Directeur(trice) TI ou CISO d’Infrastructure ou service essentiel: voici comment se protéger contre les cyberattaques Russes
Aucun jour ne passe sans que les médias parlent des cyber attaques attribuées à la Russie et ciblant les pays de l’OTAN. Le Centre canadien pour la cybersécurité et la Maison Blanche ont émis des alertes afin de sensibiliser les organisations sur l’augmentation du risque de cyberattaques au Canada et aux USA. Nous avons aussi confirmé dans le Journal de Montréal que l’attaque ayant ciblé l’Aluminerie Alouette vient du groupe Russe Conti.
En cette période de conflit militaire, une chose à retenir est bien que le risque de cyberattaques venant du gouvernement Russe est bien réel. Par contre, ces cyberattaques ne cibleront pas toutes les organisations. En effet, elles seront principalement dirigées contre les organisations considérées comme étant vitales pour le Canada (aussi appelées Infrastructures essentielles).
Comment savoir si vous êtes une infrastructure ou un service essentiel?
Afin de savoir si votre organisation est considérée comme étant essentielle ou non, veuillez consulter la liste suivante sur le site de Revenu Québec. Vous pouvez aussi contacter le Centre Canadien pour la Cybersécurité, la GRC ou Sécurité Publique Canada en vue d’avoir une confirmation.
Vous êtes bel et bien un service essentiel si vous avez été autorisé à continuer d’opérer lors de la fermeture des organisations dû à la COVID-19 en mars 2020.
Les infrastructures ou services essentiels ou critiques seront ciblés prioritairement
Les cyberattaques russes seront principalement lancées dans l’intention de punir les pays de l’OTAN qui ont pris des sanctions contre la Russie. L’objectif est de leur faire du mal, les faire regretter leurs décisions afin qu’ils reculent éventuellement. Pour cela, les cyberattaques contre les infrastructures essentielles constituent une arme puissante. Certains secteurs tels que l'Énergie, les Manufacturiers, la Santé/Pharmaceutique, le Transport ainsi que la Distribution seront particulièrement plus visés que d’autres car l’impact de leur piratage peut avoir un (très) fort impact sur la population.
Les principales cyber attaques qui cibleront les infrastructures ou services essentiels
Les rançongiciels vont constituer la principale attaque car les pirates pourront faire d’une pierre deux coups: paralyser les systèmes et collecter une rançon. En plus du gouvernement Russe, plusieurs groupes cybercriminels proches ou éloignés du gouvernement russe vont se rendre disponibles pour lancer de telles attaques. Le groupe cybercriminel russe Conti s’est déjà declaré être prêt à aider la Russie. En matière de cyberattaques, lorsque nous avons la bénédiction de Moscou, presque tout est permis.
Les attaques par déni de service distribué (DDOS) seront aussi de la partie. L’objectif est de saturer les systèmes informatiques afin de les paralyser. Il est fort probable que des demandes de rançons soient demandées à la suite des attaques DDOS. Leurs effets sont dissuasifs et peuvent amener des organisations à négocier pour que l’attaque cesse.
Le risque d'hameçonnage augmentera aussi lors cette période. Il pourra servir de levier pour accéder à de l’information sensible, voler des mots de passe, frauder, etc.
Le risque d’espionnage se verra aussi augmenté durant cette période. L’occasion est bonne afin d’essayer d’accéder à des informations que la Russie convoite depuis des années. Ainsi, si vous êtes de la R&D dans des domaines de pointe (aérospatiale, militaire, manufacturier, AI, pharmaceutique/santé, Universités et Centre de Recherche, etc.) vous êtes des cibles de choix.
Les cyberattaques ciblées ont plus de chance d’aboutir
Les cyberattaques ciblées ont beaucoup plus de chances d’aboutir que les attaques aléatoires. En effet, elle suppose que l’attaquant vous a désigné expressément comme étant une cible puisque vous obtenez quelque chose qui l'intéresse telles que des données sensibles, des propriétés intellectuelles, etc. Il peut tout aussi être simplement convaincu que son action vous nuira fortement.
