5 recommandations cyber pour se préparer à d’éventuels incidents liés aux tensions internationales en cours

5 recommandations cyber pour se préparer à d'éventuels incidents liés aux tensions internationales en cours
Maxime ALAY-EDDINE
février 28, 2022

Les autorités ont publié des recommandations simples pour limiter le risque cyber face aux tensions internationales en cours

Les tensions internationales actuelles engendrent un risque accru d’attaque informatique sur les entreprises et administrations en France.

Afin d’aider les entreprises et services publics à se prémunir d’éventuelles cyberattaques liées à l’actualité, les autorités ont publié plusieurs recommandations à appliquer dès que possible pour améliorer son niveau de sécurité informatique.

Cyberwatch vous propose ici des éléments détaillés sur la mise en oeuvre de ces recommandations.

L’ANSSI recommande d’appliquer 5 mesures préventives portant sur l’authentification, la supervision, la sauvegarde, la cartographie, et la gestion de crise

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié le 26 février 2022 le guide « Mesures cyber préventives prioritaires », qui contient 5 recommandations à appliquer dès que possible.

Ces recommandations portent sur :

  • l’implémentation de l’authentification dite « forte », qui fait intervenir 2 facteurs différents comme un mot de passe et un code reçu par SMS ou généré par une clé physique ;
  • la surveillance des évènements de sécurité via une supervision renforcée, à base de dispositifs comme des IDS, IPS, et EDR ou XDR ;
  • la sauvegarde des données, de sorte à faciliter l’exécution d’un Plan de Reprise d’Activité (PRA), en veillant à mettre ces sauvegardes hors-ligne pour les systèmes les plus sensibles, de sorte à les isoler d’une attaque par ransomware ;
  • la cartographie des actifs, afin d’identifier les éléments les plus importants du système d’information ;
  • la mise en place d’une cellule de gestion de crise capable de réagir en cas d’attaque informatique et de piloter la reprise et la continuité de l’activité de l’entreprise, y compris en cas de dégradation des outils numériques.

Recommandation cyber #1 : déployer l’authentification forte sur son système d’information

Le déploiement d’une authentification forte et à deux facteurs est grandement facilitée si votre entreprise dispose d’un système de fédération d’identité.

Dans le cas d’une authentification avec fédération d’identité, les points à vérifier sont :

  • l’activation obligatoire de l’authentification à deux facteurs, au moins par SMS pour l’ensemble des collaborateurs, et idéalement avec une clé physique pour les comptes à privilèges ;
  • l’utilisation obligatoire de l’authentification fédérée pour les applications professionnelles, en ciblant en priorité les applications les plus importantes de l’entreprise.

Vous trouverez ci-dessous quelques liens utiles pour les outils de gestion des identités les plus utilisés sur le marché :

Recommandation cyber #2 : mettre en place une supervision de ses évènements de sécurité

La supervision des évènements de sécurité passe par l’activation de l’enregistrement de certains journaux systèmes et réseaux.

La règle 36 du Guide d’hygiène informatique de l’ANSSI préconise ainsi de surveiller les évènements suivants :

  • évènements des pares-feux : paquets bloqués ;
  • évènements systèmes et applicatifs : authentifications et autorisations, en échec et en succès, arrêts inopinés ;
  • évènements générés par des services : erreurs de protocoles (erreurs 403, 404, 500 pour les services HTTP), entêtes HTTP et SMTP…

Sur les environnements Linux, l’ANSSI propose dans son guide « Recommandations de sécurité relatives à un système GNU / Linux » d’utiliser auditd pour configurer les évènements de sécurité à générer, et d’utiliser syslog et les courriels pour leur transmission.

Pour les environnements Windows, l’ANSSI fournit de nombreuses préconisations dans son guide « Recommandations de sécurité pour la journalisation des systèmes Microsoft Windows en environnement Active Directory ». Cyberwatch recommande tout particulièrement de consulter et implémenter les annexes B et C de ce document.

Notre solution Cyberwatch Compliance Manager permet notamment de contrôler la mise en place de règles de ce type, sur la base d’éléments fournis par le Center for Internet Security.

