La guerre Russie-Ukraine

Depuis plusieurs jours, le monde est en ébullition avec les nouvelles en provenance d'Ukraine. Les gens sont choqués de voir des bâtiments bombardés et des images de convois de chars. Il est difficile d'imaginer une telle chose au 21est siècle en Europe.

Ce qui n'était pas immédiatement évident, en revanche, c'est la cyber-guerre qui fait rage dans les coulisses. Des cyberattaques visant des sites gouvernementaux et de grandes banques ont été signalées avant même que le conflit ne prenne forme physiquement. Nous avons examiné les attaques de cybersécurité signalées et présumées liées à la guerre entre la Russie et l'Ukraine et avons formulé une série de recommandations d'actions immédiates et à court terme que les organisations pourraient privilégier pour réduire les risques potentiels pour leurs environnements.

Ce qu'il faut surveiller et comment ne pas céder à la panique

Concentrez-vous sur les renseignements liés à votre secteur vertical et spécifiques à votre organisation. Suivez les conseils des entités gouvernementales dédiées à la cybersécurité et, si vous avez accès aux renseignements sur les menaces, prêtez une attention particulière aux brèches qui n'ont pas encore été signalées. Les acteurs malveillants profiteront du chaos, alors méfiez-vous des tactiques connues, comme les attaques DDoS, le phishing, le vishing ou les attaques de baleines.

Comme dans toute situation critique, ne cédez pas à la panique. Concentrez-vous sur les éléments qui peuvent être contrôlés, soyez vigilant et renforcez les mesures préventives. Ce n'est pas le moment de déployer de nouvelles solutions ou de tester de nouveaux protocoles.

Attaques connues à ce jour :

• Les attaques DDoS contre des entités critiques, telles que les institutions gouvernementales et financières, ont gagné en intensité avant même l'attaque de février.
• Des effaceurs de données ont été repérés sur des ordinateurs ukrainiens des mois avant que l'attaque physique n'ait lieu.
• Le malware Daxin est une porte dérobée de type rootkit qui permet aux attaquants de communiquer avec des dispositifs sécurisés.
• WhisperGate est un malware destructeur conçu pour ressembler à un ransomware mais sans le mécanisme de récupération habituel.
• Ingénierie sociale visant à promouvoir la désinformation pour favoriser le chaos et semer la confusion.

Que pouvons-nous attendre dans un avenir proche ?

Avec la dernière série de sanctions économiques contre la Russie, les activités quotidiennes du secteur financier sont fortement perturbées. Après avoir restreint l'accès à SWIFT, le gouvernement russe a du mal à accéder aux fonds, de la même manière que la population est privée de transactions simples. Cela pourrait signifier que les groupes de pirates informatiques soutenus par l'État, ainsi que les experts en technologie qui se retrouvent soudainement sans emploi, cherchent d'autres moyens de sécuriser les fonds, la cybercriminalité.

• Les logiciels malveillants dormants pourraient être réactivés. C'est pourquoi il est de la plus haute importance de procéder à une évaluation de la compromission et de réexaminer les anciens journaux à la recherche d'éventuelles anomalies.
• Les attaques physiques sur les infrastructures de communication, telles que les câbles de données, les fournisseurs de cloud computing et les centres de données, pourraient entraîner une interruption immédiate du service. Passez en revue vos plans de continuité des activités et votre politique de réponse aux incidents afin de vous préparer à toute éventualité.
• Les attaques automatisées visant votre infrastructure informatique pourraient également augmenter. Des attaques brutales pourraient être attendues, car les groupes de pirates augmentent leur activité et mettent à jour les logiciels malveillants existants. Investissez dans des sécurité DDoS et des technologies de détection sans signature qui utilisent l'IA et l'apprentissage automatique pour détecter les logiciels malveillants et les comportements malveillants inconnus.
• Des attaques discrètes répétées peuvent servir à dissimuler une violation plus subtile en créant une diversion pour implanter des logiciels malveillants plus lents et cachés qui pourraient ne pas être immédiatement repérés. Intégrez l'évaluation des risques et la chasse aux menaces dans votre routine et utilisez la technologie UBA (User Behavior Analytics) pour détecter les menaces cachées.
• L'ingénierie sociale peut être particulièrement préjudiciable car les pirates profitent de la confusion en se faisant passer pour des personnes de haut rang au sein des organisations. Le coût de la mise en place d'un programme de sensibilisation à la sécurité pour les employés afin d'améliorer votre niveau de maturité en matière de cybersécurité est minime par rapport aux dommages potentiels d'une attaque bien coordonnée.

Toutefois, ce que les experts en cybersécurité redoutent, c'est que ces menaces se propagent à grande échelle et affectent l'environnement mondial. Les violations de données ne suivent pas les frontières, et les attaques de réseau pourraient propager les logiciels malveillants comme une traînée de poudre sur des systèmes entiers. Alors, que peuvent faire les organisations pour atténuer les risques ?

• Créez une équipe de cybersécurité qui a l'autorité et l'accès à l'ensemble de l'organisation pour une visibilité complète. Les silos ne résisteront pas à une menace potentielle.
• Multiplier les formations de sensibilisation à la cybersécurité pour les employés de tous niveaux, en fonction de leurs responsabilités et de leurs niveaux d'accès.
• Passez en revue les anciens processus, créez un processus de niveau supérieur en cas de violation hypothétique et communiquez les processus mis à jour à tous les niveaux, du niveau C aux managers.
• Traitez tous les scénarios possibles de la meilleure façon possible afin qu'en cas de violation, chacun comprenne clairement ce qu'il faut faire et quelles sont les parties responsables à contacter en cas d'attaque.
• Si vous travaillez déjà avec un fournisseur de sécurité, engagez une conversation pour mieux comprendre sa méthodologie. Si vous ne travaillez pas avec un expert en cybersécurité, trouvez-en un pour vous aider à mettre en place un plan d'urgence et à atténuer les menaces.
• Effectuez une évaluation de la vulnérabilité et une évaluation de la compromission afin d'acquérir une compréhension complète de votre profil de risque, y compris les réseaux, les dispositifs, les appareils et les postes de travail. Traitez en priorité les faiblesses constatées et continuez à suivre les vulnérabilités potentielles.
• Prévoyez un rapport de renseignement sur les menaces, tel que l'empreinte numérique ou la surveillance du darknet, pour repérer les mentions de votre marque dans les forums de pirates informatiques.
• Passez en revue les points d'accès à votre réseau, en particulier s'il existe une communication avec des entités entre votre marque et tout réseau ukrainien.

Il est clair que chaque organisation traverse une période difficile, mais grâce à une bonne hygiène informatique et à des mesures préventives précises, les menaces peuvent être traitées avec un minimum de perturbations. Contactez-nous pour programmer un rapport d'évaluation des menaces avec nos experts ou prenez rendez-vous pour des services de sécurité gérés.