Attaque par ransomware de Kaseya : Questionnaire gratuit pour évaluer le risque lié à un tiers

1) L'organisation a-t-elle été touchée par la récente attaque par ransomware de la chaîne d'approvisionnement de Kaseya VSA ?

(Veuillez en choisir un.)

Texte d'aide : Ceci est lié à la récente attaque de ransomware sur l'outil Kaseya VSA RMM.

a) Oui, nous avons été touchés par la récente attaque de Kaseya VSA Supply-Chain Ransomware.

b) Non, nous n'avons pas été touchés par la récente attaque de Kaseya VSA Supply-Chain Ransomware.

2) À la suite de cette attaque par ransomware, l'organisation a-t-elle identifié et mis hors service des serveurs VSA sur site ?

(Veuillez en choisir un.)

a) Oui, l'organisation a fermé les serveurs VSA sur site potentiellement affectés.

b) Non, l'organisation n'a pas actuellement arrêté les serveurs VSA sur site potentiellement affectés.

c) L'organisation ne dispose pas de serveurs VSA sur site.

3) L'organisation est-elle un fournisseur de services gérés (MSP) Kaseya RMM ou un client d'un fournisseur de services gérés ?

(Veuillez en choisir un.)

a) L'organisation est un fournisseur de services gérés (MSP) de l'outil Kaseya VSA RMM.

b) L'organisation est cliente d'un fournisseur de services gérés (MSP) Kaseya RMM.

4) Si l'organisation est un fournisseur de services gérés Kaseya RMM, les actions suivantes ont-elles été prises ?

(Veuillez sélectionner toutes les réponses qui s'appliquent).

Texte d'aide : L'outil de détection Kaseya VSA analyse un système (soit le serveur VSA, soit le terminal géré) et détermine si des indicateurs de compromission (IoC) sont présents.

a) Nous avons téléchargé l'outil de détection Kaseya VSA.

b) Nous avons mis en place et activé l'authentification multifactorielle (MFA) sur tous les comptes qui sont sous le contrôle de l'organisation.

c) Nous avons mis en place et activé le MFA pour les services destinés aux clients.

d) Nous avons mis en place une liste d'autorisations pour limiter la communication avec les capacités de surveillance et de gestion à distance (RMM) aux paires d'adresses IP connues.

e) Nous avons placé les interfaces administratives de RMM derrière un réseau privé virtuel (VPN) ou un pare-feu sur un réseau administratif dédié.

5) Si l'organisation est cliente d'un fournisseur de services gérés Kaseya RMM, les mesures suivantes ont-elles été prises ?

(Veuillez sélectionner toutes les réponses qui s'appliquent).

Texte d'aide : Les meilleures pratiques de cybersécurité suivantes sont recommandées, en particulier lorsque les clients MSP ne disposent pas actuellement de services RMM en cours d'exécution en raison de l'attaque de Kaseya.

a) Nous avons veillé à ce que les sauvegardes soient à jour et stockées dans un endroit facilement récupérable et isolé du réseau de l'organisation.

b) Nous avons mis en place un processus de gestion manuelle des correctifs qui suit les conseils de remédiation des fournisseurs, y compris l'installation de nouveaux correctifs dès qu'ils sont disponibles.

c) Nous avons mis en place une authentification multifactorielle sur les comptes d'administration des ressources clés du réseau.

d) Nous avons mis en œuvre le principe du moindre privilège sur les comptes d'administration des ressources clés du réseau.

6) L'organisation a-t-elle mis en place un plan d'enquête et de réponse aux incidents ?

(Veuillez sélectionner toutes les réponses qui s'appliquent).

Texte d'aide : Des procédures de surveillance, de détection, d'analyse et de signalement des événements et incidents liés à la sécurité de l'information doivent être en place et permettre à une organisation de développer une stratégie de réponse claire pour traiter les incidents et événements identifiés.

a) L'organisation dispose d'une politique de gestion des incidents documentée.

b) La politique de gestion des incidents comprend des règles pour signaler les événements et les faiblesses en matière de sécurité de l'information.

c) Un plan de réponse aux incidents est élaboré dans le cadre de l'enquête et de la récupération des incidents.

d) La planification de la réponse aux incidents comprend des procédures d'escalade vers les parties internes et des procédures de communication aux clients.

7) Qui est le point de contact qui peut répondre aux questions supplémentaires ?

Nom :

Titre :

Courriel :

Téléphone :

8) Quel est le niveau d'impact sur les systèmes et les données des clients suite à cette attaque ?

(Veuillez en choisir un.)

Texte d'aide :

Il convient de prendre en considération le niveau d'impact sur la disponibilité et la confidentialité des informations ou des systèmes des clients.

Impact significatif : L'attaque par ransomware de Kaseya VSA a provoqué l'arrêt du fonctionnement ou l'indisponibilité des systèmes clients. Il y a eu une perte de confidentialité ou d'intégrité des données.

Impact élevé : La disponibilité du service pour les systèmes clients a été périodiquement perdue, et il est possible que certains systèmes s'arrêtent périodiquement. Il y a eu une certaine perte de confidentialité ou d'intégrité des données.

Faible impact : Aucune perte de confidentialité ou d'intégrité des données, et une perturbation minimale ou nulle de la disponibilité du service.

a) Il n'y a pas eu d'impact sur les systèmes ou les données des clients suite à cette attaque.

b) Cette attaque a eu un faible impact sur les systèmes ou les données des clients.

c) Il y a un niveau élevé d'impact sur les systèmes ou les données des clients suite à cette attaque.

d) Cette attaque a eu un impact significatif sur les systèmes ou les données des clients.