Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
oeilinfo.com

Cloud, comment faire face à une cyber-attaque

9 Avril 2013 , Rédigé par Stéphane Publié dans #SI Sécurité, #Cloud, #Entreprise

Cloud, comment faire face à une cyber-attaque

Un grand industriel a subi une attaque informatique dans le « cloud ». Décryptage (sous couvert d’anonymat) de ce véritable cas d’école.

Un lundi soir ordinaire

Le système d’information d’un grand industriel – qui souhaite taire son nom – est victime d’un incident de sécurité. Symptôme : de multiples requêtes sont envoyées sur son serveur FTP (« file transfert protocol ») hébergé au sein d’un « cloud » public dédié. C’est l’équipe SIRT (« security incident response team ») de son fournisseur, la société Dimension Data, qui a relevé le comportement anormal sur le réseau. Plusieurs hypothèses sont envisagées. Est-ce un début d’attaque par déni de service (DoS) ? Dans ce cas, l’attaquant submerge le serveur de requêtes afin de le rendre inopérant. Il peut également s’agir d’une attaque par « brute force » : le pirate essaie plusieurs combinaisons de mots de passe dans le but d’infiltrer le système.

Identifier l’attaque

La société Dimension Data, qui s’occupe de plusieurs entreprises du CAC 40, ne sait pas quelles données sont menacées. « Contractuellement, nous n’avons aucun droit de regard », explique Olivier Grosjeanne, responsable du pôle « data center » de Dimension Data. « En cas d’alerte, notre rôle est de faire remonter l’information vers les administrateurs réseaux de notre client. » Un e-mail de notification est donc envoyé et un ticket d’incident est ouvert. En attendant, l’équipe SIRT envisage tous les scénarios possibles. « Si c’est un “brute force”, il faut installer un filtre réseau de manière à ce que le serveur ne soit plus accessible à l’ordinateur de l’attaquant, explique Olivier ­Grosjeanne. En cas de DoS, il faut plutôt augmenter la puissance de nos machines afin d’absorber le flux envoyé par le pirate. »

Répondre vite

L’industriel met du temps à réagir. Son responsable informatique est coincé dans les transports… Au bout d’une heure et demie d’attente, pourtant, l’équipe SIRT reçoit une demande d’information complémentaire. Et renvoie aussitôt les traces de l’incident. « L’heure des tentatives d’intrusion, leur fréquence… mais surtout l’adresse IP de l’attaquant », précise Olivier Grosjeanne. Après analyse, les équipes en sont certaines : c’est un « brute force ». Les filtres réseaux sont déployés, ce qui a pour effet d’expulser le pirate hors du système d’information. Peu de temps après, l’industriel ajoutera des règles pour éviter que l’incident ne se reproduise. Par exemple, la coupure automatique de la connexion lorsque le mot de passe est faux dix fois de suite.

Débriefing

Sans gravité cette fois-ci, l’incident aurait pu être pire. « Lorsque l’entreprise met du temps à réagir, les conséquences peuvent être dramatiques, insiste Olivier Grosjeanne. Si le pirate pénètre le système, il vole les données. Mais il peut également laisser derrière lui un logiciel espion… Ce qui est quasi indétectable ! »

Source:lesechos

Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article