Les DSI et leurs équipes en Europe et dans le monde entier subissent déjà les effets sur la cybersécurité de la guerre en Ukraine et des sanctions imposées aux acteurs russes et biélorusses, ou cela ne saurait tarder. Si cela n’est pas déjà en place, voici des mesures de cybersécurité immédiatement indispensables, ainsi que quelques pièges à éviter. (Remarque :  Vous trouverez les mesures à prendre en matière de gestion des risques dans cet article de blog).

  •  Au risque d’énoncer une évidence, appliquez les conseils de votre organisme national chargé de la cybersécurité. Dans le cadre de son programme Shields Up, l’agence américaine Cybersecurity and Infrastructure Security Agency (CISA) a déjà publié des mises en garde contre l’augmentation des attaques visant des bases industrielles de la défense et des infrastructures stratégiques. Consultez ce programme pour obtenir des informations actualisées de la CISA sur l’état actuel du conflit. Au Royaume-Uni, le National Cyber Security Centre (NCSC) a publié des mesures spécifiques à prendre dans le contexte actuel des menaces accrues. D’autres organismes, tels que l’Agence de l’Union européenne pour la cybersécurité (ENISA), l’Office fédéral de la sécurité des technologies de l’information (BSI) en Allemagne et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en France, ont mis en garde contre la situation actuelle et une unité cybernétique de l’UE a été déployée pour aider l’Ukraine. L’Australian Cyber Security Centre a également fourni des conseils via une alerte urgente lorsque le gouvernement australien a imposé des sanctions à la Russie le 23 février dernier. En l’absence d’informations spécifiques de la part de votre autorité nationale de cybersécurité, veuillez suivre les conseils mis en lien ici. 
  • Informez-vous auprès des contacts gouvernementaux. Vous avez besoin d’un contact stable au sein du gouvernement de chaque pays où vous menez des opérations importantes. Vous pourrez ainsi le joindre en cas d’incident ou pour obtenir des mises à jour sur la situation actuelle. Aux États-Unis, InfraGard coordonne le partage d’informations avec les fournisseurs d’infrastructures critiques. Au Royaume-Uni, suivez les informations fournies par le groupe Critical National Infrastructure du  National Cyber Security Centre (NCSC) et ses équivalents en Europe. Pour les organisations basées dans l’UE, adressez-vous à vos contacts locaux du centre d’alerte et de réaction aux attaques informatiques, incluant le CSIRT (Computer Security Incident Response Team) et le CERT (Computer Emergency Response Team). (Vous trouverez une liste complète ici.) 
  • Envoyez à votre fournisseur une demande de renseignements sur les menaces.  Dans l’idéal, cela fait partie intégrante de votre contrat, mais même si vous devez payer un supplément, cela en vaut la peine. Expliquez à votre fournisseur le public cible du rapport, afin que les informations fournies correspondent au niveau approprié (pour votre conseil d’administration, votre équipe de sécurité, etc.) La demande de renseignements doit dépasser les perspectives habituelles de votre fournisseur. Elle doit inclure des éléments spécifiques liés à votre secteur vertical et à vos sites d’exploitation. En outre, il doit vous donner des informations sur les acteurs de la menace qui vous préoccupe et sur leurs tactiques, techniques et procédures (TTP). 
  • Devancez les actualités et informez vos supérieurs hiérarchiques à propos des risques et de l’environnement des menaces.  Les incidents de cybersécurité qui font la une des médias préoccupent habituellement les cadres supérieurs et les membres du conseil d’administration, ce qui vous expose, vous et votre équipe, à une avalanche de questions. Alors ne soyez pas pris au dépourvu, car ces demandes peuvent vous faire perdre un temps précieux dont vous aurez besoin pour faire face à un incident potentiel. Préparez à l’avance un briefing, qui doit être aussi factuel que possible, couvrant la menace et la situation externe globale, l’impact potentiel sur votre organisation, et le risque global pour l’entreprise. Profitez de l’occasion pour rappeler à vos responsables les activités tactiques que vous appliquez aux problèmes immédiats, et comment votre stratégie supporte la gestion de tels événements, actuellement et dans le futur. 
  • Collaborez avec vos fournisseurs de sécurité. Les fournisseurs de services de sécurité de votre organisation doivent jouer un rôle proactif pour renforcer votre préparation aux cyberconflits et à la défense en profondeur. Faites confiance aux représentants de vos fournisseurs. Il leur incombe de vous fournir le niveau de service approprié, contractuel ou spécifique à cette technologie. Pour les fournisseurs de produits, confirmez les délais d’exécution et les options d’automatisation pour les mises à jour des règles et des correctifs. Pour les services managés, clarifiez leurs processus et leurs canaux de communication. Vous devriez déjà recevoir des communications de vos fournisseurs concernant le conflit en Ukraine. Si vous n’avez pas encore reçu de mises à jour, contactez directement le fournisseur, votre représentant, l’équipe d’assistance, etc. Accordez une attention particulière aux fournisseurs qui se sont montrés moins réactifs lors de l’opération Log4Shell, car deux prestations inférieures aux attentes pendant une crise révèlent l’existence d’un problème. 
  • Ne tentez pas de prédire ce que feront les États-nations. Dans le monde entier, les agences de renseignement ont fait un travail remarquable en s’unissant et en partageant les renseignements afin de limiter la désinformation et la mésinformation. Ils ont les informations que vous — et nous — n’avons pas, et ils leur en manquent encore. Concentrez-vous sur la préparation et l’amélioration de la résilience de votre entreprise plutôt que d’essayer de prédire ce qui va se passer. 
  • Vous ne pouvez pas vous préparer à des cyberattaques si elles sont déjà en cours, alors ne perdez pas votre temps à essayer.  Les dentistes aiment répéter qu’il « est impossible de préparer un examen dentaire ». Nous sommes dans la même situation, car il est trop tard pour lancer des changements technologiques généralisés. C’est pourquoi la cybersécurité est un programme et sa préparation a énormément d’importance. Si, à la suite d’une récente session de simulation, vous pouvez apporter des modifications aux processus ou à la communication, faites-le, sans oublier de mettre à jour votre documentation. 

