3 avril 2020

Mesures de vigilance renforcée aux expositions Cyber en cette période de crise COVID-19

Une crise sanitaire, terrain de jeu idéal pour une crise cyber…

Dans le contexte actuel de crise sanitaire mondiale liée au COVID-19, les entreprises de tous secteurs confondus subissent des impacts économiques d’une rare ampleur (activité réduite, chômage partiel, baisse du chiffre d’affaires, etc.). Ce contexte de crise affaiblit les entreprises et offre ainsi un « terrain de jeu » idéal aux cyber attaquants.

Ainsi, depuis le début de la pandémie, de nombreuses actions de cyber criminalités ont été menées. En voici les principaux indicateurs selon le cabinet EY :

  • 183 millions de dollars de paiement reçus cette semaine sur le compte bitcoin Ryuk Gang qui diffuse des rançongiciels
  • 70625 nouveaux domaines enregistrés depuis le début de la pandémie (+130 en une semaine) en lien avec le COVID-19, contenant des mots clés tels que « covid », « COVID-19 » et « coronavirus ». Parmi eux :
    • 376 ciblent la France
    • 323 ciblent l’Italie
  • 291 noms de domaines en lien avec le mot clé « chloroquine »
  • 289 domaines de phishing utilisés par des campagnes d’attaques en cours hébergeant des pièces jointes, des installateurs de VPN, des installateurs de mises à jour et des applications mobiles malveillantes. Parmi ces domaines :
    • 50 spécifiques pour la France
    • 667% d’augmentation des attaques de spear-phishing
  • Plus de 230 échantillons de malware identifiés sur les 5 derniers jours

Une crise sanitaire une menace majeure pour les entreprises

Si l’on en croit les indicateurs précédents, les attaques cyber sont plus que jamais en cours, seule une petite partie est détectée et s’avèrent plus ou moins virulentes… un peu comme le COVID-19 en réalité !

Afin de préserver l’activité de l’entreprise, son organisation, sa production, sa capacité à opérer de manière sécurisée et à instaurer un climat de confiance avec ses clients, EY a identifié un cycle de Cyber Résilience à la pandémie en 5 étapes :

Une image contenant capture d’écran, texte

Description générée automatiquement
Source EY

Un plan d’actions défini :

Ces 5 phases se déclinent en un plan d’actions opérationnel en 6 chantiers.

Chantier numéro 1 : La robustesse des chaînes applicatives

Afin d’anticiper la recrudescence des cyberattaques dans cette période de crise, il est primordial de tester la robustesse des chaînes applicatives.

Ainsi, il faudra s’assurer que :

  • Les dispositifs de secours et de remontée (couvrant les référentiels et bases de données) sont fonctionnels
  • Les chaînes de liaison applicatives et les infrastructures sous-jacentes :
    • Ont toutes été immunisées contre les vulnérabilités corrigées par les éditeurs ou que des contre-mesures techniques existent et permettent de réduire l’exposition
    • Ont toutes été récemment auditées en termes de sécurité
    • Font l’objet de scans récurrents couvrant l’ensemble des périmètres
    • N’ont pas de faille de conception ou de bypass aux bases sensibles (fournisseurs, référentiels, etc.)
  • Elles ne font pas l’objet de vulnérabilités publiées sur le DarkWeb (non référencées)
  • Les chemins d’attaques potentiels sont bloqués

En parallèle il est indispensable de vérifier les mesures prises par les tierces parties (fournisseurs, sous-traitants) et de réduire la surface/impact d’attaque.

Le mot de BSSI : Dans un monde idéal, cette phase de préparation représente en fait l’activité de « check » qui devrait être effectuée par l’ensemble des entreprises pour se prémunir des cyberattaques tout au long de l’année. En cas de crise, on doit pouvoir compter sur de solides dispositifs de sécurité, qu’ils soient techniques ou organisationnels, déjà implantés et fonctionnels. La crise actuelle doit faire prendre conscience des impacts pour les entreprises et doit être l’occasion de se préparer en cas de nouvelle crise.

Chantier numéro 2 : la gestion de crise cyber

Ce chantier, sera mis en œuvre en cas d’incident cyber avéré.

