[Chronique] Protéger ses systèmes informatiques pendant les Jeux Olympiques : la check-list essentielle pour les entreprises

Notre chroniqueur Michel Juvin réalise un tour d’horizon complets des risques à anticiper et des actions à mener dans les entreprises en prévision des JO2024. A quelques mois de l’évènement, il appelle les organisations à réagir et se mettre en ordre de bataille.

Comment protéger son système d’information alors que les Jeux Olympiques approchent à grands pas ? Voilà une bonne question sachant que beaucoup d’actions sont déjà effectuées par les experts et directeurs cybersécurité au sein des entreprises françaises, lesquelles ne devraient être concernées en direct qu’à hauteur de 30% d’entre elles. Cependant, de nombreuses autres se verront malheureusement prises dans les filets du « chalut de cyber-attaques plus larges » que la France va vivre. Une machine qui est sans doute déjà lancée.

A lire aussi : Paris 2024 : la menace cyber au rythme des tensions internationales

Avec l’aide de quelques amis dont l’activité ou l’entreprise est liée à la réussite des JO de l’été prochain, parfois indirectement, je vous dresse donc ci-dessous une check-list, sous forme de rappel et d’idées, pour revoir les différentes actions de réduction de risques et de la surface d’attaque de votre entreprise.

JO 2024 : des enjeux sécurités élevés pour les entreprises françaises

En 2020, l’organisateur des JO de Tokyo rapportait le chiffre de 450 millions d’attaques[1] bloquées par NTT sur le site officiel. Pour Paris 2024, certains estiment que le nombre de cyber-attaques devraient être 8 à 10 fois supérieur. Même si les acteurs de la SSI savent que ces chiffres ne reposent sur aucune analyse rationnelle et englobent tout type d’événements de sécurité, on comprend que les enjeux seront élevés pour les entreprises françaises. L’attention des organisations cybercriminelles sera centrée sur la France « accessible depuis Internet ». Leurs objectifs seront, d’une part, de bénéficier de la visibilité des événements sportifs pour marquer les esprits (et faciliter d’autres actions) et d’autre part, contester cet événement qui ne pourra pas réunir tous les pays dans un même élan de solidarité autour du sport. Des athlètes de certains pays pourraient ne pas être acceptés pour des raisons de conflits idéologiques et militaires.

De plus, un rapport sénatorial de 2021 propose de montrer lors des JO de 2024, les développements de « l’excellence de la filière française de cybersécurité ». Rapport qui pourrait être perçu comme un défi aux organisations cybercriminelles.

Dans le domaine de la cybersécurité, il ne faut jamais sous-estimer l’adversaire ; d’ailleurs, la préparation des attaques issues des organisations cybercriminelles a certainement déjà commencée. Leur approche a été de cartographier tout ce qui est visible depuis internet pour une liste d’entreprises dont la surface d’exposition est dans leur radar.

Quelles sont les entreprises ciblées par les organisations cybercriminelles ?

Sans oublier les personnes et entreprises qui achètent ou ont acheté des billets sur des sites non officiels potentiellement corrompus, on peut dresser la liste des entreprises cibles par domaines d’activités suivants :

  • Toutes les entreprises qui sont « acteurs directs » des JO : le COJO, les opérateurs d’importance vitale et opérateurs de service essentiel. En particulier : transport (sites de réservation), énergie, banques, télécom (sites fournisseurs de WiFi y compris les particuliers fournissant du WiFi gratuit), les sponsors officiels…
  • Toutes les entreprises « acteurs indirects » comme le tourisme (dont les sites de visite des monuments de Paris) et l’hôtellerie/restauration (particulièrement visée par le logiciel Qakbot qui pourrait se réveiller !), les sites de co-voiturage et de logement temporaire et bien sûr, les sociétés de pari électroniques du monde entier car il y a un double objectif : d’image et financier !
  • Toutes les entreprises dont les bureaux ou le siège social ou un bâtiment important se trouve dans une zone « rouge », c’est à dire près d’un événement pour lequel la circulation sera restreinte voir interdite.
  • Il faut aussi considérer les entreprises contribuantes par exemple soit à l’image de la France (visible depuis les communications sur les réseaux sociaux) soit, contribuant indirectement à l’événement. A chacun donc de définir la surface d’exposition aux risques de son entreprise.

