Sécurité informatique pendant les grandes vacances
Le gouvernement japonais a compilé des recommandations pour les entreprises, afin qu’elles se protègent mieux des cyberattaques durant les longues périodes de vacances. Selon ces directives, la sécurité informatique doit se penser avant, pendant et après les grandes vacances.
Source : 20230424002-1.pdf (meti.go.jp)
Rappel des mesures à prendre pour les grandes vacances de printemps
Le 24 avril 2023
Ministère de l’Économie, du Commerce et de l’Industrie
Ministère des Affaires Intérieures et des Communications
Agence Nationale de Police
Secrétariat du Cabinet Centre de cybersécurité du Cabinet
Compte tenu de l’augmentation des risques de dommages créés par des cyberattaques, les ministères compétents ont lancé un « Appel à la vigilance concernant les mesures à implémenter pendant les congés de fin et de nouvelle année » durant le mois de décembre de l’année dernière. Toutefois, ces dernières années, les dommages liés à des cyberattaques par des rançongiciels continuent d’affecter diverses entreprises et organisations au Japon et à l’étranger, dont certaines affectant la vie de nos concitoyens.
En outre, des attaques par courrier électronique visent à infecter par logiciel malveillant (malware) Emotet. Celles-ci se sont de nouveau faites nombreuses depuis le mois de mars de cette année, et prennent de nouvelles formes (v. ※1 et ※2 dans ce document). Cette situation amène à craindre une propagation des infections et des dégâts.
En outre, des incidents ont récemment affecté la continuité des activités en raison d’attaques par déni de service (DDoS) qui visaient les pages web d’agences gouvernementales, de gouvernements locaux, et d’entreprises japonaises. Par conséquent, chaque citoyen doit prendre garde aux cyberattaques.
La situation restant difficile, nous devons craindre de plus en plus que des incidents de sécurité ne se produisent en profitant de l’absentéisme pendant les grandes vacances de printemps. De plus, il convient d’anticiper un accroissement des risques d’infections après les congés, quand l’augmentation du nombre de courriels à vérifier peut amener les personnes à négliger la vérification de l’identité de l’expéditeur.
De plus, tout fonctionne différemment de l’habitude durant les congés, ce qui laisse craindre une réaction trop tardive ou des événements imprévisibles.
Compte tenu des risques que ces grandes vacances font peser sur la cybersécurité, nous vous prions d’envisager d’assurer la sécurité informatique par des mesures de contrôle appropriées, tout en se référant aux mesures de l’annexe ci-jointe.
Dans le même temps, en cas de détection d’opérations suspectes, veuillez contacter / consulter rapidement les autorités compétentes, les agences de sécurité et la police, afin de prévenir toute propagation des dommages (etc.).
Références
Liste des alertes déjà émises
- « Appel à la vigilance concernant les mesures à implémenter pendant les congés de fin et de nouvelle année », du 20 décembre 2022, lancée par le ministère de l’Économie, du Commerce et de l’Industrie, le ministère de l’Intérieur et des Communications, l’Agence Nationale de Police et le NISC.
https://www.nisc.go.jp/news/notice/20221220.html
- 14 octobre 2022, Agence des services financiers, Agence Nationale de Police, NISC « Cyberattaques ciblant les entreprises liées aux crypto-actifs par un groupe de cyberattaques appelé Lazarus, qui serait une organisation subordonnée aux autorités nord-coréennes (appel à la prudence) ».
https://www.nisc.go.jp/pdf/press/20221014NISC_press.pdf
- 30 novembre 2022, Agence Nationale de Police, NISC. « Cyberattaques ciblant les universitaires et les chercheurs de groupes de réflexion (Appel à la prudence) ».
https://www.nisc.go.jp/pdf/press/20221130NISC_press.pdf
- 21 décembre 2022, IPA. Appel à la prudence en matière de sécurité des informations pendant la fin et le début d’année.
