In de context van de huidige internationale spanningen is Frankrijk het slachtoffer van talrijke cyberaanvallen. De gevolgen ervan kunnen desastreus zijn voor bedrijven, variërend van het stilleggen van activiteiten tot diefstal van gevoelige gegevens. Cyberaanvallen zijn bronnen van stress en compliceren de besluitvorming van IT-managers en beperken de impact ervan. Anticiperen wordt dan een noodzaak. Hoe kunt u zich voorbereiden op een crisis? Hoe goed te reageren als ze er eenmaal is?
" Er zijn twee soorten organisaties: organisaties die al slachtoffer zijn geworden van een cyberaanval en organisaties die dat binnenkort zullen worden. "zegt Guillaume Poupard, directeur-generaal van het Franse nationale agentschap voor de beveiliging van informatiesystemen (ANSSI).
Een cybercrisis kan op twee manieren worden aangepakt: of je pakt het aan, met alle risico's van noodmaatregelen, of je anticipeert erop. Helaas wijst de waakhond voor cyberbeveiliging op het gebrek aan vooruitziendheid bij bedrijven. Daarom dringt ANSSI er bij hen op aan om preventieve maatregelen te nemen. Het agentschap heeft vijf prioritaire maatregelen geïdentificeerd die op korte termijn moeten worden geïmplementeerd om voorbereid te zijn op elke eventualiteit.
1. Versterk de authenticatieprocedures
De meest gevoelige accounts, die van de beheerders van het informatiesysteem (IS) van het bedrijf en die van de meest blootgestelde personen (management, senior executives, enz.) moeten worden versterkt. ANSSI beveelt de implementatie aan van sterke authenticatie met behulp van twee identificatiefactoren (2FA).
Om toegang te krijgen tot het netwerk moet je bijvoorbeeld een sterk wachtwoord combineren met een hardwareapparaat (smartcard, USB-token, magneetkaart, enz.). Op zijn minst kan een per sms ontvangen code worden gebruikt als tweede identificatiemiddel.
Dit twee-factor authenticatiesysteem is al sinds 2019 beschikbaar voor banken.
2. Verhoog de netwerkmonitoring
In het geval van een cyberaanval wordt reactietijd cruciaal. Voorbereiding is daarom essentieel om zo snel mogelijk te kunnen reageren als het zover is. Daarom raadt ANSSI aan om permanente wereldwijde netwerkbewaking op te zetten. Zo kan een compromis zo snel mogelijk worden geïdentificeerd en aangepakt. Als er geen wereldwijde bewaking is, raadt ANSSI aan " centraliseer logboeken van de meest gevoelige punten van het informatiesysteem » zoals VPN-toegangspunten, virtuele desktops, domeincontrollers of hypervisors.
IT-beveiligingsmanagers zullen elke afwijking moeten onderzoeken die normaal gesproken zou worden genegeerd, zoals abnormale verbindingen met domeincontrollers en eventuele waarschuwingen van antivirus- en EDR-oplossingen (Endpoint Detection and Response).
3. Maak offline een back-up van gegevens en applicaties
Maak "regelmatig back-ups van alle bedrijfsgegevens, inclusief die op bestandsservers, infrastructuurservers en bedrijfsapplicaties", benadrukt het ANSSI.
Om ransomware te voorkomen, moeten back-ups van het netwerk worden losgekoppeld om versleuteling te voorkomen. Er moet prioriteit worden gegeven aan het gebruik van oplossingen voor koude opslag (harde schijven en magneetbanden).
Back-ups moeten regelmatig worden hersteld om hun integriteit te garanderen en fouten tijdens het herstel te voorkomen.
4. Identificeer kritieke services
In het geval van een aanval moeten beveiligingsacties prioriteit krijgen. Om dit te doen, moet u eerst een inventarisatie hebben gemaakt van de digitale diensten van het bedrijf en deze prioriteren op basis van hun kritische aard voor de bedrijfscontinuïteit van het bedrijf.
ANSSI vraagt ook om rekening te houden met de afhankelijkheid van dienstverleners.
5. Crisisbeheer voorbereiden op cyberaanvallen
Een cyberaanval kan het functioneren van het bedrijf destabiliseren. Ondersteunende functies als telefonie, messaging, maar ook bedrijfsapplicaties worden vaak als eerste buiten gebruik gesteld. Het bedrijf zal dan in een gedegradeerde modus moeten opereren, soms met het risico terug te keren naar papier en potlood.
Afhankelijk van de ernst veroorzaakt een cyberaanval een gedeeltelijke onderbreking van de activiteit, in de ernstigste gevallen tot een totale onderbreking.
Het bedrijf zal een crisiseenheid moeten opzetten en een responsplan moeten definiëren dat gericht is op het implementeren van een bedrijfscontinuïteitsplan (BCP) of een rampherstelplan (DRP). Dit zal het bedrijf in staat stellen om in een verslechterde modus te werken en systemen en gegevens zo snel mogelijk te herstellen om terug te keren naar een normale situatie.
