Mise en garde aux entreprises canadiennes : le conflit en Ukraine générateur de cybermenaces multiples

11 minutes de lecture
23 mars 2022
Articles

Auteurs : Brent Arnold et Kavi Sivasothy

L'autorité fédérale en matière de cybersécurité au Canada a émis des avertissements aux exploitants d'infrastructures essentielles les invitant à renforcer leurs défenses contre les cyberattaques découlant du conflit actuel en Ukraine. Depuis la publication de la mise en garde à la fin de février, les dangers auxquels faisait allusion le Centre canadien pour la cybersécurité (CCC) se manifestent de plus en plus. 



À preuve, la première attaque connue sur une infrastructure canadienne, la fonderie Rio Tinto au Québec, réalisée par des cybercriminels russes dont l'intention présumée était de lancer un avertissement (article en anglais) aux pays soutenant l'Ukraine. Alors que le conflit perdure et que les entreprises occidentales sont forcées de choisir un camp, elles pourraient fort bien être la cible de représailles par des auteurs de menaces issus de l'un ou l'autre camp.

C'est sans surprise qu'on note que le gros des cyberattaques russes rapportées est dirigé sur l'Ukraine. On constate (article en anglais) en effet des offensives sur des sites gouvernementaux, un important fournisseur Internet (article en anglais), des banques, et peut-être même un réseau satellite (article en anglais). Dès le début de mars, on estimait déjà que les tentatives de cyberattaques contre l'Ukraine avaient décuplé (article en anglais). Or, maintenant que la Russie est effectivement bannie de la Society for Worldwide Interbank Financial Transactions (SWIFT) et qu'elle fait face à des niveaux de sanctions et d'opprobre sans précédent, les gouvernements occidentaux mettent en garde (article en anglais) contre des représailles imminentes. Les infrastructures, tant publiques que privées, seront probablement spécifiquement ciblées, y compris les institutions financières et les services publics.

Le gouvernement ukrainien, pour sa part, a aussi établi des liens avec des pirates informatiques privés pour tirer profit de leurs habiletés en vue d'attaquer des entreprises russes et bélarusses (article en anglais)  des banques et des organismes gouvernementaux. Des volontaires du monde entier volent vraisemblablement (article en anglais) au secours de l'Ukraine dans le cadre de cyberopérations défensives et offensives. Naturellement, alors que l'Ukraine se cherche des alliés dans le monde entier, ses cyberactivités se sont limitées à la Russie et au Bélarus.

La menace qui plane à la fois sur des infrastructures essentielles et, plus généralement, sur des entreprises privées ne se limite pas à des attaques par les États impliqués dans ce conflit, ni même à leurs alliés. En effet, de tierces parties privées sont aussi intervenues dans le conflit dès son début, rendant ainsi la situation encore plus imprévisible et dangereuse. Une hausse des activités des organisations criminelles telles que Conti a déjà été remarquée et se poursuivra indubitablement. Cette dernière a publiquement dévoilé (article en anglais) son appui au gouvernement russe et a menacé les infrastructures essentielles de quiconque s'en prenait à son protégé. Conti étant effectivement une entreprise de rançongiciels à but lucratif (ransomware-as-a-service [RAAS]) comptant plus de 400 attaques de ce type (article en anglais) aux États-Unis et ailleurs, ses relations avérées (article en anglais) avec les services secrets russes et son soutien public à Vladimir Poutine pourraient l'inciter à viser des cibles étrangères en appui aux initiatives russes. D'ailleurs, Conti n'a pas hésité à s'en prendre à des infrastructures occidentales par le passé, et s'est récemment targuée (article en anglais) d'avoir causé la fermeture d'un service public d'électricité australien.

Parmi les entités qui répondent à l'appel d'exercer des représailles contre la Russie figurent Anonymous, le mystérieux collectif cybermilitant, et Cyber Partisans, toutes deux responsables d'attaques réussies (article en anglais) contre des banques russes et son télédiffuseur d'État, l'agence spatiale russe (article en anglais) ainsi qu'un réseau ferroviaire bélarusse utilisé pour le transport de troupes russes en Ukraine. De plus, le 19 mars 2022, Anonymous a prévenu les entreprises occidentales qui exerçaient encore des activités en Russie (article en anglais) dont beaucoup ont été nommées, qu'elles seraient visées par le collectif si elles ne se retiraient pas dans les 48 heures. Ainsi, même les cybermilitants soutenant l'Ukraine représentent dorénavant une menace pour les entreprises occidentales.

