La guerre entre Ukraine et la Russie a réveillé tous les spectres de cyberattaques sur l’Europe et ses entreprises. La menace est prise très au sérieux par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui préconisent de mettre en place 5 mesures préventives prioritaires pour protéger les systèmes informatiques des PME et ETI.

Par Serge de Cluny

Ce n’est pas ce conflit à l’est de l’Europe qui a crée les risques de cybermalveillance et il faut comprendre que la lutte contre ce fleau s’inscrit dans une démarche de long terme. Cependant au vu de la situation, l’ANSSI conseille d’adopter à court terme 5 mesures visant à :
– renforcer l’authentification sur les systèmes d’information
– accroître la supervision de sécurité
– sauvegarder hors-ligne les données et les applications critiques
– établir une liste priorisée des services numériques critiques de l’entreprise
– s’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque

1 – Sécuriser l’authentification des comptes

Cette mesure est urgente et indispensable, en particulier sur les comptes les plus sensibles, c’est à dire ceux avec lesquels les administrateurs accèdent à l’ensemble des ressources ainsi que les comptes utilisés dans les postes les plus sensibles de l’entreprise (organe de direction, cadres dirigeants…). Pour cela, Il faudra prioriser l’utilisation d’une authentification forte sur ces comptes à l’aide de deux facteurs d’authentification :
– Un mot de passe tracé de déverrouillage ou une signature
– Un support matériel tel qu’une carte à puce, un jeton USB ou carte magnétique ou au moins une demande de code sur un autre appareil (un code SMS, par exemple)

2 – Renforcer la supervision de sécurité

L’ANSSI conseille de mettre en oeuvre une supervision de sécurité journalière sur les points d’entrée dans les systèmes d’information (points d’entrée VPN, bureaux virtuels, contrôleurs de domaine…). Les services et collaborateurs en charge de cette surveillance doivent rester à l’affut de toute anomalie ou connexion anormale, même celles qui paraissent insignifiantes, ainsi que de toute alerte dans les consoles d’antivirus.

Pour les entreprises qui le peuvent, il est également souhaitable de déployer des outils de visibilité sur l’état de sécurité des systèmes d’information (Sysmon, EDR, XDR).

3 – Sauvegarder les données et applications sensibles hors-ligne

Toute les entreprises procèdent à des sauvegardes de données à une fréquence quasi quotidiennes. Pour plus de sécurité, l’ANSSI préconise de procéder à ces sauvegardes de façon déconnectée du système d’information, surtout pour les données essentielles et fondamentales à la continuité de l’activité. Ce process n’est pas compliqué puisqu’il suffit par exemple de sauvegarder sur des disques durs externes ou des bandes magnétiques.

Grâce à cette précaution, l’activité pourra continuer normalement en cas de cyberattaque. Bien sur, l’actualisation des sauvegardes doit être effectuée tres régulièrement afin qu’elle soit efficace en cas d’attaque.

4 – Bien identifier les services numériques sensibles de l’entreprise et les lister selon leur importance

Pour adopter une politique de cybersécurité cohérente, l’ANSSI précise que l’entreprise doit avoir une vision nette et claire de ses différents systèmes d’information avec leur niveau de criticité et de dangerosité.

Si ce n’était pas le cas, il sera nécessaire de procéder à l’inventaire de tous les systèmes, outils digitaux et applications, service par service, établissement par établissement. Le but de cet inventaire est d’abord d’avoir une meilleure vue d’ensemble de la structure digitale de l’entreprise mais aussi et surtout d’agir méthodiquement. Il faudra aussi identifier les dépendances vis-à-vis des prestataires afin de les solliciter efficacement en cas de problème, ce qui nous amene à la cinquième mesure.

5 – Définir un dispositif de gestion de crise

Préparer des points de contact en cas d’urgence, notamment pour les prestataires de services numériques et pouvoir disposer des numéros et codes à proximité (pour cela la bonne vieille version papier reste une solution simple et efficace).
L’idée est de mettre en place un protocole d’urgence permettant d’assurer la continuité de l’activité en cas de cyberattaque. Pour cela, n’hésitez pas à procéder régulièrement à des exercices de simulation selon votre exposabilité à ces menaces et définir ainsi un plan de réponse en réaction à une cyberattaque.

Enfin, le plan de reprise informatique n’est pas moins important et doit être concu par les équipes techniques pour pouvoir remettre en service les systèmes d’information impactés en cas de cyberattaque et restaurer ainsi les systèmes et données.

L’ANSSI met à la disposition des PME et ETI certaines recommandations
et propose également un Guide d’Hygène Informatique très complet pour vous accompagner dans la mise en place d’un système sécurisé efficace pour votre entreprise