Contrairement aux attaques aléatoires, celles qui sont ciblées impliquent généralement de gros moyens et plusieurs personnes s’il le faut. Un pays tel que la Russie dispose de grandes capacités dont certaines technologies ainsi que de pirates dans l’intention de lancer des attaques de grandes envergure. L’attaque qui a eu lieu en février 2022 contre l’Ukraine en est un exemple.
Lorsque vous êtes désigné comme étant une cible par Moscou, les chances de piratage sont très élevées si vous ne vous protégez pas.
Comment les infrastructures ou services essentiels peuvent se mettre à l'abri des cyberattaques russes
Les mesures suivantes doivent être appliquées par les services ou infrastructures essentielles ou critiques de manière à se mettre à l'abri des cyberattaques pendant la période de turbulence actuelle.
1- Prendre contact avec les Autorités et suivre leurs consignes
Plusieurs administrations gouvernementales telles que le CST, la GRC ou la Sécurité Publique Canada peuvent vous fournir des informations pertinentes sur l’état de la menace dans votre secteur d’activités. Elles mènent continuellement des activités d’intelligence sur les menaces (threat intelligence) et peuvent vous alerter si votre secteur ou votre organisation est une cible imminente. Enfin, en cas d’attaques, elles pourront vous supporter dans la réponse.
Toutefois, gérez vos attentes. Les autorités ne feront pas le travail de protection de votre réseau à votre place. Cela est votre responsabilité.
2 - Se préparer mentalement et sortir ses muscles
Aucun pays, incluant le Canada et les USA, ne dispose d’une cyber armée capable de protéger toutes ses organisations. Vous-mêmes êtes donc les seuls sur qui compter afin de vous protéger contre les cyberattaques liées au conflit militaire entre l’Ukraine et la Russie.
C’est le moment de tester votre plan de réponse aux incidents de sécurité. Il est donc important et urgent d’en créer un si vous n’en possédez pas à l’instant. Entraînez-vous à gérer des incidents, notamment des cas de rançongiciels et aiguisez vos réflexes. Mettez à jour votre liste d’escalades et assurez-vous d’avoir du personnel disponible 24/7 afin de supporter la gestion d’une cyberattaque.
Ayez aussi à portée de main les contacts de firmes de cybersécurité spécialisées en réponse aux cyberattaques (telle que StreamScan) qui peuvent vous aider en cas de besoin. Nous ne sommes jamais trop prudents!
3 - Sensibiliser votre Haute Direction et vos employés car vous êtes une cible potentielle
Suite à la prise de position de l’OTAN et du Canada contre la Russie et que vous êtes une infrastructure essentielle, tous vos employés et votre Haute Direction doivent être informés du risque possible d’une attaque ciblée. Tous doivent être vigilant. Les cas d'hameçonnage et même les événements de sécurité considérées précédemment comme étant banales doivent être rapportés à l'équipe TI ou cybersécurité. Ce niveau de vigilance accrue doit demeurer jusqu'à la fin du conflit militaire.
4- Appliquer les autres mesures que nous avons recommandées pour minimiser les risques de se faire pirater suite au conflit militaire entre l’Ukraine et la Russie (article Directeurs TI et Dirigeants d’organisations: à quoi s'attendre sur le plan de la cybersécurité suite au conflit militaire actuel entre la Russie et l’Ukraine).
Comment Streamscan peut vous aider ?
Nous pouvons vous aider à définir votre plan de réponse aux incidents et le tester afin de confirmer que vous êtes prêts à faire face aux incidents qui peuvent vous cibler.
Nous agissons comme votre firme de réponse aux incidents. En cas d’incident, vous pouvez compter sur nous pour vous aider à le gérer efficacement. Nous avons à notre actif la gestion de plusieurs dizaines de cas de rançongiciel, exfiltration de données, fraude, hameçonnage, etc.
Notre service de monitoring de sécurité en mode 24/7 vous donne une visibilité à 360 degrés et vous aide à gérer efficacement et proactivement la sécurité de votre réseau. Il vous met aussi à l’abri des cyberattaques. Nous connaissons les moyens les plus utilisés par les pirates pour entrer dans les réseaux et ainsi que leurs modes opératoires. Lors du monitoring de la sécurité de votre réseau, cette connaissance est utilisée afin d’isoler rapidement les cas problématiques et d’y traiter la source avant qu’ils se transforment en problème.