Cybersécurité : préparer la reprise d’activité au déconfinement

8 mai 2020

Actualité

Precautions to avoid the spread of viral diseases, covid 19. Mask and sanitizer on the desktop, near keyboard, laptop and notebook. Top view, flat lay Precautions to avoid the spread of viral diseases, covid 19. Mask and sanitizer on the desktop, near keyboard, laptop and notebook. Top view, flat lay

Durant la période de confinement liée à la crise sanitaire du CORONAVIRUS – COVID-19, de nombreuses organisations (entreprises, collectivités, associations…) ont dû interrompre leur activité ou au mieux la maintenir partiellement, en recourant au télétravail de manière parfois massive, voire improvisée. Dans le même temps, et comme redouté, les activités cybercriminelles se sont intensifiées pour profiter de cette situation de fragilité des organisations et de leurs collaborateurs.

 

L’annonce du début du déconfinement va permettre aux organisations d’envisager une reprise au moins partielle et progressive de leur activité. Si, dans une première étape, le recours au télétravail reste toujours à privilégier partout où c’est possible, les organisations doivent se préparer à cette reprise, tant au plan sanitaire que pour reprendre le contrôle de leur sécurité numérique.

Pour cela, elles devront réaliser un diagnostic opérationnel qui leur permettra de lister les actions prioritaires à conduire et leur ordonnancement, afin de rétablir leur maîtrise de la sécurité de leurs systèmes d’information.

Les 10 mesures suivantes visent à aider les organisations dans la réalisation de leur plan d’action cybersécurité de déconfinement.

 

1. Recenser et analyser les incidents de sécurité

Les incidents de sécurité qui ont pu se produire durant le confinement doivent être recueillis et contrôlés pour s’assurer qu’ils n’ont pas engendré de faiblesse dans la sécurité de l’organisation et pour les corriger au besoin. Un appel à signalement complémentaire des collaborateurs pourra utilement être réalisé, avec des exemples concrets (exemples : hameçonnage de mot de passe, document suspect reçu en pièce-jointe d’un message…), pour cerner le plus précisément possible les incidents survenus.

 

2. S’assurer du bon fonctionnement de ses outils de protection

Il est primordial de s’assurer du bon fonctionnement des outils de sécurité avant d’envisager une reprise d’activité : antivirus, pare-feu, systèmes de détection d’intrusion… Toute anomalie comme par exemple l’arrêt d’un antivirus sur un système critique, devra être considérée comme un signe possible d’attaque et investiguée comme tel.

 

3. Rechercher les indices de compromission

Les journaux des pare-feux, antivirus, proxy, serveurs critiques… doivent être analysés à la recherche de tout indice suggérant une possible cyberattaque comme des connexions inhabituelles, des détections de programmes malveillants ou des transferts anormaux d’informations. Il conviendra également de vérifier les pare-feux à la recherche de nouvelles règles inappropriées, les annuaires de comptes pour déceler toute création de nouveau compte suspect, ou encore les serveurs de messagerie pour repérer des règles de transferts de messages vers des comptes externes illégitimes, qui auraient pu être créées durant la période de crise.

 

4. Contrôler et tester les sauvegardes

L’actualité démontre que les sauvegardes sont déterminantes pour toute entreprise victime d’une cyber attaque. Avant de reprendre l’activité de l’organisation, il est donc particulièrement important de vérifier leur bon fonctionnement, notamment en procédant à des tests de restauration et de s’assurer de disposer d’une copie récente des données qui soit déconnectée du réseau afin de pouvoir faire face à une attaque par rançongiciel.

 

5. Réaliser les mises à jour de sécurité en instance

Si durant le confinement certains systèmes n’ont pas pu recevoir leurs mises à jour de sécurité, il convient de mettre en œuvre un plan de rattrapage cohérent et sans précipitation pour éviter tout effet de bord sur l’activité opérationnelle. La priorité sera donnée aux systèmes de sécurité, puis aux systèmes ou serveurs critiques exposés directement ou indirectement sur Internet, et enfin aux postes de travail des collaborateurs.

 

6. Recentraliser les données

Durant le confinement, des données de l’organisation ont pu être dispersées sur les postes des télétravailleurs ou de manière temporaire sur certains services de d’hébergement externes (cloud). Il convient donc de les recentraliser au sein de l’organisation pour s’assurer de leurs sauvegardes et de les supprimer dans les règles de l’art sur les stockages inappropriés pour limiter tout risque d’atteinte en matière de confidentialité.