Il s’agira ici de :

  • S’assurer du bon niveau de diagnostic pour comprendre l’ampleur de l’attaque (portion restreinte du SI, toute l’entreprise, l’écosystème, etc.)
  • Gérer la communication au management, en interne et externe de manière claire et efficace
  • Coordonner les interventions de réponse à incident dans une situation de stress souvent de confinement, d’intervention à distance
  • Bien respecter le processus de gestion de crise : cellule de crise avec experts cyber, main courante, conservation de la preuve
  • Capitaliser sur la crise cyber vécue pour en tirer les axes de progrès

Le mot de BSSI : Au-delà d’une crise cyber, ces mesures devraient être mises en place dès à présent dans la gestion de crise COVID-19 ou toute autre crise aux impacts similaires (confinement, situation de stress, gestion d’incidents, etc.). En effet, il est primordial que chaque entreprise ait défini une procédure de gestion de crise et qu’elle soit communiquée à l’ensemble des employés, et ce dès que possible. Il est préférable d’anticiper un risque que de le subir.

Chantier numéro 3 : la sécurité du nomadisme

Dans le contexte de crise sanitaire traversé actuellement, le recours au télétravail a été très largement adopté et a engendré son lot de sueurs froides pour une partie des équipes IT et sécurité.

En effet, il est primordial de pouvoir fournir à chaque collaborateur des postes de travail portables sécurisés. Pour les entreprises fournissant ce type d’outils, le chantier du nomadisme a été mené en amont, mais ne signifie pas pour autant qu’il ne demande pas un suivi et le rappel des consignes d’utilisations. Avoir un poste portable sécurisé c’est un début, mais qu’en est-il de son accès aux services nécessaires à l’employé pour travailler au quotidien ? Les employés disposent-ils d’un accès VPN ? Qu’en est-il du dimensionnement des canaux d’interconnexions et la gestion de service des flux ? Vos employés sont-ils sensibilisés aux risques en matière de sécurité, liés au télétravail ?

Si votre entreprise n’a pas la possibilité de mettre à disposition des postes de travail, une solution pourrait être l’accès à distance à des zones restreintes du système d’information via une connexion sécurisée (bureau virtuel).

Le mot de BSSI : Le recours « forcé » au télétravail et sa démocratisation dans le contexte de crise représentent un risque majeur en matière de sécurité informatique. Certaines entreprises ont déjà recours à celui-ci régulièrement, hors période de crise, et disposent donc d’une certaine expérience. Des processus, procédures et outils ont été mis en place et les salariés sont sensibilisés aux risques de sa pratique. Cependant, pour beaucoup d’autres entreprises, le déploiement des outils a pu être fait dans la précipitation, sans formation, guideline ou accompagnement. Dans ce type de contexte, il semble vital d’accompagner les utilisateurs, par des sessions de formations régulières, à la bonne utilisation des outils, à la sensibilisation aux risques et aux comportements à adopter. Par ailleurs, il est indispensable que les équipes internes aient un œil attentif aux remontées de logs, au trafic réseau afin de détecter et lever des doutes sur des comportements suspects et ainsi préserver le SI de l’entreprise.

Chantier numéro 4 : l’identification des cybermenaces externes

Nous l’évoquions précédemment, le contexte de crise est un vaste terrain de jeu pour les attaquants. Ainsi, il est indispensable pour chaque entreprise d’identifier :

  • Son exposition sur internet
  • Les renseignements qu’une personne malveillante ou un concurrent pourraient obtenir librement sur internet
  • Qualifier les menaces actuelles et futures, externes à l’entreprise

Afin de surveiller l’apparition de menaces, des services de Cyber Threat Intelligence se démocratisent. Leurs buts, analyser les sources suivantes :

  • Moteurs de recherche
  • Site internet
  • Réseaux sociaux
  • Plateforme de partage de fichier volumineux
  • Newsgroups spécifiques
  • Canaux IRC utilisés par les groupuscules et activistes
  • Informations publiques disponibles sur les sites internet des entreprises
  • Sources techniques publiques
  • Source d’informations plus confidentielles

Le mot de BSSI : Là encore, et dans le meilleur des cas, chaque entreprise procède à une analyse de risques SI qu’elle met à jour une fois par an. C’est par cet exercice qu’elle identifie son exposition, les menaces qui pèsent sur ses actifs, et qu’elle doit déterminer les mesures de traitements des risques à adopter. Le contexte spécifique de crise doit cependant déclencher une surveillance accrue de tous les indicateurs mis en place afin de détecter tout comportement suspect et de faire face au plus vite à un potentiel incident.