Ce que vous pouvez faire ensuite 

Après les étapes ci-dessus, voici quoi d’autre vérifier : 

  • Préparez-vous à recevoir des volumes élevés de désinformation et de mésinformation. La désinformation et la mésinformation ont joué un rôle important dans la préparation de ce conflit. Les allégations de fausses réunions de cabinet organisées bien après que les décisions aient été prises en sont un exemple. Le 3 février, les États-Unis ont prédit que la Russie utiliserait de fausses vidéos comme prétexte à une invasion. Des chercheurs en renseignement open-source ont analysé une vidéo diffusée deux semaines plus tard, prouvant que les États-Unis avaient raison. Ces vidéos ont deux objectifs : renforcer le sentiment interne en faveur de l’invasion et déformer les récits à l’étranger. En France, en Inde, au Royaume-Uni et aux États-Unis, les personnes interrogées dans le cadre de notre enquête Global Trust Imperative Survey de mars 2021 font davantage confiance à leurs employeurs qu’aux dirigeants de leur gouvernement national et local.. Cela signifie que les informations fournies par votre équipe de sécurité ont un poids considérable. Gardez donc à portée de main vos plans de réponse aux incidents et leurs éléments de communication. 
  • Préparez des outils de communication sécurisés pour la sécurité, la confidentialité et la fiabilité.  Les entreprises qui s’inquiètent de la sécurité et de la confidentialité des communications professionnelles, telles que l’écoute clandestine, l’exposition des métadonnées de communication, la perte de données ou la non-conformité, sur les canaux traditionnels peuvent prendre des mesures pour protéger les communications d’entreprise. En Ukraine et dans sa région, les employés peuvent également être confrontés à des perturbations de l’infrastructure de communication. Les solutions d’appels et de messagerie chiffrées, comme Element, KoolSpan et Wickr fonctionnent dans des environnements à faible bande passante. Et ces outils ne sont pas des investissements ponctuels. Vous pouvez les utiliser pour protéger vos communications quotidiennes et comme canaux de communication hors bande lors des interventions en cas d’incident, et pour offrir aux managers en déplacement une sécurité renforcée. 
  • Renforcez vos niveaux d’intervention en cas d’incident. Si vous souhaitiez proposer des opportunités de promotion pour les ingénieurs de la sécurité ou les analystes de votre centre d’opérations de sécurité (SOC), le moment est venu. De nombreux fournisseurs de services d’intervention proposent aux équipes internes des formations sur les réponses actives, les enquêtes médico-légales et la collecte de preuves. Une attaque ciblée déclenche généralement une réponse complexe et prolongée. Collaborez avec votre prestataire pour développer un plan de formation afin de créer un groupe d’assistants compétents à promouvoir. Vous permettrez ainsi à vos principaux intervenants de se reposer et d’éviter l’épuisement. 
  • Surveillez l’hygiène des appareils et des logiciels. Cela peut sembler une évidence, surtout si l’on tient compte des politiques C2C (« Comply to Connect ») habituelles, mais c’est un moment crucial pour que vos appareils, vos terminaux et vos applications soient intégralement corrigés et actualisés. Accordez la priorité aux vulnérabilités critiques et à toutes les vulnérabilités pour lesquelles un exploit est connu, mais ne négligez pas les risques élevés et moyens. Un attaquant indépendant qui a accumulé un arriéré d’exploits pourrait bien décider de les utiliser pendant que l’attention mondiale est accaparée par la guerre en Ukraine. En outre, envisagez un exercice de simulation pour contrer une vulnérabilité zero-day et la corriger. 

Remarque : Heath Mullins, analyste principal, a également contribué à cet article de blog. 
Note : Cet article a été traduit. Langue originale : anglais.