Cyberpréparation et Guerre Russo-Ukrainienne
Bastien Bobe, Security Sales Engineer Europe du Sud chez Lookout
Ces dernières semaines, des cyberattaques russes ont été observées parallèlement à leur invasion de l’Ukraine. Quelle cyberpréparation est envisagée ?
Nous vivons aujourd’hui dans un monde étroitement interconnecté. Par conséquent, les cybermenaces initialement dirigées contre les organismes et les infrastructures du gouvernement ukrainien pourraient facilement viser d’autres nations, qu’il s’agisse d’attaques contre les chaînes d’approvisionnement ou du déploiement de ransomwares et d’autres logiciels malveillants avancés.
Il y a près de cinq ans, une série de ransomwares liés à la Russie et visant des entités ukrainiennes a fini par toucher des citoyens de plus de 60 pays et détruire 49 000 ordinateurs, impactant des organisations de toutes tailles, des compagnies maritimes aux hôpitaux. L’arme utilisée par les Russes était NotPetya, un logiciel malveillant qui se comportait comme un ransomware, mais dont la véritable motivation était de détruire les systèmes.
La cyberpréparation nécessite une approche globale
Pour que la Russie ou tout autre État-nation puisse compromettre les chaînes d’approvisionnement ou déployer des ransomwares, ils doivent accéder à votre infrastructure et se déplacer latéralement. Il est possible d’atténuer ces risques en identifiant et en arrêtant ces attaques au début de la chaîne d’élimination. Cela signifie qu’il faut bloquer l’accès à partir de terminaux et de comptes à haut risque ou compromis, arrêter les mouvements latéraux et assurer une surveillance continue pour vous aider à traquer les menaces.
Un terrain fertile pour les attaques de phishing
Tout comme la pandémie COVID-19, la guerre en Ukraine est un événement que les attaquants vont exploiter pour des attaques d’ingénierie sociale. Qu’il s’agisse de titres accrocheurs, de faux efforts humanitaires ou de comptes se faisant passer pour des médias, les attaquants feront preuve de créativité pour inciter les particuliers et les entreprises à télécharger des logiciels malveillants ou à communiquer leurs identifiants de connexion. Tout le monde doit être en alerte pour les campagnes de phishing qui utilisent la guerre comme un événement incontournable. Prévenez les employés, éduquez-les sur ce à quoi ces attaques pourraient ressembler et sur la manière dont ils peuvent protéger au mieux leurs appareils. Il est également recommandé de déployer un système anti-hameçonnage sur chaque appareil utilisé pour connecter des applications et des données.
La segmentation peut aider à lutter contre les mouvements latéraux
Avant de faire des ravages, les auteurs de menaces doivent se déplacer latéralement dans votre infrastructure pour trouver d’autres vulnérabilités à exploiter, ou des données sensibles à voler ou à prendre en otage. C’est la raison pour laquelle vous aurez besoin d’une architecture Zero Trust. Pour l’appliquer efficacement, automatisez l’évaluation des risques de vos utilisateurs, des terminaux qu’ils utilisent et ajustez leur accès aux applications et aux données en fonction du niveau de sensibilité. En résumé, ne donnez pas d’accès inutiles. Par exemple, lorsque vous fournissez à un utilisateur un accès par réseau privé virtuel (VPN), il a accès à l’ensemble de votre réseau alors qu’il n’a peut-être besoin de se connecter qu’à une seule application. En cas de compromission d’un compte utilisateur ou de terminal, vous pouvez limiter les mouvements latéraux en segmentant l’accès. Ainsi, un acteur de la menace utilisant son compte ou son appareil ne peut pas se déplacer dans le reste de l’infrastructure et accéder à d’autres applications et données sensibles.
Une surveillance continue aide à améliorer la chasse aux menaces
Le niveau de risque d’un utilisateur ou d’un appareil peut changer en un instant. La journalisation continue et l’évaluation des risques vous permettront d’améliorer la préparation à la sécurité sans limiter la productivité. Si de nombreux incidents peuvent être résolus rapidement, la détection et le blocage des menaces persistantes avancées nécessitent souvent une chasse aux menaces proactive. Cela est particulièrement important pour les organisations qui ont des connexions ukrainiennes. Grâce à la journalisation continue, vous disposez également des preuves nécessaires pour mener des enquêtes médico-légales en cas d’incident.
Les cybermenaces ne se limitent pas aux zones de conflit
Dans un monde interconnecté, les conflits régionaux peuvent facilement se propager ailleurs, notamment dans le cyberespace. La préparation au cyberespace ne doit pas être l’apanage des organisations. Les particuliers doivent eux aussi être préparés, d’autant que les attaquants profitent de cette occasion pour lancer des attaques de phishing.