 

Quand les cyber-attaques auront-elles lieu ?

On peut envisager le planning des organisations cybercriminelles de la manière suivante :

  • Depuis quelques mois et jusqu’au début des jeux, tentatives sur tous les sites de ventes de billets pour les épreuves et tous les sites liés au transport et tourisme pour les réservations liées aux transport et l’hébergement,
  • Actuellement, elles scannent tous les accès disponibles des personnes et des comptes administrateurs que l’on pourrait rapprocher d’un nom d’entreprise dans la liste publiée sur le Darknet. Elles lancent des attaques de type phishing, puis : scan de réseau par nmap sur les IP cibles, identification des RDP sur des machines exposées sur internet, recherche des passwords avec Hydra… et toutes ces attaques peuvent être faites avec des outils standards du marché ; en particulier : identification des domaines, WHOIS, recherche de DNS mentionnant une entreprise ciblée, recherche des registres internet régionaux (RIR) pour trouver les adresses IP, trouver les certificats auto-signés désignant les adresses IP puis https://www.shodan.io/ pour identifier les machines vulnérables depuis internet[2]
  • Quelques mois avant la cérémonie des jeux, on aura une phase de calme dans les attaques ; période pendant laquelle les organisations cybercriminelles vont s’assurer de la validité des droits d’accès et des vulnérabilités découvertes précédemment.
  • Quelques heures avant la cérémonie, les premières entreprises ciblées seront celles du Comité des JO et toutes les sociétés de télécommunication qui œuvrent dans la diffusion, avec des attaques sur les SI et les réseaux et des tentatives d’attaques par déni de service.
  • Puis jusqu’à la fin des jeux, lancement d’attaques soit ciblées sur les entreprises représentant la France ou les JO, soit sur les entreprises ou les particuliers à des fins d’arnaque et d’escroquerie.

Il n’est pas impossible qu’il y ait une compétition entre les organisations cybercriminelles pour réussir le premier une attaque visible médiatiquement !

Que faudrait-il faire pour diminuer le risque et l’impact d’une cyber-attaque ?

La première chose à faire est de s’assurer qu’au minimum, les actions suivantes ont été correctement effectuées et terminées bien avant fin juillet :

  • Cartographie technique et applicative,
  • Test de restauration des environnements de production,
  • Analyse de risques pour identifier des vulnérabilités non encore détectées,
  • Lancer un audit et un test de vulnérabilité de type bug bounty,
  • Identifier les responsables des SI essentiels et les experts techniques et s’assurer de leur disponibilité (et éventuellement de leurs backups) pendant la durée des JO,
  • Renforcer la protection de l’Active Directory,
  • Mettre en place une multi-segmentation du réseau,
  • Mettre en place une gestion des droits d’accès limités au droit d’en connaître,
  • Augmenter les solutions de détection d’intrusion,
  • Se préparer à une gestion de crise.

En détail, voici les raisons pour lesquelles ces actions sont nécessaires ; chacun priorisera ces actions en fonction de son contexte et du temps nécessaire pour les appliquer (si elles ne sont pas déjà faites).

 

Faire, refaire ou mettre à jour sa cartographie applicative et technique des systèmes d’informations

Au-delà de la conformité réglementaire (GDPR), la cartographie permet de savoir où se trouve toutes les informations échangées et quelles sont les applications concernées en cas d’attaque. De plus, en cas d’attaque, lorsqu’il faudra containeriser pour éviter la propagation de l’attaquant, ces informations seront absolument essentielles. On peut concevoir aussi une cartographie de type « ce qui est visible depuis Internet » et une autre simplement « visible de l’extérieur ». L’Anssi propose dans une excellente documentation des méthodes et outils qui permettent de construire cette cartographie et de la pérenniser pour tenir compte des évolutions fonctionnelles et techniques.

