L’invasion de l’Ukraine par la Russie a des répercussions internationales dans le monde physique comme dans le cyberespace : DSI et RSSI sont invités à hausser leur niveau de cybersécurité et à se préparer à une cyber-guerre qui ne connaît pas de frontières …

Au lendemain de l’entrée des forces russes en Ukraine, l’ANSSI mettait les services de l’état en alerte Cyber renforcée et publiait un bulletin invitant les responsables informatiques et RSSI à prendre des mesures préventives et prioritaires.

Désormais, les guerres sont hybrides. Et celle-ci l’est plus que jamais. La forte réaction des Européens face à l’invasion de l’Ukraine par la Russie encourage les groupuscules plus ou moins pilotés par cette dernière à étendre leurs attaques bien au-delà de cibles ukrainiennes.

Le cyberespace n’a pas de frontière… et la cyberguerre n’a pas de limites. En septembre 2020, une étude Bitdefender révélait que six responsables informatiques français sur dix estimaient que la cyberguerre constituait une menace pour leur organisation. Aujourd’hui, cette menace et cette inquiétude n’ont jamais été aussi palpables.

Des cybermesures prioritaires

Dans un document publié en fin de semaine dernière, l’ANSSI invite les entreprises à mettre en œuvre 5 cyber-mesures en urgence :

1- Renforcer l’authentification des systèmes d’information

« Afin de réduire le risque d’une cyberattaque, il est recommandé de renforcer l’authentification des comptes particulièrement exposés, notamment ceux des administrateurs qui ont accès à l’ensemble des ressources critiques du système d’information et ceux des personnes exposées de l’entité (personnel de direction, cadres dirigeants, etc.). Pour les administrateurs, l’activation d’une authentification renforcée doit se faire sur l’ensemble de leurs comptes : Active Directory, administration d’applications, cloud, etc. »

2- Accroître la supervision de la cybersécurité

« Un système de supervision des évènements journalisés doit être mis en place… Le renforcement de la vigilance des équipes de supervision est indispensable, en investiguant les anomalies susceptibles d’être ignorées en temps normal. Plus particulièrement, en environnement Active Directory… Pour les entités qui en ont la capacité, l’accélération des déploiements d’outils donnant de la visibilité sur l’état de sécurité des systèmes d’information (Sysmon, EDR, XDR) est également préconisée. »

3- Sauvegarder hors-ligne des données et applications critiques

« Des sauvegardes régulières de l’ensemble des données, y compris celles présentes sur les serveurs de fichiers, d’infrastructures et d’applications métiers critiques, doivent être réalisées. Ces sauvegardes, au moins pour les plus critiques, doivent être déconnectées du système d’information pour prévenir leur chiffrement, à l’instar des autres fichiers… L’actualisation fréquente de ces sauvegardes est également préconisée. »

4- Établir une liste priorisée des services numériques critiques

« Avoir une vision claire de ses systèmes d’information et de leur criticité est essentiel pour prioriser les actions de sécurisation ainsi que pour réagir efficacement en cas d’incident. »

5- S’assurer de l’existence d’un dispositif de gestion de crise Cyber.

« L’attaque cause en général une interruption d’activité partielle et, dans les cas les plus graves, une interruption totale. Définir des points de contact d’urgence, y compris chez les prestataires de services numériques et s’assurer d’avoir les numéros en version papier est particulièrement utile dans ces situations… Il s’agit pour les organisations de définir un plan de réponse aux cyberattaques associé au dispositif de gestion de crise – quand il existe – visant à assurer la continuité d’activité, puis son retour à un état nominal. »

Pour la plupart des RSSI, ces mesures n’ont rien de nouveau. Elles appartiennent aux règles de base de l’hygiène des systèmes d’information. Pour celles qui ne sont toujours pas au diapason, peut-être est-ce là l’occasion de faire les efforts nécessaires pour améliorer leur cybersécurité en urgence.
Pour celles qui suivent les bonnes pratiques édictées par l’ANSSI, elles sont une invitation à relever leur sécurité d’un cran supplémentaire notamment en mobilisant davantage d’experts dans l’analyse des logs et alertes de sécurité de leur SI. Elles sont aussi une invitation à vérifier l’état des sauvegardes et à multiplier les backups « offline » pendant un certain temps.