 

7. Contrôler les équipements nomades avant de les reconnecter au réseau de l’entreprise

Avant d’en ré-autoriser la connexion au système d’information de l’entreprise, tous les équipements nomades utilisés durant le confinement (ordinateurs portables, téléphones mobiles, tablettes) doivent faire l’objet d’un contrôle strict pour s’assurer qu’ils n’ont pas été compromis, et idéalement faire l’objet d’une réinstallation complète depuis une matrice maîtrisée, sécurisée et convenablement mise à jour par l’organisation.

 

8. Refermer les accès externes devenus inutiles

L’organisation doit s’attacher à réduire son exposition, et donc sa surface d’attaque, en refermant tous les accès externes ouverts qui seraient devenus inutiles. Il peut s’agir d’accès externes à fermer au niveau des pare-feux mais aussi de comptes avec droits privilégiés ouverts à titre exceptionnel sur certains systèmes de l’organisation qu’il faudra clôturer.

 

9. Mettre fin aux usages à risques dérogatoires

Pour faire face au confinement, de nombreux usages d’applications, de services ou de pratiques ont pu être autorisés à titre exceptionnel mais peuvent présenter un risque de sécurité pour l’organisation. Il convient donc de communiquer avec pédagogie et transparence sur l’arrêt d’autorisation de ces pratiques dérogatoires.

 

10. Tirer rapidement les enseignements du confinement pour traiter tout ce qui doit l’être

L’organisation doit savoir tirer les enseignements de la crise pour se préparer à être en capacité de mieux l’affronter en cas de résurgence. Cela peut concerner sa politique d’équipement matériel en postes nomades professionnels maîtrisés pour les télétravailleurs, en équipements logiciels ou outils de travail à distance (visioconférence, téléconférence, hébergements de données…), en outils et procédures sécurisées de télétravail ou de télé-administration de ses systèmes, en infrastructures de sécurisation de ses systèmes, en formation et sensibilisation de ses collaborateurs, etc.

 

————————————————–

Le mot de Caroline, responsable communication et chef de projet HACK IN PARIS,  SYSDREAM

« Ces 10 mesures sont en effet indispensables pour se préparer à une reprise progressive et pour laquelle les cyber-attaquants seront toujours au rendez-vous. Ces derniers ont profité du confinement et de l’urgence à laquelle des millions d’entreprises ont dû faire face, pour mener à bien des actions malveillantes. La reprise est également dans leur ligne de mire et le diagnostic opérationnel devra être anticipé pour ne pas se retrouver, une fois de plus, pris de cours. Nous parlons beaucoup de la sécurité sanitaire dans les bureaux, mais la sécurité informatique est tout aussi primordiale. »

————————————————-

 

Un article Cybermalveillance.gouv.fr

Besoin de plus d'informations

Cybermalveillance.gouv.fr
Cybermalveillance.gouv.fr

Cybermalveillance.gouv.fr a pour missions d'aider les entreprises, les particuliers et les collectivités victimes de cybermalveillance, de les informer sur les menaces numériques et de leur donner les moyens de se défendre.


Pour aller plus loin

Pour recevoir la documentation Hub One adaptée à vos besoins

Le présent site stocke des cookies et autres traceurs sur votre équipement (ci-après dénommés « cookies »). Ces cookies sont utilisés par Hub One pour collecter des informations sur la manière dont vous interagissez avec le site et établir des statistiques et des volumes de fréquentation et d’utilisation afin d’améliorer votre parcours en tant qu’utilisateur.
Vous pouvez choisir de ne pas autoriser certains types de cookies, à l’exception de ceux permettant la fourniture du présent site web et qui sont strictement nécessaires au fonctionnement de ce dernier. Pour accepter ou refuser l’utilisation des différentes catégories de cookies (à l’exception de la catégorie des cookies strictement nécessaires), rendez-vous dans les Préférences cookies.
Vous pouvez à tout moment revenir sur votre autorisation d’utilisation des cookies (Préférences cookies).
Le refus de l’utilisation de certains cookies peut avoir un impact sur votre utilisation du site.
En savoir plus : Politique cookies
Préférences cookies
Refuser tous les cookies
Accepter tous les cookies