Pour la surveillance réseau, des solutions de type IDS / IPS sont disponibles et génèrent des évènements en cas de trafic suspect, comme Crowdsec sous forme d’agents, ou Gatewatcher sous forme de sonde réseau. Les pares-feux comme Stormshield et systèmes proxy comme Olfeo proposent aussi des systèmes de surveillance du trafic.

Enfin, certaines solutions spécifiques aident aussi à identifier d’autres évènements sur des zones précises du système d’information, comme IDECSI pour la surveillance de la messagerie, ou Vade pour les courriels malveillants.

Recommandation cyber #3 : mettre en place un dispositif de sauvegarde

Un bon système de sauvegarde informatique permet de minimiser la perte d’exploitation d’une organisation, notamment en cas d’attaque par ransomware.

La règle 37 du Guide d’hygiène informatique de l’ANSSI recommande de « Définir et appliquer une
politique de sauvegarde des composants critiques ».

Une politique de sauvegarde repose notamment sur les informations suivantes :

  • la liste des informations essentielles pour la survie de l’organisation ;
  • la liste des actifs concernés par ces données essentielles ;
  • les types de sauvegardes à réaliser, avec leur fréquence.

De plus, une politique de sauvegarde est incomplète si elle ne contient pas de procédures régulières de tests de restauration : il arrive en effet que des sauvegardes ne puissent pas être exploitées, pour cause de corruption. Seuls des tests réguliers permettent de contrôler ce point et de limiter ce risque.

Des solutions de sauvegarde existent, tant dans le milieu Open Source que commercial, comme Atempo Wooxo avec Tina, ou Bacula.

Des dispositifs Cloud sont aussi disponibles avec OneDrive.

Une fiche complète d’aide au déploiement d’un système de sauvegarde est disponible sur le site de Cybermalveillance.gouv.fr.

Recommandation cyber #4 : cartographier ses actifs, qu’ils soient exposés ou non à Internet

La cartographie des actifs peut se faire de plusieurs manières :

  • approche par intégration, où la cartographie consiste à interroger un système socle en charge de piloter une partie du système d’information (par exemple, interroger l’Active Directory pour identifier la liste des actifs Windows du domaine) ;
  • approche heuristique, où la cartographie se fait par une série de requêtes d’énumération sur le système d’information (par exemple, en lançant une série de requêtes ICMP avec ping, sur une plage IP).

L’approche heuristique permet d’obtenir un point de vue réaliste, proche de celui qu’aurait un attaquant explorant le système d’information. Cependant, cette approche consomme beaucoup de temps, et peut aussi générer des faux positifs ou faux négatifs : une machine ne répondant pas aux requêtes ICMP sera par exemple rendue invisible à une recherche par ping.

L’approche par intégration permet d’obtenir un point de vue plus complet et très rapidement, mais nécessite de connaître la liste de tous les systèmes socles de l’entreprise. Les systèmes socles types sont les outils de virtualisation (VMWare, Nutanix…), les annuaires d’entreprise (OpenLDAP, Active Directory…), les noms de domaines, les environnements Cloud comme OpenStack, Amazon Web Services, Microsoft Azure, Google Cloud Platform.

Des outils permettent de faciliter la cartographie des actifs, comme Uncovery ou Shodan.

La plateforme Cyberwatch embarque également différents mécanismes de cartographie, par intégration et par méthode heuristique, pour vous aider à identifier les éléments de votre système d’information.

Cyberwatch est ainsi compatible avec les journaux de la base Certificate Transparency, permettant d’identifier en quelques secondes les sous-domaines qui sont liés à un nom de domaine de votre organisation, avec votre Active Directory, vos environnements de virtualisation Cloud et locaux, et propose des scans réseaux par balayages SYN-scan et NSLookup.

Les actifs identifiés peuvent alors être scannés par Cyberwatch afin d’identifier en plus l’ensemble des technologies utilisées et les vulnérabilités associées.