Une cyber-guerre n’a pas de frontières

Pour l’instant, les cyber-attaques en lien avec les évènements en Ukraine semblent s’être surtout focalisées sur les pays en guerre et pays limitrophes. Plusieurs sites ukrainiens ont subi des attaques DDoS, mais plusieurs sites russes ont aussi été mis hors ligne notamment par les hacktivistes d’Anonymous. Et ceci, bien que la Russie ait activé son plan d’isolation du monde Internet, plan testé et approuvé en janvier 2020.
De même, un nouveau malware de type « Wiper » effaçant les disques des machines infectées a fait son apparition en Ukraine, Lituanie et Lettonie, quelques heures après le déclenchement des hostilités. Une cyberattaque qui serait en réalité en préparation depuis novembre si l’on en croit les traces relevées ici et là par les chercheurs d’ESET.

Avec un discours européen qui se durcit d’heure en heure, les organisations européennes peuvent s’inquiéter de voir les cyberattaquants russes porter désormais leur attention et leurs coups contre elles.

Le problème est d’autant plus inquiétant que le cyber Far West tant redouté par Guillaume Poupard semble déjà à nos portes. Il règne depuis quelques jours un gigantesque « foutoir » dans le cyber espace.

Les groupes de hackers s’entredéchirent…

Outre le fait que chaque pays semble avoir placé en alerte leurs unités de cyberdéfense, partout dans le monde, les groupes de hackers et gangs de ransomwares s’expriment parfois très ouvertement sur les réseaux sociaux pour annoncer leur allégeance à tel ou tel camp. Les Anonymous sont officiellement en « cyber guerre » contre le gouvernement russe. Ghostsec s’est également prononcé en supporter du peuple ukrainien.

Sans surprise, UNC1151 (essentiellement basé à Minsk en Biélorussie), the Red Bandits et SandWorm (sponsorisé par le gouvernement russe) ont pris position en faveur de la Russie et ouvertement menacer tous ceux qui tenteraient des cyberattaques contre les instances et entreprises russes.

Et cela commence déjà à tirer dans tous les sens entre ces groupes. Et parfois même au sein même de ces groupes. Ainsi, le gang Conti a officiellement pris parti pour la Russie. De façon très agressive, ils assurent que « si une organisation quelconque décide d’organiser une cyberattaque ou des activités de guerre contre la Russie, nous utiliserons toutes les ressources possibles pour riposter en attaquant les infrastructures critiques de l’ennemi.« .
Mais le gang est très réparti et certains de ces hackers sont… Ukrainiens !
Du coup, l’un des membres a fait fuiter auprès de journalistes et autres organismes près d’un an d’échanges entre les hackers du gang ! On y découvre la confirmation d’étroites relations entre Conti et les attaques par ransomwares Emotet et TrickBot, la façon dont les hackers contactent les éditeurs de sécurité pour obtenir des « démos » produits (afin d’en comprendre comment les contourner), des négociations secrètes entre le groupe et de grandes entreprises attaquées et cherchant à masquer l’importance des données volées ou du montant de la rançon, des adresses Bitcoin (qui ne manqueront pas d’intéresser les forces de Police internationales, et bien d’autres trésors du monde cyber-underground.

Si ce n’est pas encore tout à fait un Cyber Far West, cela y ressemble bigrement. DSI et RSSI n’ont plus de temps à perdre pour s’adapter à un environnement Internet qui était déjà dangereux mais qui devient désormais franchement hostile…

À lire également autour de la cyber-guerre :

> L’ANSSI va bien avoir ses 7 cyber-centres régionaux

> Cyberdéfense au sommet : pourquoi est-il crucial d’intégrer le RSSI au conseil d’administration ?  

> « Nous combinons logiciels défensifs et expertise humaine pour proposer une autre approche de la cyberdéfense. »

> Les ransomwares, au cœur du « Far West » de la cybersécurité…

> Les prévisions du Gartner pour 2022 et au-delà…

> FIC 2019 : La France à l’heure de la cyberguerre

> « En matière de cybersécurité, il faut rester humble et mutualiser les efforts »