> Sécurité > Envahissement de l’Ukraine par la Russie : la cybersécurité en deuxième ligne, les SOC en alerte maximale

Envahissement de l’Ukraine par la Russie : la cybersécurité en deuxième ligne, les SOC en alerte maximale

Sécurité - Par Théodore-Michel Vrangos - Publié le 03 septembre 2022
email

Alors que la guerre, avec ses drames et ses injustices, est malheureusement revenue sur notre continent, la cyberdéfense et les SOC (Security Operations Centers) Français sont en état d’alerte maximale

Envahissement de l’Ukraine par la Russie : la cybersécurité en deuxième ligne, les SOC en alerte maximale

Dès le début des attaques militaires et de l’envahissement de l’Ukraine par la Russie, précédant les opérations militaires russes, des sites de banques et de ministères ukrainiens ont été visés par des cyberattaques. Les Etats-Unis et l’Union Européenne, alliés de l’Ukraine, s’attendent à de nouvelles attaques informatiques du fait des sanctions prononcées contre la Russie. Et les alliés s’attendent à des attaques au-delà de l’Ukraine, mais sur nos propres infrastructures, nos propres hôpitaux, agences gouvernementales, entreprises prestigieuses, etc, en représailles aux soutiens au peuple Ukrainien.

Différents types de cyberattaques

Attaques sur les Active Directory, nouveau malware HermeticWiper, à code quasi nouveau, attaques en déni de service distribué (DDoS), faux sites officiels rendus injoignables ou abritant des mécanismes de distribution de maliciel, les attaques d’origine russe, centrées pour l’instant sur l’Ukraine, sont surveillées de très près dans la crainte de cyber-représailles sur les entreprises et administrations françaises et européennes.

Deux types de cyberattaques ont touché l’Ukraine : d’une part, des attaques par déni de service distribué (DDoS) d’intensité moyenne, d’autre part, des offensives destructives (wipers) qui exploitent une faille et suppriment le contenu des ordinateurs ciblés avant de les bloquer.

Avant l’entrée des troupes russes en Ukraine, banques et administrations locales ont été confrontées à la distribution d’un maliciel, en amenant les internautes à se tourner vers un potentiel cheval de Troie.

Les groupes de hackers s’expriment

Cela dit pour le moment la situation sur le terrain de la cyber-guerre est un peu chaotique : d’une part chaque pays et chaque grande entreprise ont placé en alerte leurs unités de cyberdéfense et leurs SOC, d’autre part partout dans le monde, les groupes de hackers et gangs de ransomwares s’expriment parfois très ouvertement sur les réseaux sociaux pour annoncer leur allégeance à tel ou tel camp.

 Les ‘’Anonymous’’ sont officiellement en « cyber guerre » contre le gouvernement russe. Ghostsec s’est également prononcé en support du peuple ukrainien et bien évidement UNC1151 (basé à Minsk, cela veut tout dire…), the Red Bandits et SandWorm ont pris position en faveur de la Russie et ouvertement menacé tous ceux qui tenteraient des cyberattaques contre les instances et les entreprises russes.

Téléchargez cette ressource

Guide de réponse aux incidents de cybersécurité

Guide de réponse aux incidents de cybersécurité

Le National Institute of Standards and Technology (NIST) propose un guide complet pour mettre en place un plan de réponse aux incidents de cybersécurité, nous en avons extrait et détaillé les points essentiels dans ce guide. Découvrez les 6 étapes clés d'un plan de réponse efficace aux incidents de cybersécurité.

Les war-room des SOC

Depuis plusieurs années les grandes entreprises françaises et européennes, à l’instar de leurs confrères américains ou canadiens, se sont dotées des services permanents, souvent externalisés de SOC (Security Operations Center) et CERT 5 (Computer Emergency Response Team). Aujourd’hui, ce sont les ETI qui constituent la vague des demandeurs de services de SOC et CERT sans oublier les grandes entreprises et administrations qui, dans le sillage de leurs expériences d’utilisateurs de SOC depuis plusieurs années, augmentent, améliorent, redéfinissent les services attendus de leurs opérations de 2ème voire 3ème génération.

Au début les SOC, composés d’analystes et ingénieurs, d’outils et des processus d’analyse, d’actions d’ingénierie et remédiation, de reporting, étaient centrés sur l’exploitation des logs des nœuds IP (infrastructures, réseaux, serveurs, puis applicatifs, apps mobiles, etc…).

Ces SIEM ont été complétés par les outils EDR (Endpoint Detection Response), anti-virus de nouvelle génération, enrichis par des résultats des scans de vulnérabilités autant infra qu’applicatifs, des input des threat intelligence en provenance des éditeurs spécialisés, qui approfondissent les alertes en fonction des métiers et business, des zones géographiques, des usages, etc.

Ce sont donc des véritables war-room chapeautés par des outils SOAR d’orchestration, d’automatisation et de réponse aux incidents de sécurité qui apportent aux responsables de la sécurité des capacités temps réel tournant en permanence, 24/7 pour les périmètres IT sans cesse en développement, que les SOC gèrent. Ce sont des véritables big Data Cyber avec en plus une capacité d’actions et de réponses. Car ce que caractérise un Big Data ou Mégadonnées sont les trois axes fondamentaux, les « EV »: volume, variété et vélocité.

 

Par temps de guerre …

C’est exactement ce dont le SOC, en plus par temps de guerre, doit apporter à ces utilisateurs et clients.

Ce sont eux qui sont en première ligne dans ces moments troubles de tensions géopolitique et de guerre.

Détection préventive des signaux faibles d’attaques, corrélation avancée des logs et des flux de Cyber Threat Intelligence en provenance de nos partenaires éditeurs, liens actifs avec ANSSI et le CERT-FR, la mobilisation 24/7 des cyber-analystes doit être forte et la vigilance accrue.

La cyber est importante, mais il faut aussi, malheureusement relativiser, car le drame qui se joue avec les tirs de missiles qui frappent la population civile ukrainienne est une horrible réalité. Le Monde rapporte que, sollicité par Associated Press pour savoir si les attaques par DDoS se poursuivaient sur les sites officiels, un responsable de la cyberdéfense ukrainienne a répondu par SMS : « Vous êtes sérieux ? Il y a des missiles balistiques qui tombent, ici. »

 

Article publié dans Smart DSI N°25

Sécurité - Par Théodore-Michel Vrangos - Publié le 03 septembre 2022

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT