Le conflit Russo-Ukrainien jette une nouvelle lumière sur la façon de gérer les cyberattaques

Cybersécurité

Ce conflit a le potentiel d’accroître la fréquence et la sophistication des cyberattaques, tout en supprimant la possibilité de recourir simplement à des versements en argent liquide ou une assurance pour se sortir d’une mauvaise passe.

Alors que la situation en Ukraine se dégrade de jour en jour, le futur semble très incertain. Et pour la première fois, nous assistons au développement d’une guerre hybride, dans une société des plus connectées où chaque action et réaction se jouent non seulement sur le front, mais aussi en ligne et à l’échelle mondiale via TikTok, Facebook et Reddit.

Les combats sont également différents. Les chars et les troupes sont toujours en première ligne, mais le cyberespace occupe une place de plus en plus importante sur le champ de bataille. Des emails de phishing inondent les militaires ainsi que les citoyens ukrainiens, et des attaques par déni de service distribué (DDoS) submergent les sites web pour nuire au moral des troupes ainsi qu’à la capacité de réaction des victimes.

Alors que la Russie affirmait « n’avoir jamais mené et n’avoir aucune intention de mener des opérations « malveillantes » dans le cyberespace », les faits semblent contredire cette déclaration. Les cybercriminels, tels que le groupe Conti, ont déclaré publiquement leur intention de soutenir activement l’action de la Russie, menaçant de représailles toute cyber-intervention de pays allié à l’Ukraine. En réaction, Mykhailo Fedorov, le vice-premier ministre ukrainien, a annoncé la formation d’une « armée numérique nationale » pour contre-attaquer, et fournir une liste de cibles prioritaires, dont les sites Web du gouvernement de Moscou et des entreprises russes.

Cette cyberguerre s’accompagne aussi de sanctions financières, une autre arme appliquée à l’échelle mondiale contre les agresseurs russes. Il est fort possible que la cyber guerre et les sanctions se poursuivent bien au-delà de la résolution de tout conflit terrestre, ce qui laisse deviner un bouleversement profond du paysage des menaces actuelles connues.

L’agression russe change la donne pour les cybermenaces

Jusqu’à présent, les gouvernements occidentaux ont toléré les cyberattaques, s’inquiétant plus des répercussions d’un « contre-piratage » et ne semblant pas disposés à lancer une offensive majeure dans le cyberespace. Maintenant que les lignes d’affrontement au sol comme en ligne sont plus concrètes, il est possible que les cyberattaques des États de l’alliance soient plus directes et régulières.

Il faut espérer que ces attaques restent purement politiques et qu’elles ne se répercutent pas dans la vie de tous les jours. Ceci étant dit, la prédominance des « Ransomware as a Service » et le nombre croissant d’attaques récentes contre des établissements publics : hôpitaux, transports, usines de traitement de l’eau etc., laissent à penser que les attaques contre les infrastructures critiques sont à la portée des cybercriminels, ce qui obligerait les pays occidentaux à accepter une nouvelle réalité : apprendre à vivre avec des pannes de courant, des retards dans les transports et des défaillances chroniques dans les systèmes financiers nationaux et internationaux.

Malgré tout, le scénario le plus probable est un changement de politique concernant les ransomwares. Les gouvernements ont toléré que des paiements importants soient versés aux cybercriminels russes pour permettre aux entreprises de se rétablir et fonctionner normalement. C’est le cas de JBS Foods, qui a versé 11 millions de dollars à REvil, ainsi que Colonial Pipeline, qui a payé 4,4 millions de dollars à Darkside.

Lorsque ces fonds sont susceptibles d’affluer vers un état ostensiblement hostile, avec une juridiction permettant de contourner les sanctions financières, les gouvernements occidentaux se doivent de tracer une ligne législative claire.

Les organisations qui jusqu’à présent n’avaient accordé que peu d’attention à la cybersécurité, disposent maintenant d’un délai très court pour changer leur mode de fonctionnement. Ce conflit a le potentiel d’accroître la fréquence et la sophistication des cyberattaques, tout en supprimant la possibilité de recourir simplement à des versements en argent liquide ou une assurance pour se sortir d’une mauvaise passe.

La cyber-résistance deviendra aussi impérative pour une entreprise ou toute autre organisation étatique, que son bilan comptable – car les deux sont de plus en plus liés – et nous pouvons par ailleurs nous attendre à ce que l’action gouvernementale renforce cette priorité dans le secteur privé.

Qu’en est-il des acteurs à l’origine de la menace ? Si les entreprises cessent de payer des rançons et améliorent à la fois leur résistance et leur tolérance aux perturbations, où trouveront-elles leurs ressources ? Peut-être en ciblant directement les grandes bases de données hébergées dans le cloud, ou peut-être en détournant leur attention des entreprises vers des utilisateurs individuels, en préférant dix mille attaques à 1 000 euros plutôt qu’une attaque à 10 millions d’euros ?

Il est temps de renforcer ses lignes de défense

À l’heure actuelle, les responsables de la sécurité des systèmes d’information (RSSI) sont préoccupés par la gestion de leurs installations et infrastructures existantes en Russie, tout en scrutant nerveusement l’horizon militaire avec la peur qu’une cyberattaque militaire ne déborde sur les activités de leur entreprise. Nombre d’entre elles ont créé ou préparent activement des plans de repli pour protéger leur cœur de métier. Leur stratégie première est d’identifier les différentes positions et les différents contrôles que l’entreprise peut adopter pour s’isoler de la menace tout en continuant à assurer leurs services essentiels.

Il est peu probable qu’une attaque, lorsqu’elle surviendra, soit entièrement nouvelle. Les contrôles de bon sens que les fournisseurs de cybersécurité appliquent depuis des années restent pertinents, mais il est désormais essentiel qu’ils soient mis en œuvre avec une efficacité supplémentaire.

Les correctifs, les sauvegardes, les formations à la sensibilisation, la prévention contre le phishing et les entraînements de réponses aux incidents sont des bonnes pratiques que toute entreprise devrait mettre en place. Comme pour le COVID, nous avions tous l’habitude de nous laver les mains, mais ce n’est que lorsque nous avons commencé à le faire beaucoup plus régulièrement que cette action a vraiment eu de l’effet.


Auteur
En savoir plus 
Resident CISO EMEA
Proofpoint
Andrew Rose est Resident CISO EMEA à Proofpoint
En savoir plus 

Livres blancs A la Une