https://www.ipa.go.jp/security/anshin/heads-up/alert20221213.html
Mesures contre les ransomware (rançongiciels)
- STOP! RANSOMWARE (page web)
https://www.nisc.go.jp/tokusetsu/stopransomeware.html
- Page spéciale pour les mesures contre les rançongiciels (Agence de promotion des technologies de l’information, Japon)
https://www.ipa.go.jp/security/anshin/measures/ransom_tokusetsu.html
- À lire si vous êtes victime d’une attaque par rançongiciel de type intrusif. (JPCERT Coordination center)
https://www.jpcert.or.jp/magazine/security/ransom-faq.html
- Site dédié aux mesures contre les rançongiciels (JPCERT Coordination center)
https://www.jpcert.or.jp/magazine/security/nomore-ransom.html
- Mesures de prévention des dommages par rançongiciels (Agence Nationale de Police)
https://www.npa.go.jp/bureau/cyber/countermeasures/ransom.html
Emotet
- « Sur les courriels visant à infecter par un virus appelé Emotet エモテット » (Agence de promotion des technologies de l’information) (※1) (MAJ du 17 mars 2023).
https://www.ipa.go.jp/security/security-alert/2022/1202.html
- Appel à la prudence concernant la propagation des infections par le malware Emotet (JPCERT Coordination center) (※2) (MAJ du 20 mars 2023)
https://www.jpcert.or.jp/at/2022/at220006.html
Annexe : Mesures à prendre en prévision des grandes vacances (Appel à la prudence)
Veuillez trouver ici une synthèse des mesures à mettre en œuvre par les personnes en charge de l’implémentation des mesures de sécurité et par les employés (etc.) utilisant les systèmes d’information.
Bonnes pratiques lorsque l’on est responsable de l’implémentation des mesures de sécurité.
1. Mesures à prendre avant une longue période de vacances
Vérifier les procédures et modalités de contact dans le cas d’incident de sécurité pendant une longue période de vacances
- Durant les grandes vacances, il est difficile d’identifier les incidents liés à la sécurité en temps réel, ce qui a tendance à retarder la réponse que l’on peut avoir. C’est pourquoi il convient de vérifier le système de surveillance pour une longue période de vacances, de façon à agir immédiatement en cas de tels incidents. Selon les besoins, il convient de renforcer le système de surveillance des alertes système et de chaque log, par exemple.
- Afin de pouvoir réagir rapidement et avec flexibilité dès que l’on en a connaissance, revérifier le contenu des démarches (dont le plan pour la continuité des activités commerciales) pour résoudre tout incident lié à la sécurité.
- Vérifier que l’organisation des contacts en cas d’incident lié à la sécurité est bien mise à jour avec les informations les plus récentes. (Notamment, vérifier les coordonnées des responsables et des personnes qui peuvent prendre des décisions dès que l’on a connaissance d’un incident relatif à la sécurité des informations. Vérifier aussi les coordonnées supplémentaires si l’on n’arrive pas à les joindre ces personnes.)
- Vérifier l’organisation des vendeurs de systèmes (y compris des fournisseurs de service de maintenance), la disponibilité des entreprises de la chaîne d’approvisionnement et des centres de support des compagnies de réseau, des fournisseurs de services extérieurs, des entreprises de gestion des centres de données, et d’autres intervenants extérieurs. Vérifier également leurs coordonnées (y compris celles qui permettent de les contacter en dehors des horaires d’ouverture normaux, pendant la nuit et les jours fériés).
- Informer les employés (etc.) qui utilisent les systèmes d’informations sur les points de contact pour signaler les incidents de sécurité dont ils ont connaissance.
Implémenter des mesures de sauvegarde
- Mettre en œuvre des mesures de sauvegarde pour les données importantes et les fichiers de configuration de l’équipement en cas de corruption des données par un dysfonctionnement du système ou des programmes malveillants tels que les rançongiciels. S’assurer d’effectuer ainsi les dernières sauvegardes et vérifier qu’il serait possible de récupération effectivement ces données.
- De plus, isoler la sauvegarde du réseau, et envisager des mesures qui empêchent de les changer, par exemple.
Mesures concernant le contrôle d’accès
- À cette occasion, renforcer la confirmation de l’identité des utilisateurs, par un contrôle des privilèges d’accès, l’utilisation de l’authentification multifactorielle, et en supprimant les comptes inutiles, etc. De même, vérifier que leurs mots de passe sont complexes.
- Limiter au strict nécessaire les accès aux équipements qui donnent accès au réseau externe, dont internet. Vérifier aussi les fonctions administratives, les ports de connexion, et que des protocoles ne sont pas ouverts inutilement. Par exemple, les ports souvent utilisés pour le partage de données sont 137 (TCP/UDP), 138 (UDP), 139 (TCP) 445 (TCP/UDP). Ceux utilisés pour les connexions à distance sont 3389 (TCP).
