On ne sait toujours pas si un véritable cyberconflit s'ajoutera à la guerre analogue en Ukraine - si un tel conflit peut être défini avec précision. Dans tous les cas, le conflit armé actuel présente un risque pour la sécurité informatique des entreprises, même s'il reste à voir comment la situation de risque va évoluer.
Afin de se protéger efficacement, les entreprises doivent, d'une part, garder un œil sur les dangers actuels et, d'autre part, suivre encore plus strictement les normes de sécurité. Le potentiel de risque propre à l'entreprise est mesuré par la proximité géographique, commerciale ou même numérique d'une organisation avec l'Ukraine.
Construisez une défense avant que les attaques ne deviennent concrètes
Actuellement, il y a eu moins d'incidents de sécurité liés à la guerre qu'on ne le craignait. La plupart d'entre elles étaient des attaques par déni de service (DDoS). Jusqu'à présent, les experts n'ont reçu aucun rapport confirmé d'attaques sur les vulnérabilités des systèmes de contrôle industriels (ICS). De telles actions ont paralysé l'approvisionnement en électricité de l'Ukraine en 2015 et 2016. Le site Web Curated Intelligence offre un aperçu constamment mis à jour de ce qui se passe. L'évolution de la situation n'est bien sûr pas prévisible. Mais parce que la guerre est revenue en Europe, les entreprises, les agences gouvernementales et les opérateurs de KRITIS doivent se préparer à l'arrivée d'une cyberguerre.
Plus ils sont connectés à l'Ukraine, plus ils sont à risque
Il est évident que le risque pour la sécurité informatique d'une attaque augmente avec la proximité physique ou numérique avec l'Ukraine. Les victimes potentielles peuvent être divisées en trois classes de risque.
Classe de risque 1
Entreprises et institutions basées en Ukraine : vous devez vous préparer à ce que les attaquants tentent d'interrompre complètement les processus. Les activités passées le montrent. Parallèlement, la disponibilité des services et des systèmes informatiques est visée. Les attaques DDoS et la suppression de données sont à craindre, tout comme les indisponibilités de l'infrastructure réseau. Les criminels, surnommés "courtiers d'accès initial", qui recherchent en permanence des vulnérabilités à revendre et fournissent des informations d'identification d'accès aux réseaux et aux systèmes avant les attaques, ont désormais la possibilité de vendre leurs découvertes au plus offrant. L'arsenal d'armes des attaquants comprend des cyber-outils conçus pour causer des dommages irréparables.
Ceux-ci incluent, par exemple, le malware CrashOverride ou NotPetya ou l'effaceur de données HermeticWiper de la famille de malware KillDisk. Avec HermeticWiper, les auteurs peuvent cibler leurs victimes ou propager des attaques sur un espace d'adressage IP pour causer le plus de dégâts possible. De nombreux cybercriminels APT seraient en mesure d'effectuer une telle attaque, tels que Gamaredon, UNC1151 (Ghostwriter), APT29, APT28, Sandworm ou Turla. L'intention du groupe Conti d'agir contre des cibles en Ukraine est connue. Cependant, les interventions de groupes pro-ukrainiens tels que Anonymous et GhostSec peuvent également mettre en danger les infrastructures informatiques.
Classe de risque 2
Entreprises et institutions liées à l'Ukraine : jusqu'à présent, les cyberattaques se sont limitées à l'Ukraine. Mais on peut supposer que les pays voisins et les organisations liées à l'Ukraine seront également touchés. Quiconque est connecté à des organisations dans le pays via VPN ou via la chaîne d'approvisionnement doit mettre son équipe de sécurité informatique en alerte et se préparer à la défense. Dans le même temps, les responsables doivent également évaluer le type de mise en réseau et donc le risque spécifique.
Classe de risque 3
Entreprises et institutions dans les pays soutenant l'Ukraine : cela inclut tous les États membres de l'OTAN et de l'UE. Ici, il y a un risque d'actes de vengeance par des groupes étatiques ou des mercenaires numériques. La possibilité qu'un logiciel malveillant de type essuie-glace ait déjà été déployé est élevée, bien qu'il n'y ait aucune preuve à ce jour. Les responsables ont le devoir d'évaluer la résilience des systèmes de sécurité et des plans de défense maintenant, avant qu'une attaque réelle ne se produise.
Défenses contre les attaquants
La situation sécuritaire reste floue, mais les entreprises peuvent se préparer aux risques potentiels. Les solutions et services de sécurité informatique tels que Endpoint Detection and Response (EDR) ou Managed Detection and Response (MDR) aident et sont indispensables. Mais il y a aussi des devoirs spécifiques à faire pour optimiser la sécurité informatique. Les conseils suivants s'appliquent à toutes les organisations dans les classes de risque qui viennent d'être définies :
- La correction des vulnérabilités connues pour avoir déjà été exploitées par des groupes APT soutenus par le gouvernement a la priorité absolue. Une liste des vulnérabilités pertinentes et connues peut être trouvée ici.
- La localisation sécurisée des sauvegardes et le test des processus ainsi que la restauration complète testée d'une reprise après sinistre sont à l'ordre du jour au vu de la dangerosité des wipers. Les entreprises particulièrement exposées doivent éteindre tous les ordinateurs et serveurs qui ne sont pas critiques pour le système informatique afin de limiter les effets d'une attaque.
- L'infrastructure, le réseau et la connectivité de l'informatique de l'entreprise aux partenaires externes doivent être surveillés en permanence. C'est le seul moyen d'identifier les attaques potentielles à un stade précoce et de mettre en œuvre des plans de défense.
- Les campagnes de phishing liées à l'Ukraine sont actuellement en plein essor. Les cybercriminels profitent de la volonté d'aider en public avec un répertoire d'escroqueries toujours mieux conçues qui peuvent également avoir des effets sur la sécurité : les données d'accès capturées sont alors le ticket d'entrée aux systèmes et aux processus. Chaque employé doit être conscient de ce danger.
- Les mesures de sécurité informatique standard sont des piliers importants pour la défense. Cela comprend l'authentification multifacteur pour tous les accès distants, privilégiés ou administrateurs au réseau, la mise à jour des logiciels, la désactivation des ports et des protocoles nécessaires à l'entreprise, ainsi que la vérification et l'évaluation des services cloud utilisés .
Les cyber-attaquants puniront ceux qui arrivent trop tard pour se défendre. Cependant, on ne sait toujours pas si cela se produira dans le contexte du conflit en cours. Les opinions des experts sur l'étendue d'une cyberattaque diffèrent également. Certains experts affirment, ce qui n'est pas invraisemblable, qu'une fois que la guerre a éclaté, il est plus facile de bombarder ou de saisir une usine que de fermer ses serveurs. Après tout, les attaques contre les installations de production et d'approvisionnement doivent être préparées si elles veulent vraiment avoir un effet. Les attaques DDoS ou les campagnes de désinformation qui contribuent à l'incertitude sont plus attractives car plus efficaces. Les pays de l'UE et de l'OTAN seraient certainement la cible d'attaques subliminales, qui sont déjà familières en temps de paix. Cependant, sous-estimer le danger signifie ne pas être préparé à ce qui peut parfois être un grand risque.
Plus sur Bitdefender.com
À propos de Bitdefender Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de