L’invasion de l’Ukraine par la Russie s’est accompagnée d’une hausse des cyberattaques visant les entreprises occidentales. Raison pour laquelle l’Agence nationale de la sécurité des systèmes d’information (Anssi) incite les entreprises à mettre en œuvre 5 mesures cyber-préventives prioritaires. Des mesures qu’il convient d’adopter rapidement et d’inscrire dans une démarche de « cybersécurité globale et de long terme », insiste l’Anssi.
1. Renforcer les procédures d’authentification
Afin de réduire le risque d’intrusion, l’accès au système d’information de l’entreprise doit être renforcé. À cet effet, l’Anssi préconise la mise en place d’un dispositif d’authentification multifacteur. Pour accéder au réseau, on combinera ainsi plusieurs facteurs d’identification, par exemple, un mot de passe robuste et un code reçu par SMS ou via une application dédiée. Généralement, ce code aura une durée de vie limitée à quelques minutes.
Dans cette configuration, le fait qu’un seul des facteurs utilisés soit connu d’un hacker ne lui permettra pas d’accéder au réseau ou au compte protégé. Ce dispositif de sécurité a été imposé à tous les établissements bancaires en 2019. L’Anssi recommande sa mise en place pour « les comptes particulièrement exposés, notamment ceux des administrateurs qui ont accès à l’ensemble des ressources critiques du système d’information et ceux des personnes exposées de l’entité (personnel de direction, cadres dirigeants, etc.) ».
Pour ceux qui souhaitent en savoir plus, l’Anssi propose sur son site un guide dédié à l’authentification multifactorielle et à la gestion des mots de passe. Un document de 52 pages qui permet d’appréhender les enjeux et les conditions de mise en place et de gestion de ce type de dispositif.
2. Accroître la surveillance du réseau
Le temps de réaction est crucial en cas de cyberattaque. Plus rapide sera la réaction, moindres seront les dégâts. Mettre en place une surveillance quotidienne et globale du réseau est donc fortement conseillé afin d’être en capacité d’identifier sans retard une éventuelle compromission et de la traiter. Lorsqu’une surveillance globale n’est pas possible, l’Anssi propose une « centralisation des journaux des points les plus sensibles du système d’information. On peut lister, à titre d’exemple, les points d’entrée VPN, les bureaux virtuels, les contrôleurs de domaine, ou encore les hyperviseurs ».
Rehausser le niveau de vigilance, revient également, selon l’Anssi à systématiquement « inspecter » toutes les connexions anormales sur les contrôleurs de domaine et toutes les alertes apparaissant sur les solutions antivirus et EDR (Endpoint Detection and Response).
3. Ne pas oublier les sauvegardes
« Des sauvegardes régulières de l’ensemble des données, y compris celles présentes sur les serveurs de fichiers, d’infrastructures et d’applications métier critiques, doivent être réalisées », insiste l’Anssi. En rappelant que ces sauvegardes doivent être déconnectées du réseau pour ne pas être exposées en cas d’attaque du système informatique.
Attention, quelquefois des erreurs se produisent lors des opérations de sauvegarde réduisant ou anéantissant la possibilité de les restaurer (corruption des données lors du transfert ou de la compression, problème sur le support de stockage…). Aussi, les sauvegardes doivent être restaurées régulièrement afin de s’assurer que le dispositif utilisé par l’entreprise est fiable et qu’il remplira bien son rôle lorsqu’une restauration sera nécessaire suite à une cyberattaque.
4. Identifier les services critiques
Compte tenu de l’urgence, il faut prioriser les actions. À cette fin, l’Anssi conseille de réaliser un inventaire des services numériques de l’entreprise et de les classer en fonction de leur caractère critique. La protection des plus sensibles devant être renforcée en priorité. Par plus sensible, l’Anssi entend les services numériques dont le dysfonctionnement pourrait nuire à la continuité d’activité de l’entreprise. Dans ce cadre, « les dépendances vis-à-vis de prestataires doivent également être identifiées », insiste l’Anssi.
5. Préparer la gestion de crise
Une cyberattaque peut atteindre, plus ou moins fortement, le fonctionnement de l’entreprise. Il convient donc de se préparer à travailler en mode dégradé (applications hors d’usage, messagerie coupée, fournisseurs hors jeu…) « et dans certains cas, cela signifie revenir au papier et au crayon », précise l’Anssi.
Une cellule de crise doit ainsi être constituée et se tenir prête à mettre en œuvre différents scénarios d’urgence. L’objectif de cette cellule est de veiller à l’application d’un plan de continuité d’activité (PCA) et/ou de reprise informatique (PRI). Un plan élaboré pour permettre à l’entreprise, de continuer à fonctionner même en mode dégradé et à mettre en œuvre, le plus vite et le plus efficacement possible, les actions qui lui permettront de renouer avec une situation normale.
Un guide baptisé « Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique » élaboré par l’Anssi et le Club des directeurs de sécurité et de sûreté des entreprises (CDSE) est librement téléchargeable sur le site de l’Anssi. Sur 80 pages, il revient sur les pratiques à mettre en place par les entreprises (PME-ETI) pour se préparer à affronter une crise cyber et pour bien réagir.