Recommandation cyber #5 : préparer la mise en place d’une cellule de gestion de crise sur les incidents de sécurité informatique

Une cellule de gestion de crise est un organe profondément lié à la gouvernance de l’entreprise : les membres de cette cellule seront très différent selon que l’entreprise fasse appel ou non à de l’externalisation pour son infogérance, et cette cellule fera appel à plus ou moins d’experts tiers selon les compétences juridiques et techniques présentes.

Dans ce cadre, le premier pas pour la mise en place d’une cellule de gestion de crise consiste à bien appréhender la menace et l’impact qu’un incident cyber pourrait avoir sur l’entreprise. Un exemple permettant d’illustrer un incident de ce type est disponible dans le guide de l’ANSSI « Organiser un exercice de gestion de crise cyber ».

L’ANSSI, en partenariat avec le Club des directeurs de sécurité et de sûreté des entreprises (CDSE), fournit une sécurité de fiches pratiques sur l’ensemble des actions potentiellement requises en situation de crise cyber, avec des suggestions d’organisation, dans son guide Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique.

Ce guide propose le schéma d’organisation suivant pour la cellule de gestion de crise :

Proposition d’organisation de gestion de crise cyber (source Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique)

Pour les structures les plus petites, l’essentiel est de disposer d’une cellule stratégique, chargée de prendre les décisions, et d’une cellule opérationnelle, chargée de donner les informations, appuyées par chaque pôle métier de l’entreprise en cas de besoin.

Les organisations qui le souhaitent peuvent aussi faire appel à des spécialistes de la réponse à incident, comme Login-Sécurité ou Synetis, ou encore consulter la liste des organismes qualifiés « Prestataire de Réponse aux Incidents de Sécurité (PRIS) » sur le site de l’ANSSI.

Dans tous les cas, il est important de signaler tout incident de sécurité aux autorités, via les interlocuteurs mentionnés sur la page dédiée de l’ANSSI.

Pour aller plus loin : surveillez les alertes de sécurité et vulnérabilités du CERT-FR de l’ANSSI, et déployez les correctifs de sécurité adaptés

Avec plus de 20 000 vulnérabilités publiées en 2021 par la National Vulnerability Database (NVD), soit plus de 50 par jour, il est particulièrement important de faire une veille sur les technologies utilisées au sein de son entreprise et de rechercher les vulnérabilités associées en continu.

Chaque vulnérabilité publiée, présente dans votre système d’information, et non traitée, est en effet un moyen documenté publiquement pour potentiellement lancer une attaque contre vos actifs.

Or, comme l’indique le document « Gestionnaire de vulnérabilités » publié dans le cadre du plan France Relance, plus de 99% des vulnérabilités exploitées sont connues.

Extrait du guide « Gestionnaire de vulnérabilités » publié dans le cadre du plan France Relance

Plusieurs exemples récents montrent que des attaques majeures sont tout simplement liées à de telles vulnérabilités, comme WannaCry et NotPetya, qui faisaient appel à la CVE-2017-0143 aussi connue sous le nom de MS17-010 ou d’EternalBlue, ou la série des vulnérabilités Log4Shell liées à la technologie Log4J et référencées sous les codes CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-4104 et CVE-2021-44832.

Or, chacune de ces vulnérabilités fait l’objet de correctifs de sécurité fournis par les éditeurs, qu’il convient simplement de déployer afin de neutraliser le risque informatique associé.

En tant de crise internationale, les entreprises et administrations les plus vigilantes veilleront ainsi à déployer régulièrement leurs correctifs de sécurité, sur l’ensemble de leur système d’information, par une veille manuelle ou à l’aide d’outils comme notre plateforme Cyberwatch Vulnerability Manager, qui vous permet de détecter, prioriser, et corriger les vulnérabilités en continu, avec ou sans-agent.

Bénéficiez de notre assistance et échangez avec nos experts

Pour toute question technique ou commerciale, n’hésitez pas à contacter nos experts via le formulaire dédié ou par téléphone au +33 1 85 08 69 79.

Vous avez des questions ?

Vous souhaitez une démonstration ?

Contactez-nous et nos experts reviendront vers vous sous 24h.

Votre demande