- Administration ouverte
- Innovation
L'Observatoire Digicanvis : partager et inspirer les autres communes
L'Agence de Cybersécurité de Catalogne a identifié ces dernières semaines une augmentation des incidents de ransomware ciblant des municipalités à travers le territoire. Ce type d'attaque vise à bloquer les systèmes de l'entité via le cryptage de leurs informations, en demandant une rançon pour sa restauration ou pour la récupération de données. Cette rançon est généralement d'un montant élevé et est demandée en crypto-monnaies (généralement en bitcoin).
Le « modus operandi » le plus récent pour mener ces attaques consiste à effectuer des intrusions manuelles dans les systèmes informatiques de la mairie. En général, ils tirent parti des accès Internet exposés et des systèmes de travail à distance (télétravail), tels que les VPN, RDP ou Citrix, en utilisant des informations d'identification précédemment volées ou en exploitant les vulnérabilités de ces mêmes technologies. Une fois sur le réseau interne, si nécessaire, ils volent des utilisateurs privilégiés à l'aide de logiciels malveillants, pour diffuser le ransomware définitif depuis le contrôleur de domaine lui-même ou les serveurs de virtualisation.
Pour ces raisons, les principales recommandations à appliquer sont les suivantes :
- conseilléutilisation de l'authentification multifacteur (MFA) aux systèmes et applications exposés publiquement, afin de réduire la possibilité que des attaquants accèdent initialement au réseau via l'utilisation d'informations d'identification précédemment compromises.
- Sensibiliser le personnel à la cybersécurité rend difficile pour les attaquants d'entrer dans le réseau des organisations. Les acteurs ont moins de capacité à déployer des ransomwares s'ils ne peuvent pas accéder au réseau.
- C'est aussi il est essentiel de maintenir tous les systèmes et applications à jour, en particulier ceux exposés publiquement (services VPN, systèmes d'exploitation de machines liés au télétravail, etc.).
Malgré l'application des mesures préventives précitées, aucun réseau n'est sécurisé à 100 %. Lorsque les cybercriminels ont réussi à entrer dans le réseau, il existe toute une série de bonnes pratiques qui leur rendent difficile les dérives et les ascensions de privilèges. L'objectif des attaquants est de contrôler autant de systèmes que possible et le moyen le plus courant de l'obtenir est via un compte d'administrateur de domaine ou via le contrôleur de domaine lui-même.
- Seul le personnel administratif des TIC devrait avoiraccès aux comptes administrateur. Ainsi, le nombre de comptes d'administration doit être maintenu aussi petit que possible, en appliquant le principe du moindre privilège, réduisant la possibilité pour un attaquant d'obtenir un compte privilégié.
- De plus, le personnel administratif des TIC ils ne doivent pas se connecter avec des comptes d'administrateur aux ordinateurs et postes de travail d'autres utilisateurs ou couramment utilisés. Tout ordinateur de l'organisation pourrait être compromis et l'attaquant pourrait extraire les informations d'identification utilisées (par exemple en utilisant Mimikatz) et accéder à un compte administrateur.
- Une stratégie de segmentation du réseau c'est une autre bonne pratique qui entraverait le mouvement latéral.
Enfin, et comme règle d'or face aux menaces de ransomware, il est de la plus haute importance de déployer une bonne stratégie de sauvegarde.
- L'impact d'une attaque de ransomware réussie est considérablement réduit lorsqueune sauvegarde récente isolée du réseau (air-gap) ou dans un emplacement « hors site ». Dans ce scénario, au lieu de la perte totale d'informations ou du coût économique élevé du paiement de la rançon, cela est susceptible d'être réduit à l'indisponibilité temporaire du service pendant que l'infection est gérée et que les données sont récupérées.
L'Agence de cybersécurité de Catalogne, grâce à CATALONIA-CERT, dispose d'une capacité de réponse élevée qui lui permet d'agir de manière coordonnée, dans le temps et dans la forme pour minimiser l'impact des incidents de cybersécurité qui se produisent sur tout le territoire. En cas d'incident, merci de nous contacter par téléphone au 900 112 444 ou par e-mail à l'adresse e-mail cert@ciberseguretat.cat.
L'année dernière, l'Agence de cybersécurité de Catalogne a défini un service de cybersécurité spécifique pour l'administration locale, qui vise à offrir de nouvelles capacités de protection et de réponse aux menaces et incidents de cybersécurité et ainsi prévenir les attaques telles que celles qui font l'objet de ce communiqué de presse. Ce service devrait être opérationnel au début du deuxième trimestre 2021, cependant la boîte aux lettres suivante a été créée seguridad.aall@ciberseguretat.cat pour résoudre tout doute ou problème à cet égard.