S’assurer par des tests de la qualité des sauvegardes des données et des OS et middleware

Lancer un test de restauration des données et mettre à jour ses documents de procédure de sauvegarde / restauration. La bonne pratique des 3-2-1[3] est à appliquer et surtout à revérifier dans les premiers jours de juillet ; pour éventuellement refaire un exercice avant fin juillet et avoir le temps d’appliquer des corrections en cas de problème.

Lancer une analyse de risque (ou la remettre à jour) pour identifier les vulnérabilités des systèmes d’informations

L’analyse de risque est basée sur la probabilité d’occurrence et l’impact. Or c’est justement la probabilité d’occurrence des risques qui va augmenter très fortement et donc, les risques qui étaient « acceptables » par l’entreprise deviennent à réduire rapidement. Les plans d’actions issus d’une précédente analyse de risque et ceux issus d’une mise à jour de celle-ci sont impérativement à mettre en place avant l’été prochain.

D’une manière générale, on peut constater qu’une bonne pratique est de faire ou refaire une analyse de risque tous les deux ans avec un prestataire différent pour bien adapter l’organisation aux nouvelles menaces et techniques d’attaque constatées.

Lancer un audit et un test de vulnérabilité de type bug bounty

Pour cela, l’Anssi a développé des guides d’assistance pour renforcer les défenses cyber, pour tester, auditer et se préparer à la gestion de crise. De plus, elle apporte un suivi régulier des plans d’actions de réduction des risques pour les OIV et OSE. Dans le cadre du plan de relance de 2030, la BPI propose une revue de la cybersécurité de l’entreprise avec une prise en charge de 50% du coût de l’audit.

On peut aussi s’assurer de la résistance aux attaques cybers par un audit de vulnérabilité de type bug bounty. En s’appuyant sur les meilleurs experts en test d’intrusion dans le cadre d’un contrat de rémunération via une prime, des hackers (de type white hat) vont identifier des vulnérabilités et expliquer le scénario d’attaque pour que les équipes techniques internes puissent y remédier.

S’assurer de la disponibilité des ressources/experts du support technique pour la période de fin juillet et d’août 2024

Face à la menace d’une cyber-attaque sur l’entreprise, les experts informatiques et les différents managers en charge des opérations des entreprises devront être disponibles pour apporter leur expertise à la cellule de gestion de crise. N’oublions pas que parmi les experts informatiques, certains sont actuellement externes (en provenance d’entreprises de services numériques) et dans le cas d’une attaque entraînant des conséquences systémiques, il serait préférable de s’assurer de leur disponibilité contractuellement au préalable.

Renforcer la protection de l’Active Directory

L’Active Directory (AD) est la principale cible d’un attaquant. Il est nécessaire de lancer (ou relancer si cela a déjà été fait) un audit de l’AD. On découvre à chaque audit de nouvelles vulnérabilités non seulement issues d’un nouveau paramétrage de l’éditeur, mais aussi de la difficile gestion des droits d’accès.

Pour y remédier, le concept du zéro-trust[4] est à appliquer impérativement pour les comptes d’administrations en utilisant une clef de type FIDO 2 ; solution la plus aboutie actuellement. Cette clef effectue une vérification de l’identité avec plusieurs facteurs, restreint l’utilisation à un matériel et aux adresses IP habituelles.

Enfin pour remédier au blocage du compte administrateur de l’AD, il est souhaitable d’ajouter un compte de type « Bris de glace » pour récupérer les accès si le compte administrateur est verrouillé par l’attaquant.