Chantier numéro 5 : la surveillance et le blocage des attaques

Nous évoquions plus haut la nécessité d’être en état d’alerte et de surveillance maximale de potentielles attaques.

Ainsi, des mesures tant sur le plan organisationnel que techniques doivent être rapidement mises en œuvre parmi lesquelles :

  • Se doter / renforcer les capacités de détection et de réaction du SOC
  • Surveiller les composants des chaînes de liaison/données (sondes, SOC, etc.)
  • Analyser les remontées d’indicateurs
  • Intensifier la gestion des vulnérabilités (et particulièrement pour les actifs sensibles)
  • Renforcer la surveillance du SOC par la CTI
  • Renforcer les capacités de réaction pour limiter les impacts

Le mot de BSSI : Selon le niveau de maturité de l’entreprise, il ne sera pas possible de mettre en œuvre toutes les mesures suggérées ci-dessus. Le contexte de crise, et par rebond l’augmentation des risques cyber, remet l’analyse de risques au centre des préoccupations. C’est précisément le moment de la ressortir, de reprendre le bilan effectué, et de se concentrer sur toutes les mesures de réduction des risques identifiés. Sont-elles en place ? Quels sont les indicateurs qui remontent ? Qui les consulte ? Y a-t-il des compléments à apporter ?

Autant de questions auxquelles doivent pouvoir répondre les équipes IT.

Chantier numéro 6 : le support en cas d’incident

Bon, et en cas d’incident de sécurité alors ? C’est quoi le plan ?

Il n’y aura pas de solutions miracles, mais une bonne organisation en amont vous permettra de limiter considérablement les impacts. À ce titre, il est indispensable de se doter de capacités pour répondre rapidement et efficacement aux incidents Cyber. Cela passe par :

  • Du Threat Hunting
    • Investigation sur les activités illégitimes sur des données ou systèmes
    • Identification des potentiels agents malveillants et chemins d’attaque
  • La capacité de réponse à incident par l’intervention en urgence et la mise en œuvre de mesures conservatoires immédiates
  • La définition d’un plan de retour à la normale
  • La préservation de preuves
  • La communication avec les autorités (ANSSI) et tiers (assurances)

Le mot de BSSI : Il est bien difficile d’anticiper et donc de se préparer à tous les types d’incidents cyber. Cependant, les mesures exposées ci-dessus doivent permettre d’avoir des lignes directrices quant à la gestion d’un incident. Le contexte particulier ne doit pas être une source de stress supplémentaire. Un processus de gestion des incidents existe, il doit être suivi et déroulé pour stabiliser, endiguer et rétablir une situation normale.

Conclusion

Le contexte de pandémie COVID-19 et le confinement d’une grande partie de la population active ont poussé les entreprises à prendre des décisions rapides pour préserver leur activité et leur pérennité. Les nombreuses attaques cyber perpétuées depuis le début de cette crise sanitaire contribuent à installer un climat de surveillance maximale des systèmes d’information dans un contexte où les interventions des équipes IT sont difficiles.

La situation inédite vécue actuellement fait ressortir les grands sujets stratégiques et de gouvernance de la sécurité de l’information. Mon analyse de risque est-elle à jour ? Ai-je encadré le télétravail pour une utilisation des plus sécurisées ? Quels sont mes outils de détection ? Ai-je un plan de continuité d’activité ? Un plan de gestion de crise ?

Il est fort à parier que les entreprises ayant mis en œuvre et testé régulièrement leur système de management de la sécurité de l’information (SMSI), soient dans de meilleures dispositions pour limiter les impacts que pourraient avoir la situation actuelle.

Espérons que ce cas grandeur nature poussera chaque entreprise à prendre des décisions et mettre en œuvre des chantiers pour se préparer à d’autres situations exceptionnelles qui pourraient se reproduire plus rapidement que nous le souhaiterions.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *