Connect with us

Technologie

Préparez-vous, mais ne paniquez pas, face à la prétendue cybermenace russe

Published

on


Les équipes de sécurité informatique à travers l’Europe devraient être attentives à la possibilité de cyberattaques provenant de Russie ciblant leurs systèmes dans les semaines à venir, mais ce n’est pas le moment de paniquer – plutôt une réponse rationnelle et équilibrée devrait être utilisée.

C’est l’évaluation des pros et des analystes de la cybercommunauté alors qu’ils réagissent à l’escalade continue des tensions entre les États-Unis et la Russie au sujet de l’Ukraine, et au risque très réel qu’une guerre meurtrière éclate en Europe de l’Est. Un tel incident attirerait inévitablement des alliés de l’OTAN, y compris le Royaume-Uni.

Cela intervient après que le département américain de la Sécurité intérieure (DHS) a averti les organismes d’application de la loi à travers les États-Unis de la possibilité de cyberattaques destructrices émanant d’acteurs de la menace persistante avancée (APT) soutenus par la Russie.

Le bulletin a été envoyé aux forces de l’ordre à travers les États-Unis le dimanche 23 janvier et a été rapidement divulgué à la chaîne d’information télévisée ABC.

Dans le bulletin, le DHS a estimé que la Russie « envisagerait de lancer une cyberattaque contre la patrie ». [the US]« S’il percevait qu’une réponse des États-Unis ou de l’OTAN à une invasion complète de l’Ukraine menaçait sa sécurité nationale.

Il a déclaré que la Russie disposait d’une gamme d’outils cybernétiques offensifs, avec des impacts allant des attaques par déni de service distribué (DDoS) aux cyberattaques destructrices ciblant les infrastructures nationales critiques (CNI). Il a cité des attaques précédentes contre des cibles ukrainiennes comme preuve.

La portée des attaques potentielles et la capacité de la Russie à les livrer ont été évaluées plus tôt en janvier par Mandiant.

Le DHS a déclaré que le seuil de la Russie pour mener de telles attaques était très élevé et qu’il n’avait pas encore observé Moscou attaquer directement le CNI. Notez que les récents incidents très médiatisés ciblant des entreprises comme Colonial Pipeline ont été menés par des gangs de ransomwares motivés par des raisons financières, plutôt que par des acteurs soutenus par l’État, bien que les frontières entre les deux soient souvent floues.

Abondance de prudence

Ken Westin, directeur de la stratégie de sécurité chez Cybereason, a déclaré que le risque d’une cyberattaque russe en ce moment était probablement faible, mais que si une agence telle que le DHS était au courant d’une menace et n’informait pas les gens, elle ferait face à une réaction négative si quelque chose se produisait, d’où la nécessité d’une abondance de prudence.

Néanmoins, a déclaré Westin, l’incertitude entourant les intentions et les capacités des cyber-équipes offensives de la Russie créait une situation stressante pour tous.

« Aujourd’hui, ni les organisations ni les particuliers ne devraient paniquer en raison du bulletin du DHS, mais devraient rester vigilants, identifier les actifs qui pourraient être ciblés, établir des plans pour la continuité des activités et la cyber-résilience, et prêter attention aux nouvelles et aux renseignements sur les menaces si la situation s’aggrave dans les prochains jours », a-t-il déclaré.

Kev Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs, a déclaré qu’étant donné l’hébergement par la Russie de gangs cybercriminels avancés, tels que REvil, ce serait une grave erreur de supposer que l’État lui-même n’a pas des capacités aussi avancées.

« Une attaque d’une ampleur significative, y compris une attaque délibérée contre des infrastructures critiques américaines, aurait presque certainement des conséquences géopolitiques plus larges », a-t-il déclaré. « Avec ce nouveau bulletin, le DHS travaille sur la base qu’être prévenu, c’est être préarmé – et la préparation est la clé.

« Dans ce monde en évolution rapide de cyberattaques constantes et d’exploits zero-day, il est toujours préférable de pécher par excès de prudence. Il est préférable de supposer que vous êtes une cible et d’avoir des plans stratégiques en place pour correspondre aux capacités des adversaires. La résilience consiste autant à planifier et à exercer des capacités pour s’assurer que tous les risques potentiels sont atténués, à l’avance, aussi bien que possible.