Mettre en œuvre des mesures contre les failles de sécurité des logiciels
- Vérifier la situation en matière de failles de sécurité, et selon les besoins, appliquer les correctifs et actualiser la version des logiciels. Dans le même temps, s’il est difficile d’effectuer les mises à jour immédiatement, prévoir des mesures de mitigation des risques.
- Vérifier sans attendre les informations sur les failles de sécurité importantes publiées durant la période des vacances, et prévoir un système qui puisse les gérer.
- S’il est vraiment impossible d’appliquer les correctifs de sécurité ou d’actualiser les logiciels avant la période des grandes vacances, envisager un calendrier de mise en œuvre qui tient compte du fait que l’accès au système pourrait être très encombré après le retour des congés.
Mesures concernant le matériel utilisé et les services externes
- Dans la perspective de bloquer les accès illégaux depuis l’extérieur, actualiser les micrologiciels (firmware ファームウェア) des appareils (tels que les serveurs, les ordinateurs, les dispositifs pour les lignes de communication, les équipements à usage spécial, comme les caméras de surveillance, etc.).
- En outre, éteindre les équipements non utilisés pendant les longues périodes de vacances.
- De même, se demander s’il convient de configurer pour les longues périodes de vacances les appareils avec une fonction de démarrage automatique.
- Se demander s’il faut désactiver les services extérieurs que l’on n’utilise pas durant cette période.
Mise en œuvre de rappels au personnel et à d’autres personnes
- Alerter le personnel et les autres personnes qui utilisent les systèmes d’information sur les points à noter pour assurer la cybersécurité pendant la longue période de vacances, y compris sur les « Points à mettre en œuvre par le personnel et les autres personnes qui utilisent les systèmes d’information » décrits ci-dessous.
2. Mesures à prendre juste après la longue période de vacances
Mesures concernant les équipements dont le courant était coupé durant les longues périodes de vacances
- Compte tenu du fait que les équipements débranchés pendant la longue période de vacances peut ne pas avoir les fichiers les plus récents des logiciels de lutte contre les malwares, commencer par vérifier s’il y a des mises à jour dès qu’ils sont de nouveau en marche. Avant d’en autoriser l’accès, implémenter des opérations d’actualisation de ce qui n’est pas à jour.
Mise en œuvre de mesures contre les failles de sécurité des logiciels
- Vérifier les informations sur les vulnérabilités pendant les longues périodes de vacances, et si nécessaire, appliquer les correctifs et mettre à jour les versions logicielles. Dans le même temps, s’il est difficile d’effectuer les mises à jour immédiatement, prévoir des mesures de mitigation des risques.
Chercher s’il y a des logiciels malveillants
- Faire tourner les outils contre les programmes malveillants sur les ordinateurs (etc.) emportés pendant la longue période de vacances, afin de vérifier leur absence.
Vérifier chaque log des serveurs et autres outils.
- Vérifier qu’il n’y a pas eu d’accès suspect aux équipements, tels que les serveurs, et lire les logs et alertes des VPN, pare-feus et autres équipements de surveillance.
Si un log présente des enregistrements suspects, conduire immédiatement une analyse (etc.) en profondeur.
Pratiques pour le personnel (etc.) qui utilise les systèmes d’information
1. Mesure à prendre avant une période de grandes vacances
Vérification et respect des règles relatives à la sortie des équipements et des données
- S’il a fallu emporter des terminaux, supports de stockage externes ou un autre matériel durant la longue période de vacances, s’assurer notamment que les mesures appropriées ont été prises conformément aux règles de sécurité de l’organisation (respect du règlement interne sur le matériel que l’on sort ou emporte par exemple).
- Gérer les équipements sortis avec autorisation afin de les protéger contre les dommages tels que les infections par des programmes malveillants, les pertes et les vols.
Mesures concernant les appareils utilisés
- En outre, éteindre les équipements non utilisés pendant les longues périodes de vacances
2. Mesures à prendre juste après la longue période de vacances
- Avant de vérifier les courriels, installer les mises à jour des fichiers de définition des logiciels contre les programmes malveillants et autres outils et appliquer les mises à jour du système d’exploitation et des applications.
- Ne pas cliquer sur les liens et les attachements suspects lors de la vérification des courriels.