécurisation, et de réagir face à un incident. L'ANSSI conseille aux entreprises, institutions ou organisations de mener un inventaire de leurs services numériques, puis de les lister.
Enfin, la dernière recommandation n'est aussi pas nouvelle mais ô combien importante. Lors d'une cyberattaque, bien des services peuvent tomber au sein d'une entité : messagerie, téléphonie, applications métier. Il faut pouvoir ainsi palier à une interruption partielle, voire totale de l'activité. Mieux vaut posséder une version écrite des contacts d'urgence, prestataires et services numériques à joindre en cas de pépin. Toute organisation ou entreprise doit avoir par ailleurs mis au point un plan de réponse à une attaque, soit pour assurer une continuité informatique (et donc maintenant l'activité), soit pour remettre en route les systèmes qui ont été endommagés. La restauration des systèmes et des données doit être anticipée.
Une bonne protection informatique en temps de crise extrême ne se limite pas à ces seules recommandations, évidemment. La bonne hygiène informatique dite « de base », qui passe par la sensibilisation ; la formation ; la sécurisation des postes, des réseaux, de l'administration ; ou la gestion du travail hybride, doit déjà être adoptée au sein de toutes les entités.
L'ANSSI attire l'attention sur « les outils numériques liés à la Russie »
Dans un document faisant le point sur la menace en lien avec les opérations militaires qui ont lieu sur le sol ukrainien, l'ANSSI a publié un rapport, le 2 mars, qui alerte sur l'utilisation de certains outils numériques, « notamment les outils de la société Kaspersky », évoquant le fait que l'utilisation de ces outils « peut être questionnée du fait de leur lien avec la Russie ».
S'il est rare, pour ne pas dire exceptionnel que l'ANSSI cite une entreprise en particulier, l'agence précise bien qu'« à ce stade, aucun élément objectif ne justifie de faire évoluer l'évaluation du niveau de qualité des produits et services fournis ». En d'autres termes, elle ne recommande pas la désinstallation des solutions Kaspersky et autres, qui pourrait fragiliser la protection de l'entreprise ou organisation concernée mais appelle cependant à prendre des précautions, « l’isolement de la Russie sur la scène internationale et le risque d’attaque contre les acteurs industriels liés à la Russie pouvant affecter la capacité de ces entreprises à fournir des mises à jour de leurs produits et services et donc de les maintenir à l’état de l’art nécessaire pour protéger leurs clients », poursuit l'ANSSI.
À terme, l'agence recommande tout de même à toutes les entités d'envisager une stratégie de diversification de leurs solutions de cybersécurité.
Sources : ANSSI, guide d'hygiène informatique