Guerre en Ukraine : l'ANSSI prévient de possibles cyberattaques

03 mars 2022 à 14h25
6
Cybersécurité

Face au risque d'attaques informatiques, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) distille toute une série de recommandations pour protéger les utilisateurs et entreprises durant le conflit entre l'Ukraine et la Russie.

La guerre en Ukraine génère des tensions diplomatiques inquiétantes et contamine tout le cyberespace, plus remuant que jamais et dont on redoute un embrasement à mesure que le conflit gagne en intensité. L'ANSSI, qui veut limiter la probabilité d'une cyberattaque et ses effets, a publié une liste de mesures cyber préventives prioritaires, pour mieux protéger les institutions, administrations et entreprises, ainsi que leurs utilisateurs.

L'importance d'un renforcement de l'authentification, de la supervision de sécurité et des sauvegardes

La première recommandation livrée par l'ANSSI consiste à renforcer l'authentification sur les systèmes d'information. Elle vise notamment les comptes à privilèges, comme ceux des administrateurs, qui ont accès aux ressources critiques du système d'information de l'entreprise ; ainsi que les dirigeants. Certains réflexes, comme la double authentification (mot de passe, tracé de déverrouillage, signature, jeton USB, SMS), doivent devenir systématiques, tandis que les administrateurs se voient conseiller d'activer une authentification renforcée sur leurs comptes Cloud, Active Directory ou administration d'applications.

Autre conseil livré par l'agence : accroître la supervision de sécurité. L'ANSSI recommande de mettre en place un système de supervision des événements journalisés. Celui-ci permet de détecter les compromissions et de gagner du temps dans la réaction. À défaut, centraliser les journaux des points les plus sensibles du système d'information (VPN , bureaux virtuels, contrôleurs de domaine, etc.) semble être un bon compromis. « Les alertes dans les consoles d'antivirus et EDR (Endpoint Detection and Response) doivent systématiquement être étudiées », préconise l'ANSSI.

Les sauvegardes des données sont impératives. On parle ici des données embarquées dans les serveurs, infrastructures et applications métier critiques. Pour les protéger des attaques, ces sauvegardes doivent être déconnectées du système d'information, en étant par exemple hébergées sur des disques durs externes ou des bandes magnétiques.

Lister les services critiques de l'entité et se doter d'un dispositif de gestion de crise : deux autres indispensables pour anticiper une cyberattaque

Cela peut paraître bête ou simple, mais avoir une idée certaine de ses systèmes d'information et de leur criticité est crucial. Cette vision permet de prioriser les actions de sécurisation, et de réagir face à un incident. L'ANSSI conseille aux entreprises, institutions ou organisations de mener un inventaire de leurs services numériques, puis de les lister.

anssi_rapport_annuel_2018.png © Anssi
© ANSSI

Enfin, la dernière recommandation n'est aussi pas nouvelle mais ô combien importante. Lors d'une cyberattaque, bien des services peuvent tomber au sein d'une entité : messagerie, téléphonie, applications métier. Il faut pouvoir ainsi palier à une interruption partielle, voire totale de l'activité. Mieux vaut posséder une version écrite des contacts d'urgence, prestataires et services numériques à joindre en cas de pépin. Toute organisation ou entreprise doit avoir par ailleurs mis au point un plan de réponse à une attaque, soit pour assurer une continuité informatique (et donc maintenant l'activité), soit pour remettre en route les systèmes qui ont été endommagés. La restauration des systèmes et des données doit être anticipée.

Une bonne protection informatique en temps de crise extrême ne se limite pas à ces seules recommandations, évidemment. La bonne hygiène informatique dite « de base », qui passe par la sensibilisation ; la formation ; la sécurisation des postes, des réseaux, de l'administration ; ou la gestion du travail hybride, doit déjà être adoptée au sein de toutes les entités.

L'ANSSI attire l'attention sur « les outils numériques liés à la Russie »

Dans un document faisant le point sur la menace en lien avec les opérations militaires qui ont lieu sur le sol ukrainien, l'ANSSI a publié un rapport, le 2 mars, qui alerte sur l'utilisation de certains outils numériques, « notamment les outils de la société Kaspersky », évoquant le fait que l'utilisation de ces outils « peut être questionnée du fait de leur lien avec la Russie ».