Tom Garrubba, vice-président de Shared Assessments, a déclaré que toutes les organisations, quel que soit leur secteur d’activité, devraient fonctionner dans un état d’alerte accru à mesure que le monde géopolitique et l’environnement des cybermenaces entrent en collision.

« Une diligence appropriée est attendue, et, espérons-le, obligatoire, pour s’assurer que tous les outils et techniques de cyberdéfense sont utilisés pour protéger vos actifs de données les plus précieux », a-t-il déclaré. « L’intelligence, la surveillance et le dialogue continus avec les partenaires et les fournisseurs essentiels devraient être continus pour s’assurer que « tout est prêt » en cas de besoins de rétablissement ou qu’un soutien supplémentaire est disponible dans le cas où quelque chose devait se produire. »

Westin de Cybereason a ajouté: « Ce qui m’inquiète aujourd’hui avec la Russie, c’est qu’elle dispose déjà d’un arsenal d’exploits zero-day, ainsi que d’un accès initial à certaines cibles. Cependant, tous les jours zéro qu’ils peuvent posséder seront « dépensés » pour l’exécution initiale, il y a donc un risque que la Russie les déploie et expose leeir capacités.

« Les États-Unis et leurs alliés ont également des capacités cybernétiques offensives, et les entreprises peuvent être prises entre deux feux et être des dommages collatéraux. Une cible clé peut être non seulement les infrastructures critiques, mais aussi nos systèmes financiers et de santé ou nos réseaux électriques pour tenter de déclencher une panique.

Nouvelles règles

Alors que la cyberguerre fait parler de lui depuis des années – et que de nombreuses vieilles mains dans le jeu de la sécurité conviennent que l’Occident est dans une cyberguerre de bas niveau avec la Russie depuis un certain temps maintenant – l’escalade de la crise ukrainienne en conflit ouvert (une guerre cinétique) accompagnée de cyberattaques de cette ampleur serait une première mondiale.

« L’industrie de la cybersécurité s’est habituée à lancer l’idée d’adversaires ‘d’État-nation’, mais je pense que nous n’avons pas encore vu de cyberattaques utilisées de concert avec une campagne militaire à part entière », a déclaré Tim Erlin, vice-président de la stratégie de Tripwire.

« L’avertissement du DHS établit cette attente que quelque chose a changé dans le profil de menace, et que les organisations doivent être préparées à un changement dans les types d’attaques qu’elles voient. »

Erlin a ajouté : « Il est tout à fait valable pour les organisations de se demander ce qu’elles sont censées faire différemment face à ce type d’alerte. La cybersécurité exige déjà une défense constante, et une alerte comme celle-ci ne supprime pas comme par magie les obstacles qui empêchent les organisations de mettre en œuvre des contrôles de sécurité solides. Pour la plupart des entreprises, une alerte DHS ne crée tout simplement pas de budget ou n’ajoute pas de personnes à leur personnel.

Roger Grimes, évangéliste de la défense chez KnowBe4, a déclaré qu’il pensait qu’il était « assez naturel » que les cyberattaques accompagnent les batailles cinétiques, mais que le ciblage possible d’entités autres que le gouvernement et les entrepreneurs et fournisseurs liés au gouvernement était probablement nouveau. « La Russie a énormément changé cette équation au cours de l’année écoulée », a-t-il déclaré. « Des dizaines de milliers d’attaques d’États-nations se produisent contre des organisations sans affiliation directe au gouvernement. Tout le monde est apparemment une cible juste ces jours-ci. »

Grimes a émis l’hypothèse que la situation actuelle marquait un moment fondamental de changement dans le monde des attaques soutenues par les États-nations et de la cyberguerre, qui, selon lui, pourraient être permanentes, du moins sans une sorte d’accord de type Convention de Genève pour contrôler une telle activité.

« À l’heure actuelle, il s’agit de faire ce que vous voulez en toute impunité, avec un faible risque », a-t-il déclaré. « Nous sommes dans une période particulièrement dangereuse et risquée parce que personne ne sait quelle sera la réponse si l’un ou l’autre côté va trop loin.

Par exemple, si une partie attaque unilatéralement une autre partie dans le cyberespace, cela signifie-t-il qu’une réponse cinétique est autorisée ou justifiée ? Est-ce qu’une partie réagit de manière excessive? Je pense que nous serons tous moins stressés lorsque les nouvelles règles de la cyberguerre seront élaborées. »

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance