Mesures cyber préventives prioritaires

Face à la guerre entre l’Ukraine et la Russie, l’ANSSI recommande la mise en oeuvre de cinq mesures préventives prioritaires: renforcer l’authentification sur les systèmes d’information; augmenter la supervision de sécurité; sauvegarder hors-ligne les données et les applications critiques; établir une liste priorisée des services numériques critiques de l’entité; s’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque. Ces mesures sont essentielles et leur mise en oeuvre permet de limiter la probabilité d’une cyberattaque.

Afin de réduire le risque d’une cyberattaque, il est recommandé de renforcer l’authentification sur les systèmes d’information, notamment ceux des administrateurs qui ont accés à les systèmes d’information et ceux des personnes cadres. Il est ainsi conseillé de mettre en oeuvre une authentification forte nécessitant l’utilisation de deux facteurs d’authentification différents. Par exemple, un mot de passe et un support metériel ou un autre code reçu par un autre canal comme SMS.

Un système de supervision des événements journalisés doit être mis en place. Il permettra de détecter une éventuelle attaque et de réagir le plus tôt possible. Par ailleurs, le reforcement de la vigilance des équipes de supervision est indispensable, en investiguant les anomalies susceptibles d’être ignorées en temps normal. Plus particulièrement, en environnement Active Directory, les connexions anormales sur les contrôleurs de domaine doivent être inspectées.

Des sauvegardes régulières des données doivent être réalisées. Ces sauvegardes, au moins pour les plus critiques, doivent être déconnectées du système d’information pour prévenir leur chiffrement. L’usage de solutions de stockage à froid permettent de protéger les sauvegardes d’une infection des systèmes et de conserver les données critiques à la reprise d’activité. L’actualisation fréquente de ces sauvegardes est également préconisée.

Avoir une vision claire de les systèmes d’information et de leur criticité est essentielle pour prioriser les actions de sécurisation ainsi que pour réagir efficacement en cas d’incident. Ils est donc conseillé pour les entités de réaliser un inventaire de leurs services numériques et de les lister par sensibilité pour la continuité d’activité de l’entreprise. Les dépendances vis-à-vis de prestataires doivent également être indentifiées.

Une cyberattaque peut avoir un effet déstabilisateur sur les organisations. Définir des points de contact d’urgence, y compris chez les prestataires de services numériques et s’assurer d’avoir les numéros en version papier est utile dans ces situations. Au-delà, il s’agit pour les organisations de définir un plan de réponse aux cyberattaques associé au dispositif de gestion de crise visant à assurer la continuité d’activité, puis son retour à un état nominal.

Merci! À bientòt!