Mettre en place une multi-segmentation de l’architecture réseau

Par anticipation d’une attaque et donc de containeriser l’attaquant dans la plus petite surface possible, il est nécessaire d’effectuer un découpage en sous-réseaux de l’infrastructure. Bien que difficile sur des systèmes anciens, il y a une vraie réflexion à engager avec un architecte pour définir fonctionnellement comment l’entreprise pourrait conserver une forme de résilience dans ses applications en cas d’indisponibilité d’une partie de son système d’information.

Mettre en place le droit d’en connaître

En étendant le principe de limitation des accès issus d’une intrusion dans un systèmes d’information, il est préférable de revoir et mettre en place pour chaque rôle dans le SI, une limitation des droits d’accès aux simples droits nécessaires pour l’utilisateur. Cela diminuera la possibilité de découverte s’appuyant sur les droits d’un utilisateur corrompu ; cela s’applique en particulier aux tiers mainteneurs (éditeurs/prestataires/industriels) ayant des besoins d’accès aux SI de leurs clients.

Augmenter l’utilisation des solutions de détection d’intrusion

De fait, il faut tenir compte aussi des études qui indiquent que certaines organisations cybercriminelles ont déjà un accès dans certains systèmes d’information. Il s’agit alors de faire un point précis des paramètres d’administration et des points clefs de l’architecture du SI ; l’objectif est de s’assurer qu’il n’y a pas un intrus en sommeil dans le SI ! Des solutions techniques fiables sont à mettre en place et paramétrer dans le réseau.

Cette surveillance des accès peut être complétée par des solutions de type « pot de miel » où un accès sur ce type de serveur indiquerait une tentative de découverte du réseau. Cette action n’est que rarement effectuée par les équipes internes. Un « pot de miel » est un serveur vulnérable, non porteur d’information et sur lequel un compte « Admin » est visible avec un mot de passe standard. Dès qu’une tentative de connexion est faite sur ce compte, un flag est immédiatement remonté au service de sécurité (Security Operation Center ou SOC) qui surveille en permanence le réseau. Le SOC ou un automate doit informer le plus tôt possible tout comportement anormal et bloquer sauf pour un serveur de type « pot de miel ». Il faut vérifier qu’il ne s’agit pas d’un faux-positif et engager alors une stratégie de communication avec le potentiel intrus.

Se préparer à gérer une crise cyber

Malgré toutes les actions mises en œuvre pour se protéger, une attaque pourrait malheureusement être réalisée et il faudra faire face à une crise. Se préparer et préparer le Comité de Direction à gérer une telle crise est évidemment une bonne pratique à mettre en place.

Avant de lancer un exercice de gestion de crise, il y a un grand nombre d’actions à réaliser dont les suivantes :

  • Identifier, d’une part les personnes qui seront décisionnaires lors de la crise et, d’autre part celles qui auront à résoudre techniquement les problèmes rencontrés (y compris les prestations de services experts),
  • Préparer plusieurs communications types (internes et externes) pour informer lorsque l’attaque sera constatée, y compris le processus de validation des communications en mode de crise,
  • Bien connaître les enjeux réglementaires liés à la perte/vol d’information (déclarations à faire),
  • Préparer et mettre en place un mode de communication électronique sécurisé en cas de crise cyber comme avec Olvid dont la solution est validée par l’Anssi ou encore Threema (Suisse) ; ces solutions ne comportent pas d’autorité de contrôle contrairement à tous les autres opérateurs et utilisent un chiffrement résistant aux ordinateurs quantiques (AES 256)…

Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) propose dans l’application réservée à ses membres sous un ensemble de fiches réflexes dont l’objectif est de se préparer à la gestion de crise et d’identifier les bonnes pratiques pour anticiper les différentes phases de la gestion de crise.

Le corpus documentaire de l’Anssi est exhaustif et permet de prendre conscience des actions à mettre en place. En particulier, l’exercice REMPAR22 propose un kit d’exercice très utile.

