Conflit Ukrainien : L’ANSSI publie des mesures cyber préventives
L’Agence nationale de la sécurité des systèmes d’information anticipe un risque de cyberattaque lié aux tensions internationales entre l’Ukraine et la Russie. L’entité de surveillance française publie alors cinq mesures préventives à destination des entreprises et administrations nationales.
Alors que l'Ukraine et la Russie sont entrées en conflit le 24 février dernier, la menace du président Vladimir Poutine pourrait bien passer par d’autres canaux pour l'Union européenne et notamment la France.
Si des pourparlers entre l’Ukraine et la Russie se sont ouverts à la frontière ukraino-bélarusse, ce lundi matin, la vigilance des pays européens ne semble pas se relâcher. Les tensions internationales - suivies « de près » - par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), ont poussé l’organe de surveillance à anticiper de possibles effets dans l’espace digital français.
Dans ce contexte, il a publié cinq mesures cyber préventives prioritaires pour les entreprises et les administrations situées dans l’hexagone. « Ces mesures prioritaires de cybersécurité sont essentielles et leur mise en œuvre à court terme permet de limiter la probabilité d’une cyberattaque ainsi que ses potentiels effets. Pour être pleinement efficaces, elles doivent cependant s’inscrire dans une démarche de cybersécurité globale et de long terme », peut-on lire dans le communiqué.
Double authentification
Dans un premier point, l’ANSSI préconise le renforcement de l’authentification des comptes des administrateurs et des personnes de l’entité qui pourraient être plus exposées à ce type d’attaques. En d’autres termes, les personnes ayant accès à l’ensemble des ressources « critiques » du système d’information.
Ainsi, l’agence suggère l’utilisation de deux facteurs d’authentification comme un mot de passe, un tracé de déverrouillage ou une signature couplé à un support matériel ou un autre code envoyé par un canal externe comme un SMS. « Pour les administrateurs, l’activation d’une authentification renforcée doit se faire sur l’ensemble de leurs comptes : active directory, administration d’applications, cloud, etc », précise l’ANSSI.
Ne rien laisser au hasard
Afin de réagir au plus vite en cas d’attaque, il est recommandé d’accroître la supervision des événements journalisés. « En l’absence de supervision de sécurité en place, la centralisation des journaux des points les plus sensibles du système d’information est conseillée », explique l’agence dans son communiqué. L’organe de surveillance préconise de se pencher sur toutes les anomalies pouvant faire surface, y compris, celles susceptibles d’être ignorées en temps normal.
Toujours, dans un but de réaction rapide en cas d’attaque, l’ANSSI conseille d’établir une liste priorisée des services numériques critiques au sein de l’entité. En listant ces services numériques, elles pourront alors identifier les indispensables pour la continuité d’activité de l’entreprise en cas de dégâts. « Les dépendances vis-à-vis de prestataires doivent également être identifiées », précise l’agence nationale.
Stockage à froid
La quatrième recommandation porte sur la sauvegarde hors ligne des données ainsi que leur actualisation. L'Anssi conseille de sauvegarder régulièrement les données disponibles ainsi que celles comprises sur les serveurs de fichiers, d’infrastructures et d’applications métier critiques. En sauvegardant ces données sur des disques durs externes ou des bandes magnétiques, l’entité s’assure une reprise d’activité rapide, à condition qu’elles soient actualisées régulièrement.
Cellule de crise
Action, réaction. L’ANSSI préconise dans un cinquième point, la construction d’un dispositif de gestion de crise adapté, avant même d’être attaqué. En d’autres termes, il s’agit de définir un plan d’action en cas de crise, visant à assurer la continuité de l’activité, si l’attaque le permet. « Une cyberattaque peut avoir un effet déstabilisateur sur les organisations. Les fonctions support comme la téléphonie, la messagerie mais aussi les applications métier peuvent être mises hors d’usage. Il s’agit alors de passer en fonctionnement dégradé et dans certains cas, cela signifie revenir au papier et au crayon, peut-on lire. Le plan de reprise informatique vise, quant à lui, à remettre en service les systèmes d’information qui ont dysfonctionné ».
C’est en phase de reprise que l’entreprise peut prévoir la restauration des systèmes de données sauvegardées en amont.
À voir aussi
Cyber-attaque Viamedis/Almerys : Quels risques suite au vol de données ?
Santé : Un deuxième opérateur de tiers payant victime de cyber-attaque