S'il est rare, pour ne pas dire exceptionnel que l'ANSSI cite une entreprise en particulier, l'agence précise bien qu'« à ce stade, aucun élément objectif ne justifie de faire évoluer l'évaluation du niveau de qualité des produits et services fournis ». En d'autres termes, elle ne recommande pas la désinstallation des solutions Kaspersky et autres, qui pourrait fragiliser la protection de l'entreprise ou organisation concernée mais appelle cependant à prendre des précautions, « l’isolement de la Russie sur la scène internationale et le risque d’attaque contre les acteurs industriels liés à la Russie pouvant affecter la capacité de ces entreprises à fournir des mises à jour de leurs produits et services et donc de les maintenir à l’état de l’art nécessaire pour protéger leurs clients », poursuit l'ANSSI.

À terme, l'agence recommande tout de même à toutes les entités d'envisager une stratégie de diversification de leurs solutions de cybersécurité.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
6
6
Mister_Georges
Installation de FreeBsd sur tous les postes de travail, les "petits génies de l’active directory, Sccm etc… " à la photocopieuse!<br /> C’est une révolution!
gothax
Merde tous mes PC CNRS sont sous Kaspersky (loi des marchés).<br /> Cela veut dire que mon CNRS est Pro-Putin et anti-démocratique et tueur de petitschatsmignons ?<br /> Tout cela est du storytelling et mérite plus de réflexion de la part de ces gens : j’ai lu la lettre communiquée par mon directeur cet aprèm, comme d’hab c’est débrouillez vous dans les laboratoires, mais dîtes bien que nous nous occupons de tout… Bien sur vous imaginez l’informaticien aller dans toutes les salles avec son CD Norton ou Avast (sic)…<br /> troll : demain Deezer ou autres vont ils enlever les musiques classiques des compositeurs Russe du 19ème siècle ?
stratos
« elle ne recommande pas la désinstallation des solutions Kaspersky et autres, qui pourrait fragiliser la protection de l’entreprise ou organisation concernée mais appelle cependant à prendre des précaution »<br /> Donc personne dit que tout va peter demain, mais ca pose des questions sur les logiciels et les appels d’offres. J’ai bossé au CNRS et les PC n’avait pas kaspersky justement pour ça, maintenant si votre site a kaspersky il faut voir pour les mois ou années futurs si le gouv russe reste le même.<br /> Pour les server ça peut se faire « rapidement », et après les PC personnels c’est pas forcément compliqué, ça prend du temps mais c’est le taff, chacun a son taff
gothax
Les serveurs sont sous du microsoft c’est pas mieux, nos documents sont sous du sharepoint c’est pire ! mais le pompon c’est Thalles qui héberge notre messagerie qui est du hotmail ou officemachintruc. Un tueur de Yéménites qui héberge un Trojan.<br /> Je te confirme que le marché avant septembre 2021 était chez Kaspesky et dans certains labo aussi Tu imagines avant on avait Sophos qui un jour avec une mise à jour windows faisait redémarrer les pc en boucle.<br /> Je suis au CNRS depuis 23 ans et je peux te dire que toutes nos datas partent gentillement au USA sous les pleurs des DSI.<br /> Dernière chose en date : Zoom ! Interdit par les DSI et autorisé par les feignasses de directeurs et administratifs.<br /> En France on est des minus, on protège rien !
EnLighter
Honnêtement, je pense qu’il vaut mieux évaluer la capacité de détection heuristique de Kaspersky par rapport aux autres produits du marché avant de se demander s’il faut le désinstaller ou le remplacer.<br /> Car il me semble que les grosses nouveautés vont de toute façon faire l’objet de mises à jour malgré le contexte.
SauPhi
Et Orange qui vend son antivirus en abonnement qui n’est qu’un Kaspersky décoloré de vert en orange, C’est toujours le cas ?
Voir tous les messages sur le forum

Lectures liées

Profitez de Netflix, Prime, à l'étranger grâce à ce VPN à prix réduit
Une visiteuse de Disney World se fait extorquer 40 000 dollars via son Apple Watch
Bon plan VPN : préservez votre anonymat en ligne avec ces 3 offres à prix fou !
Découvrez comment votre carte SIM pourrait protéger vos données des hackers
Attention à ce malware qui se propage et menace votre navigateur
Découvrez Proton, la toute nouvelle identité visuelle de ProtonMail
Opera VPN Pro est désormais disponible sur Windows et macOS
Zoom sur Fronton, le botnet russe qui multiplie les fake news sur les réseaux
YouTube retire 70 000 vidéos de désinformation pour contrecarrer la propagande russe sur la guerre en Ukraine
Face au malware XorDdos, Microsoft recommande son navigateur Edge aux utilisateurs de Linux
Haut de page