En matière de scénarios catastrophes, difficile de faire pire qu'une réinitialisation complète de tous les appareils connectés d'une entreprise. C'est pourtant la réalité à laquelle la société américaine de technologies médicales Stryker est confrontée après avoir été… Des pirates informatiques pro-iraniens ont attaqué une plateforme. Le 11 mars, le groupe Handala a affirmé avoir effacé les données de 200 000 terminaux et dérobé 50 To de données. L’avenir nous dira si ces affirmations sont exactes, mais à l’heure où nous écrivons ces lignes, Stryker a admis que l'attaque « a entraîné une perturbation mondiale de l'environnement Microsoft de l'entreprise ».
La question est de savoir dans quelle mesure les organisations britanniques seront exposées à mesure que la cyberguerre s'intensifie. Si le régime actuel adopte une stratégie à long terme et se lance dans des attaques en ligne, cela pourrait annoncer le début d'une nouvelle période dangereuse.
Est-il temps de s'inquiéter ?
Le Centre national de cybersécurité (NCSC) directives émises Le 2 mars, peu après le début des bombardements américains et israéliens sur l'Iran, on estime qu'il n'y a pas eu de « changement significatif dans la menace cybernétique directe émanant de l'Iran ». Bien que l'attaque contre Stryker ne semble pas avoir modifié cette analyse, cette évaluation pourrait évoluer. Des drones ont déjà été utilisés contre une base aérienne de la RAF à Chypre. Il n'est donc pas exclu que des cyberattaques soient également lancées contre des entreprises britanniques, notamment celles ayant des liens avec Israël (comme Stryker).
Les organisations qui doivent être particulièrement vigilantes sont celles qui ont une présence (par exemple, des succursales) ou des chaînes d'approvisionnement au Moyen-Orient. Le risque peut provenir d'attaques physiques ou numériques. Trois centres de données AWS sont situés aux Émirats arabes unis et à Bahreïn. ont déjà été touchées par des drones Cela pourrait entraîner des pannes, par exemple. Par ailleurs, des cyberattaques contre des succursales ou des chaînes d'approvisionnement régionales pourraient théoriquement permettre à des intrus de s'infiltrer dans les systèmes en vue de se propager à d'autres réseaux connectés.
D'après Flashpoint, le Corps des gardiens de la révolution islamique (CGRI) a également ciblé plusieurs entreprises technologiques américaines en raison de leurs liens avec Israël ou de leurs services cloud, ce qui ne fait qu'accroître les inquiétudes. Il s'agit d'AWS, Google, Microsoft, Oracle et IBM, ainsi que de Nvidia et Palantir. Les centres bancaires régionaux liés aux États-Unis et à Israël sont également visés par le régime.
À quoi s'attendre
Si des entreprises britanniques et/ou leurs partenaires sont ciblés par des pirates informatiques iraniens, à quoi peuvent-ils s'attendre ? Selon… Analyse par Halcyon, la menace provient potentiellement de pirates informatiques soutenus par des États et de groupes hacktivistes qui leur sont liés :
« Nous prévoyons que l’Iran pourrait recourir à des tentatives d’obfuscation, à des intermédiaires et à des outils de destruction contre les réseaux américains dans les semaines à venir :
- Utilisation d'une attaque par déni de service distribué (DDoS) contre les fournisseurs d'hébergement.
- Le déploiement de rançongiciels avant l'effacement des données d'une organisation et/ou l'utilisation de logiciels de destruction, ou de logiciels malveillants destructeurs, qui rendent la récupération du système impossible
- « Tirer parti d’un accès à long terme pour l’espionnage et l’exfiltration de données en vue d’attaques destructrices et/ou pour localiser des dissidents en vue de les cibler davantage. »
Il est préoccupant de constater que des acteurs malveillants iraniens pourraient déjà être prépositionnés au sein de certains réseaux d'entreprises, selon ce rapport. Le groupe de réflexion Center for Strategic and International Studies (CSIS) dit« Les services financiers, les services d’eau et les infrastructures de transport, dont beaucoup reposent sur des systèmes de contrôle obsolètes, restent des cibles attrayantes pour les acteurs iraniens à mesure que le conflit armé s’intensifie. »
Michael Crean, vice-président senior des services gérés chez SonicWall, explique à IO (anciennement ISMS.online) que les acteurs malveillants délaissent « les analyses à grande échelle et les attaques DDoS » au profit de l'exploitation des vulnérabilités.
« Les attaquants ciblent de plus en plus les applications web, les bases de données et les serveurs en utilisant des techniques telles que l'injection SQL, le parcours de répertoires et l'exécution de code à distance. Ces types d'attaques sont souvent conçus pour obtenir un accès initial aux systèmes avant de s'infiltrer plus profondément dans le réseau », poursuit-il.
