Guerre en Ukraine : les entreprises françaises soignent leur cybersécurité

Le 11 mars dernier, Matthieu Garin, partner chez Wavestone, se disait impressionné par la manière dont les RSSI réagissaient à la guerre engagée en Ukraine et, en particulier, à la menace d’éventuelles retombées contre leurs systèmes d’information.

Dans une publication sur LinkedIn, il relevait notamment l’implication des directions, avec parfois des RSSI qui faisaient des points quotidiens avec leur PDG, ou encore la mise en place de plans de résilience en cas de besoin d’isolation de l’Ukraine et/ou de la Russie. À cela, Matthieu Garin ajoutait le renforcement des SOC avec le développement de nouvelles capacités de chasse aux menaces, et une accélération des projets de déploiement d’EDR. Sans compter les opérations de nettoyage des comptes administratifs dans les annuaires Active Directory : « en deux semaines, certaines organisations ont conduit un projet de trois ans ».

La mobilisation est visible chez d’autres prestataires. Chez Advens, Louis Château, responsable du renseignement sur les menaces, relève l’inquiétude de clients demandant « de plus en plus de préconisations, choses que nous faisons chaque jour ». Des points de situation complets sont également produits régulièrement. Début mars, une note d’information couvrait ainsi les maliciels destructeurs Hermeticwiper et Isaacwiper, ainsi que le groupe avancé dit Sandworm à qui avait été attribué notamment NotPetya. Le tout est accompagné de recommandations préventives.

Même chose chez Intrinsec, où Frédérique Bajat relève des demandes de « suivi de la situation, pour connaître les modes opératoires en présence, les indicateurs de compromission associés et les recommandations à mettre en œuvre afin de se prémunir d’attaques informatiques orchestrées dans le cadre du conflit ». 

« [Nombre de clients] ont indiqué être en “gestion de crise” pour appliquer les mesures nécessaires à la protection et à la détection par rapport à ce type d’activité malveillante. »

De manière comparable aux observations de Matthieu Garin, la responsable du renseignement sur les menaces d’Intrinsec a expliqué que nombre de clients « ont indiqué être en “gestion de crise” pour appliquer les mesures nécessaires à la protection et à la détection par rapport à ce type d’activité malveillante ». 

Chez I-Tracing, Laurent Besset, directeur Cyberdéfense, relève un écart important « entre ce que nous observons et ce à quoi nous nous préparons. C’est autant le reflet d’un environnement médiatique anxiogène que d’un nécessaire principe de précaution ».

Du côté des observations, il relève « une augmentation notable statistiquement, mais somme toute raisonnable du “bruit de fond” », à savoir : des « tentatives d’attaque sur les terminaux des entités ukrainiennes de nos clients, principalement détectées avec les EDR, phishings à thème, DDoS sur les sites russes et ukrainiens de nos clients ». Certains sites de clients en Europe de l’Est ont également subi quelques dénis de service distribué, mais pas de haute intensité. En outre, aucun « débordement vers le reste du monde » ne semble être encore survenu.

I-Tracing anticipe toutefois d’éventuelles évolutions de la situation, avec potentiellement des « attaques beaucoup plus violentes localement et régionalement ». De quoi motiver des mesures préventives telles que le renforcement des protections des applications Web et leur surveillance, ou encore la vérification de la couverture EDR et « de l’exhaustivité de la collecte des logs ». La notion d’isolation mentionnée par Matthieu Garin l’est également par Laurent Besset.

S’il n’exclut pas l’hypothèse d’une cyberattaque russe massive contre l’Occident, voire seulement la France, elle ne lui paraît toutefois pas très vraisemblable à ce stade. Notamment parce qu’il semble plus probable que la Russie n’ait pas intérêt à détourner ses ressources cyber offensives d’autres fronts que l’Ukraine, « au moins à court terme ».

Pour les clients d’I-Tracing, « le plus inquiétant aujourd’hui ce sont plutôt les impacts sur le monde du logiciel et des fournisseurs de service. La majorité de nos clients ont initié une revue de leurs fournisseurs pour identifier de possibles conflits d’intérêts ». Et certains « ont d’ores et déjà engagé des projets de remplacement des solutions ou services contrôlés pour tout ou partie par des capitaux russes ». Une observation également faite chez Intrinsec.  

Enfin, Laurent Besset souligne « la perspective de problèmes opérationnels sur l’informatique locale, et donc sur l’activité, à l’heure où les sanctions prises par les grands acteurs mondiaux de l’IT s’empilent ».