Le NCSC (National Cyber Security Centre) du Royaume-Uni met en garde contre un risque accru d’attaques par des hacktivistes russes alignés sur l’État, exhortant toutes les organisations du pays à appliquer les mesures de sécurité recommandées.
« Au cours des 18 derniers mois, une nouvelle classe de cyber-adversaires russes a émergé », lit-on dans l’alerte du NCSC. « Ces groupes alignés sur l’État sont souvent favorables à l’invasion de la Russie et sont motivés idéologiquement plutôt que financièrement. »
En règle générale, ces groupes d’hacktivistes concentrent leur cyberactivité malveillante sur la réalisation d’attaques DDoS (déni de service distribué) qui provoquent des interruptions de service sur des entités critiques telles que les aéroports, le parlement et les sites gouvernementaux.
Cependant, le NCSC affirme que ces acteurs de la menace ont exprimé leur intention de causer plus de dégâts si possible, et s’ils en ont l’occasion, ils pourraient se tourner vers des activités plus nuisibles.
Par conséquent, l’agence britannique conseille à toutes les organisations de mettre en œuvre certaines actions recommandées pour accroître la sécurité et d’accorder une attention particulière à l’administration sécurisée du système.
Actions recommandées
Le NCSC a publié un guide dédié contenant une liste des mesures que les organisations doivent prendre en cas de cybermenaces élevées.
Les actions clés incluent l’application de correctifs au système, la vérification du contrôle d’accès, le fonctionnement des défenses, la journalisation et la surveillance, l’examen des sauvegardes, les plans d’incident et la gestion de l’accès des tiers.
Les grandes entreprises doivent envisager de prendre des mesures avancées supplémentaires telles que l’accélération des améliorations de la sécurité, la réévaluation de la tolérance au risque, la réduction temporaire des fonctionnalités du système, la correction agressive des vulnérabilités, le retardement des modifications du système non liées à la sécurité et la préparation à des heures de fonctionnement prolongées ou à la mise à l’échelle de la réponse aux incidents.
Concernant l’administration sécurisée du système, le NCSC recommande de suivre ces principes à la fois pour le personnel interne et pour tous les fournisseurs tiers ayant accès aux interfaces d’administration :
- Sécurisez tous les appareils utilisés pour accéder aux interfaces d’administration du système afin d’empêcher les attaquants d’exploiter les fonctionnalités légitimes.
- Assurez-vous que seuls les utilisateurs autorisés peuvent accéder aux interfaces avec des privilèges système élevés.
- Appliquez une gestion pragmatique des risques à l’administration du système en utilisant une administration à plusieurs niveaux, car certains niveaux d’accès posent plus de problèmes que d’autres.
- Contrôlez l’accès des administrateurs en fonction de qui, où, quand, pourquoi et comment ils exécutent les tâches. Accordez le moindre privilège et révoquez l’accès lorsque cela n’est pas nécessaire.
- Enregistrez/journalisez toutes les actions d’administration et auditez-les pour vous assurer que seules les actions légitimes et approuvées sont effectuées.
Bien que le NCSC considère qu’il est peu probable que des groupes hacktivistes pro-russes soient en mesure de causer de réels dommages à de précieux réseaux d’entreprises ou gouvernementaux, cela pourrait changer avec le temps.
« Sans aide extérieure, nous considérons qu’il est peu probable que ces groupes aient la capacité de provoquer délibérément un impact destructeur plutôt que perturbateur à court terme », conclut l’avertissement du NCSC.
« Mais ils peuvent devenir plus efficaces avec le temps, et le NCSC recommande donc aux organisations d’agir maintenant pour gérer le risque contre de futures attaques réussies. »