Un contexte propice aux cyberattaques
Le théâtre des opérations du conflit en Ukraine ne se limitera pas aux limites géographiques. Les opérations prennent déjà place dans le cyberespace. Et, quelque soit l’origine de la menace, particuliers, entreprises, organismes publics … tous seront concernés par les cyberattaques.
Pour aider toutes ces structures, l’ANSSI a formalisé une série de recommandations à destination des entreprises et administrations.
Mettre en place une authentification forte
Une authentification forte est une authentification qui se base sur plusieurs facteurs. Ces facteurs sont :
- Ce que je sais : un mot de passe, une passphrase, un schéma graphique …
- Ce que je suis : Une empreinte digitale, un visage …
- Ce que je détiens : une carte à puce, un téléphone …
Pour qu’elle soit qualifiée de forte, cette authentification doit s’appuyer sur deux facteurs de deux domaines différents à minima.
L’authentification est la première barrière d’accès au SI. En mettant en place ces mécanismes, nous freinons la possibilité d’entrée sur les systèmes par les vulnérabilités classiques (mot de passe faible, mot de passe qui a fuité, réutilisé sur plusieurs sites …).
Cette recommandation est d’autant plus importante pour les comptes à privilèges, qu’ils soient sur des services on-premises ou dans le cloud.
Vous avez un SOC ? C'est le moment de l'utiliser !
Dès lors que vous utilisez un système d’information, celui-ci doit être supervisé. Outre la disponibilité des systèmes, il convient de surveiller les différentes anomalies qui pourraient être synonymes de compromission.
Cette vigilance peut s’opérer autour d’une centralisation des logs, qui facilitera la corrélation des événements. Elle peut également s’appuyer sur vos outils EDR, XDR si votre structure en dispose.
Sauvegardez vos données et applications critiques
Dans le cas d’une compromission, les données seront probablement endommagées et les applications seront probablement inutilisables. Tout comme pour les recommandations liées à la menace des rançongiciels (ou ransomwares), la sauvegarde a toute sa place dans la stratégie de résilience.
Nous avons l’habitude de préconiser une stratégie de sauvegarde en 3-2-1 :
- 3 sauvegardes différentes de vos données (1 copie principale et 2 sauvegardes)
- 2 supports différents pour vos copies
- 1 support est stocké hors site.
Attention à l’erreur classique qui consiste à faire confiance au systèmde sauvegarde. Pensez à tester régulièrement celles-ci afin de vérifier que vos copies de sauvegarde sont utilisables !
Un système à jour ... si possible
Ce n’est pas le moment de rattraper une dette technique qui pourrait mettre à mal l’entreprise. Le équipes sont certainement bien occupées. Cependant, il convient de prioriser les mises à jour critiques de vos environnements sensibles. (Oui, une bonne connaissance de ceux-ci est un pré-requis).
Nous vous listons ici, de manière non exhaustive (et certainement déjà obsolète au moment de la lecture), quelques vulnérabilités critiques qui peuvent vous guider à prioriser :
- CVE-2018-13379 FortiGate VPN
- CVE-2019-1653 Routeur Cisco
- CVE-2019-2725 Oracle WebLogic Server
- CVE-2019-7609 Kibana
- CVE-2019-9670 Logiciel Zimbra
- CVE-2019-10149 Exim Simple Mail Transfer Protocol
- CVE-2019-11510 Pulse Secure
- CVE-2019-19781 Citrix
- CVE-2020-0688 Microsoft Exchange
- CVE-2020-4006 VMWare
- CVE-2020-5902 F5 Big-IP
- CVE-2020 -14882 Oracle WebLogic
- CVE-2021-26855 Microsoft Exchange (Remarque : cette vulnérabilité est
fréquemment observée en conjonction avec CVE-2021-26857,CVE-2021-26858 et CVE-2021-27065)
Sensibiliser, toujours et encore
Le niveau de vigilance cyber doit être renforcé. Les utilisateurs du système d’information doivent être incités à faire remonter à la DSI / DSI toute activité suspecte.
Pour aller plus loin, vous trouverez les recommandations sur ce lien : https://www.ssi.gouv.fr/uploads/2022/02/20220226_mesures-cyber-preventives-prioritaires.pdf