Le Bureau national de la cybersécurité a reçu plusieurs signalements d'incidents de cybersécurité graves au cours desquels des attaquants sont parvenus à accéder à des réseaux organisationnels et à supprimer des serveurs et des points d'extrémité dans le but de perturber les opérations des organisations attaquées.
Les enquêtes menées indiquent que, dans de nombreux cas, l'accès initial au réseau a été effectué à l'aide de données d'identification légitimes d'utilisateurs de l'organisation. Ces données peuvent avoir été exposées lors d'attaques antérieures, de fuites de données, ou vendues sur le dark web, et parfois aussi à la suite d'attaques non détectées en temps réel.
Même lorsque des vulnérabilités techniques dans les équipements ou les systèmes ont déjà été corrigées par des mises à jour de sécurité, les attaquants peuvent conserver un accès au réseau organisationnel si les mots de passe des utilisateurs n'ont pas été modifiés ou si des comptes créés pendant l'attaque subsistent dans le système.
Compte tenu de ces incidents, il est recommandé aux organisations de prendre des mesures immédiates pour réduire les risques : • Imposer un changement de mot de passe pour tous les utilisateurs des systèmes d'accès à distance tels que VPN, ZTNA ou les solutions de gestion à distance. • Vérifier qu'aucun utilisateur non reconnu ne figure dans les systèmes, en particulier ceux disposant de privilèges d'administrateur. • Activer une authentification à deux facteurs robuste pour tous les utilisateurs, en particulier pour les administrateurs. • S'assurer que les systèmes et équipements d'accès à distance sont mis à jour vers les dernières versions de sécurité.
La mise en œuvre de ces mesures peut réduire considérablement le risque d'exploitation des données d'accès existantes et prévenir les dommages aux opérations de l'organisation.
En cas de suspicion d'activité inhabituelle ou d'incident de cybersécurité, vous pouvez contacter la ligne d'assistance 119 pour obtenir une aide professionnelle.
Sujets connexes