« Si les tensions persistent, nous pourrions assister à des actes perturbateurs tels que le défaçage de sites web, le vol et la fuite de données, ou des attaques DDoS contre des services publics. Des logiciels malveillants destructeurs, comme des wipers, sont possibles en cas d'escalade, bien que les données actuelles indiquent principalement des sondages et des exploitations plutôt que des attaques destructrices à grande échelle. »
Il est temps de renforcer la résilience
La destruction était le maître-mot chez Stryker, et selon (lire ici) Il n'était même pas nécessaire de diffuser un logiciel malveillant : la compromission d'un compte administrateur Intune a suffi. Cela démontre pourquoi les efforts de résilience globale doivent être une priorité.
Le NCSC exhorte les RSSI britanniques à consulter les avis précédemment publiés sur Les attaques DDoS, activité d'hameçonnage et ciblage des systèmes de contrôle industriels (ICS). Pour ceux qui ont des chaînes d'approvisionnement ou des bureaux dans la région, il recommande son guide de résilience en période de menaces accrues. Les fournisseurs d'infrastructures critiques (ICN) sont Il est conseillé de se préparer dès maintenant.
Selon Crean de SonicWall, les RSSI devraient se concentrer sur la visibilité, les correctifs et la préparation.
« Les entreprises devraient également examiner leur exposition à la cybersécurité au sein de leur chaîne d'approvisionnement et évaluer le niveau de cybersécurité de leurs principaux fournisseurs et partenaires. Un renforcement de la surveillance des activités d'authentification inhabituelles, des anomalies des applications web et des déplacements latéraux peut contribuer à détecter les premiers signes de compromission », ajoute-t-il.
« Enfin, les plans de réponse aux incidents doivent être testés et opérationnels afin que les organisations puissent réagir rapidement si une activité cybernétique liée aux tensions géopolitiques commence à se propager. »
James Shank, directeur des opérations de lutte contre les menaces chez Expel, exhorte les responsables de la sécurité à garder leur sang-froid et à se concentrer sur les « fondamentaux » pour améliorer leur posture de sécurité.
« Insistez sur l'importance de la vigilance face aux communications et appliquez ce principe à votre service d'assistance. Envisagez d'ajouter des contrôles supplémentaires pour les réinitialisations de mots de passe ou les modifications de l'authentification multifacteur », conseille-t-il à IO. « Renforcez l'authentification en augmentant la fréquence des demandes de vérification, en réduisant les délais d'expiration des sessions et en appliquant des contrôles plus stricts aux politiques d'accès. Appliquez le principe du moindre privilège et verrouillez la gestion des accès. »
Les RSSI doivent également auditer l'activité des journaux pour détecter les connexions suspectes, les déplacements latéraux et les élévations de privilèges, en tenant compte de la possibilité d'un accès prépositionné. L'observabilité OT est également importante, Les services OT/ICS devraient donc être inclus dans ces audits.
« Enfin, renforcez la communication entre vos équipes », conseille Shank. « Le partage d'informations entre les équipes de sécurité, d'informatique, d'OT et les métiers ralentit les attaquants bien plus qu'on ne le pense. »
Discipline au milieu du chaos
Des normes comme l'ISO 27001 peuvent jouer un rôle important dans des périodes comme celle-ci pour garantir la rigueur, poursuit Shank. « Les crises peuvent engendrer le chaos, des changements de cap intempestifs et un manque de clarté quant aux priorités », explique-t-il. « Les référentiels fournissent des orientations pour maintenir une responsabilisation claire et cohérente, ce qui permet de maîtriser le chaos et de favoriser la rigueur. »
Crean de SonicWall partage cet avis, affirmant que les cadres de bonnes pratiques fournissent une structure indispensable à la gestion des cyber-risques.
« La norme ISO 27001 est un cadre international pour la mise en place d'un système de gestion de la sécurité de l'information qui aide les organisations à identifier leurs actifs critiques, à évaluer les risques et à mettre en œuvre des contrôles appropriés. Elle couvre des domaines tels que la gestion des accès, la réponse aux incidents, la sécurité des fournisseurs et la continuité des activités », conclut-il.
« Si les normes ne peuvent à elles seules empêcher les cyberattaques, elles contribuent à garantir que les organisations disposent de la gouvernance, des processus et de la résilience nécessaires pour réagir efficacement lorsque les menaces augmentent en période de tensions géopolitiques. »
Élargissez vos connaissances
Podcast: Phishing for Trouble Episode #04: Are You At the Frontline of Defence?
Blog: De la sécurité périmétrique à l'identité comme sécurité
Blog: Construire une fois, se conformer partout : le guide de conformité multi-cadres