L’agence française a aussi proposé une évaluation de la menace cyber et des recommandations de sécurité à mettre en place dans un document publié en août 2023.

Enfin, planifier un exercice de crise et mobiliser les deux comités (de direction et technique) permettra de mieux se préparer ainsi que l’ensemble de l’entreprise dans le cas d’une attaque. N’oublions pas que le site de backup de la cellule de crise (en cas d’impossibilité d’accès aux locaux), ne doit pas être situé dans une des zones rouges près d’un événement sportif. Une précédente chronique sur Alliancy apporte des idées intéressantes.

Investir dans une recherche de menaces existantes ciblant son entreprise.

En réfléchissant très en amont de l’attaque, on peut aussi regarder quelles seraient les menaces les plus importantes pour l’entreprise ?

Il y a malheureusement beaucoup de conflits géopolitiques mondiaux (Ukraine-Russie, Hauts Karabakh-Azerbaïdjan, Palestino-israélien, Philippines-Chine, Taïwan-Chine, Inde-Chine[5], Guyana-Venezuela, …) où les premiers pays cités se voient en conflit pour le vol de leurs territoires géographiques par les seconds[6]. Ces conflits se traduisent par des menaces où l’arme de la communication « diplomatique » à échouée.

Il faut aussi ajouter les conflits issus de points de vue idéologique différents, comme par exemple : entre l’occident et l’orient, entre les pays dit « riches » et les pays en voie de développement, entre les pays qui émettent le plus de CO2 et les autres ou encore, pour des différences religieuses, …. Malheureusement, la liste des raisons pour lesquelles des actions d’ingérence externes comme celles des Russes qui s’appuyant sur des botnets inondent les réseaux sociaux pour déstabiliser les pays démocratiques comme l’Afrique de l’ouest ou la France, sont nombreuses. A ce tire, les rapports de la DIGINUM (https://www.sgdsn.gouv.fr/publications) sont particulièrement intéressants ainsi que les documents produits par les sociétés d’intelligence stratégique comme www.Sekoia.io ou www.wintellis.com ou encore les bulletins d’information de l’InterCERT-FR qui listent des indices de compromission ; très utile à rechercher pour prévenir les intrusions dans les systèmes d’information.

Parmi les organisations cybercriminelles contribuant à la menace géopolitique, il faut suivre les publications relatives à Pawn Storm, Fancy Bear], Anonymous Soudan (groupe d’origine soviétique ciblant la France), ou encore Olympic Destroyer identifié lors des JO de Pyongyang et qui est documenté par les chercheurs de CISCO (Talos). Il faudra être attentif à toutes ces publications sur le mois de juillet.

Pour les JO de l’été 2024, quelles autres actions pourrai-je faire en priorité ?

Au-delà de la réalisation des projets de cybersécurité en cours dans les entreprises et ceux cités précédemment, pour l’été prochain, il serait intéressant de prendre le problème dans l’autre sens et voir quelles parties d’un système d’information ou des services seraient ciblés spécifiquement par les organisations cybercriminelles opposées à la fête des Jeux Olympiques ou encore quelles actions appliqueront les confrères pour augmenter le niveau de protection de leurs SI.


Passer en revue les dernières nouveautés des fournisseurs de solutions de sécurité et voir si elles peuvent être mises en place

Les fournisseurs de solutions de cybersécurité ont aussi beaucoup amélioré leurs services et outils. L’une des grandes nouveautés est l’ajout dans les bases de données de « threat intelligence » d’indices de compromissions (IOC) et de playbooks[7] qui caractérisent une attaque ainsi que des fonctionnalités basées sur le comportement des utilisateurs ou encore de certains programmes. Le blocage des programmes par un automate permettra de réduire les attaques … parfois au détriment de l’expérience utilisateur qui pourrait être bloqué abusivement. Mais la prudence sera de mise lors de cette période critique.