Cette complicité sans précédent entre des organisations parrainées par les gouvernements et « privées » comme CONTI signale aux organisations de tous types qu'elles devraient revoir leur préparation et leurs plans d'intervention en matière de cybersécurité. Il existe aussi une forte possibilité que des entités criminelles, sans parti pris et motivées uniquement par le profit, saisissent l'occasion pour attaquer des cibles vulnérables pendant que tous les regards sont tournés vers l'Ukraine.

Le CCC a fourni une feuille de route de base aux organisations pour les aider à se préparer à ce nouvel environnement. Même si le bulletin s'adresse principalement aux responsables de secteurs des infrastructures essentielles (dont les approvisionnements en eau, les chaînes alimentaires, l'énergie et les services publics, les gouvernements, l'information et les communications, la fabrication, la santé, les transports et les services financiers), toutes les entreprises et organisations devraient tenir compte des conseils normatifs fournis par le CCC qui les invite à :

  • Se préparer à isoler des composants et des services d'IE d'Internet et des réseaux organisationnels et internes si un auteur de menace malveillant pouvait être tenté de les perturber. Tester les contrôles manuels pour veiller à ce que les fonctions essentielles soient toujours fonctionnelles advenant l'indisponibilité ou la compromission du réseau de l'organisation.
  • Intensifier la vigilance organisationnelle.
    • Surveiller leurs réseaux en accordant une attention particulière aux TTP figurant dans l'avis du CISA (en anglais).
    • Veiller à ce que le personnel chargé de la cybersécurité et des TI soit en mesure de repérer et d'évaluer rapidement tout comportement inattendu ou inhabituel sur le réseau.
    • Activer la journalisation pour faciliter les enquêtes sur les problèmes et les événements.
  • Améliorer leur posture de sécurité :
    • Appliquer les correctifs aux systèmes, particulièrement ceux pour les vulnérabilités figurant dans l'avis du CISA (en anglais).
    • Permettre la journalisation et les sauvegardes.
    • Activer la surveillance du réseau et des points terminaux (p. ex., logiciel antivirus) et recourir à l'authentification multifacteur, le cas échéant.
    • Créer des sauvegardes hors ligne et les mettre à l'essai.
  • Se doter d'un plan d'intervention en cas de cyberincident, d'un plan de continuité des activités et d'un plan de communication, et se préparer à les appliquer.
  • Informer le Centre canadien pour la cybersécurité de toute activité suspecte ou malveillante (vous pouvez signaler les cyberincidents ici).

Les équipes de TI de ces organisations devraient également surveiller les alertes du Centre pour la cybersécurité qui repère les menaces techniques spécifiques visant des organisations dans le cadre du conflit.

Pour conclure, il ne s'agit pas ici d'une cyberguerre entre deux pays, mais bien d'un conflit à multiples facettes mettant en scène des justiciers numériques qui agissent au-delà du contrôle des nations, sans « aucun responsable » (article en anglais), comme le souligne le New York Times. Tous les ingrédients sont donc réunis pour créer une situation qui augmente les risques et l'imprévisibilité pour les entreprises à l'échelle mondiale, y compris au Canada. Dans un tel contexte, les entreprises canadiennes doivent absolument surveiller la situation de près, prendre toutes les précautions recommandées par le Centre pour la cybersécurité, et avoir recours aux services d'experts si leur posture en matière de sécurité leur semble incertaine.

N'hésitez pas à contacter les auteurs si vous avez des questions ou si vous souhaitez obtenir des conseils sur ces sujets en développement.

CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.

Articles et ressources similaires

Nos ressources Articles et ressources similaires
closeup of condo building Webinaire sur demande
01 mai 2024 Condo Adviser Episode 46: EV charging stations in condos
supply chain men around shipping containers Articles
01 mai 2024 Supply chain transparency reporting in Canada has begun
Close up of a woman's hand on a calculator reviewing an invoice. Articles
30 avril 2024 Canada's spring cleaning: 2024 Federal Budget targets junk (fees) and other cleanup efforts
Télécharger en tant que PDF