Les défenses des entreprises doivent se renforcer pour faire face à un paysage géopolitique en mutation

Lorsque le monde a appris que la Russie avait envahi l'Ukraine fin février, des observateurs extérieurs s'attendaient à ce qu'une forte dose de cyberattaques se produise dans les tactiques d'invasion. Mais à la surprise de beaucoup de gens, les cyberattaques ont été limitées et ciblées plutôt que généralisées. La Russie a certainement démontré sa cyberpuissance et ses capacités dans le passé ; l'incident de 2016 au cours duquelDes hackers russes ont piraté le réseau électrique ukrainien.

Alors pourquoi la Russie n'a-t-elle pas fait des cyberattaques à grande échelle une priorité absolue au cours des cinq dernières semaines ?

Nous savons que le GRU (alias Direction principale du renseignement russe, et non le personnage de Moi, moche et méchant) a été impliqué dans leAttaques par déni de service perturbateur (DDoS) contre le secteur financier ukrainien à la mi-février. Une autre cyberattaque, comme le rapporteLe Washington Post , a laissé entendre que des pirates informatiques militaires russes avaient attaqué un service clé à large bande par satellite. Selon des experts du renseignement américain, cette cyberattaque a perturbé les efforts de communication militaire de l'Ukraine le mois dernier.

D'autres cyberattaques arrivent-elles ?

En prévision d'une escalade des cyberattaques sur les infrastructures américaines, leLa Maison Blanche a publié une déclaration cela suggérait que la Russie pourrait mener une cyberactivité malveillante contre les États-Unis. La Maison Blanche a exhorté chaque entreprise américaine à risque à «renforcer ses défenses en matière de cybersécurité… pour renforcer la cybersécurité et la résilience des services et technologies critiques sur lesquels les Américains comptent».

Malgré ces craintes et ces attentes, peu d'activités sérieuses ont eu lieu. L'une des raisons est que le gouvernement et l'armée russes ont supposé que la victoire serait simple et rapide, et que la force physique serait le seul moyen nécessaire. Par conséquent, les cyberattaques, ainsi que leur planification et leur mise en œuvre complexes, ne seraient pas nécessaires.

Un deuxième scénario est que même si la guerre s'éternise, la modération dans le domaine de la cyberguerre a prévalu. Une cyberattaque russe majeure contre les États-Unis ou l'OTAN conduirait potentiellement à engager ces formidables forces d'une manière beaucoup plus significative.

Une autre école de pensée est que nos défenses sont en fait meilleures que ce que beaucoup de gens supposaient. Au-delà des États-Unis et de nos alliés de l'OTAN, même les défenses de l'Ukraine sont beaucoup plus solides qu'elles ne l'étaient il y a six ans. L'Ukraine a dépensé du temps et de l'argent pour renforcer ses structures de cyberdéfense à la suite de ses expériences passées avec des pirates informatiques russes attaquant son réseau électrique en 2016.

Certains ont également émis l'hypothèse que la force externalisée des talents en cybersécurité à l'intérieur et à l'extérieur de l'Ukraine a contribué à fournir un niveau de protection contre les attaques russes. Dans le même temps, nous savons qu'un grand nombre de pirates informatiques se sont réunis pour aider l'effort russe.

C'est ce groupe de hackers non organisés et décentralisés qui a probablement créé le plus d'activité au cours du dernier mois et demi, et continuera de le faire. Cependant, ce sont les cyber-armes organisées et avancées d'une entité soutenue par le gouvernement qui pourraient créer les plus grands dégâts. Et ce n'est pas seulement la Russie que nous devrions regarder, étant donné qu'il existe des preuves suggérantChinea coordonné des tentatives de piratage sur plus de 600 sites Web appartenant au ministère de la Défense à Kiev ainsi qu'à des établissements médicaux et éducatifs menant à l'invasion.

De nombreux experts diraient que d'autres tentatives sont encore à venir, que les attaques avancées nécessitent un temps considérable de planification, de coordination et d'implantation, et qu'elles sont toujours formulées contre nous.

Ainsi, quel que soit le scénario ou les scénarios qui se vérifient, les RSSI doivent rester plus vigilants que jamais pour se protéger contre ces menaces émanant à la fois de la communauté des pirates et des organisations soutenues par le gouvernement.

Protéger le réseau et les systèmes cloud

La planification d'un scénario du pire potentiel est toujours une priorité pour ceux qui travaillent dans des rôles de sécurité – maintenant plus que jamais. Bien qu'il existe de nombreux vecteurs d'attaque, une stratégie logique et directe tirerait parti des informations d'identification compromises des employés clés de votre organisation. Les adversaires ont un accès illimité à vos systèmes et peuvent s'attaquer à votre infrastructure interne ou basée sur le cloud, en la mettant hors ligne.

Comment mieux protéger votre entreprise contre une telle attaque ? Considérez ces quatre pratiques :

1. Assurez-vous que l'identité de vos employés et les identifiants de contrôle d'accès sont verrouillés dans la mesure du possible. Espérons que l'authentification à deux ou plusieurs facteurs est déjà en place. L'authentification en deux ou plusieurs étapes peut mieux protéger votre entreprise contre les informations d'identification exposées utilisées à des fins nuisibles.
2. Renforcez la nécessité pour les employés de réinitialiser fréquemment leurs mots de passe pour vous assurer que les mots de passe compromis ne fonctionnent plus.
3. Passez en revue vos manuels et processus de réponse aux incidents. De nombreuses entreprises ont déployé des solutions SOAR pour aider à la réponse aux incidents. Il est essentiel d'effectuer des exercices ou des exercices sur table avec vos équipes pour vous assurer que vous pouvez réagir efficacement en cas d'attaque.
4. Le partage d'informations avec des partenaires et des pairs doit devenir une pratique courante. Les RSSI doivent prendre en comptepartage de données sur les menaces et les meilleures pratiques avec ces organisations externes. On parle de cette question depuis des années, et il y a encore beaucoup de réticence. La protection de votre industrie, de votre entreprise et de votre pays devrait l'emporter sur la peur de divulguer des problèmes.

Plusieurs organisations industrielles différentes sont impliquées dans le partage de données, commeIT-ISACetISAO , mais cette activité peut aussi se dérouler à un niveau plus local. Par exemple, vous pouvez configurer un appel Zoom privé avec quelques pairs du secteur pour partager des informations. Vous serez surpris des connaissances que vous acquerrez et de l'empressement de certains à partager ce qu'ils savent dans ce domaine.

Certains experts ont appelé à plus (ou moins) d'intervention gouvernementale en matière de cybersécurité. Cependant, je pense que c'est un sujet pour un autre article.

En attendant, en tant que leaders de l'industrie, nous devons renforcer nos défenses d'entreprise et garder un œil sur nos partenaires pour les risques de sécurité nouveaux et en évolution. Cela ne peut que nous aider en tant qu'architectes de l'information à construire le cadre le plus puissant contre tous les risques de cybersécurité possibles.