Adopter une démarche humble et comprendre l’objectif recherché par l’adversaire

Dans tous les cas de conflit avec un adversaire, il ne faut pas le sous-estimer. Il a pris le temps de préparer son attaque et il pense avoir un coup d’avance sur sa cible. C’est cette situation qu’il faut conserver ainsi que comprendre son objectif. Dans ce conflit, l’important sera de comprendre ce qu’il recherche et de tout faire pour le désintéresser en lui rendant la tâche la plus compliquée possible.

Planifier toutes les mises à jour avant fin juillet et plus rien pendant les JO !

Face aux risques liés à cette période, il faut éviter d’en rajouter ! Dans ce contexte, il ne faut pas faire d’évolution des OS et Middleware d’une solution existante sauf publication d’un patch de sécurité d’un éditeur.

Appliquer les patchs de sécurité des OS et Middleware sur les sauvegardes effectuées

Cette action permettra de gagner du temps lorsqu’il faudra remonter une sauvegarde (y compris celles sur un support externe) et par la même occasion, cela donnera confiance dans le délai nécessaire pour restaurer un environnement de production.

Ecouter ses pairs et toutes les publications nationales en priorité

Dans la communauté des cyber-défenseurs, nous avons la chance de bénéficier d’une forte cohésion et partage d’expérience lors de sessions animées par des sociétés événementielles et les clubs utilisateurs suivants : les Campus Cyber, Les Assises de la Sécurité, le Concordance Club, le FIC, le CyberCercle, les RIAMS, le CESIN, le CLUSIF, …ainsi que et les principaux fournisseurs : Trendmicro, Advens, I-Tracing, Stormshield, YesWeHack, CyberVadis, … que l’on peut largement remercier ici pour l’animation de notre communauté mais aussi les communautés sectorielles de cybersécurité comme celle de l’aéronautique au niveau Européen (ECCSA) et le Cert Fr bien sûr.

Enfin, avec la naissance du ComCyber-MI (Commandement du ministère de l’Intérieur dans le cyberespace) en décembre 2023, nous avons une coordination des services Cyber de l’état et des documents à notre disposition pour mieux anticiper les risques de cyber-attaque. Il ne faut pas oublier qu’en cas de chiffrement des données par un ransomware, après avoir identifié la technologie utilisée par l’attaquant, il faut voir si, par chance, une solution de déchiffrement n’a pas déjà été publiée sur le site https://www.nomoreransom.org/fr/decryption-tools.html

Enfin, on peut aussi effectuer un test pour savoir si son mot de passe associé à un identifiant de messagerie a été hacké (décrypté[8]) et donc publié sur le Darkweb en consultant le site https://haveibeenpwned.com/

Conclusion

Il ne s’agit plus de faire de la sensibilisation, ces JO sont l’occasion de réaliser des avancées importantes dans le domaine de la protection du capital informationnel des entreprises et de leurs systèmes d’information. Il est de la responsabilité des directeurs et experts cybersécurité d’engager des actions pour anticiper les menaces qui sont visibles aujourd’hui en priorisant depuis cette liste, celles qui sont à faire en priorité et être en mesure de se souhaiter une bonne année en 2024 !

 

[1] 180 Millions pour Londres en 2012

[2] A mi-novembre, il y avait plus de 3 millions de machines dans le monde avec un port RDP ouvert sur Internet.

[3] 3 sauvegardes sur 2 supports différents et 1 sauvegarde externe (autre device et hors du périmètre : 200Km)

[4] Identification forte de type MFA, Device associé au compte, IP habituelle enregistrée et droit d’en connaître restreint

[5] Plusieurs centaines de morts tous les ans à la frontière 

[6] Et il ne faut pas oublier l’occupation de Chypre par la Turquie depuis les années 1974 !

[7] Scénario technique d’une cyber-attaque

[8] Pour mémoire, on utilise « décrypté » si on casse le chiffrement ; sinon, on utilise le mot « déchiffrer »