CYBER SENTINELLA

Cette année, il y a deux longs week-ends successifs avec les jours fériés du 1er et 8 mai. C'est une aubaine pour les pirates informatiques car ils ont plus de temps pour sévir pendant les heures non ouvrées. 

Heureusement, on a plusieurs outils très performants pour la sécurité informatique, dont un compteur de "tentatives d'intrusion cyber", en temps réel (produit "maison"). 

En bref : Jusqu’ici, tout va bien ;-)

En détails :

Ce week-end, à cet instant, notre entreprise subit une violente cyberattaque, comme beaucoup d'autres en cette période d'instabilité géopolitique. 

Le compteur des tentatives d’intrusion cyber indique des valeurs très élevés, quasiment tout le temps, comme l’illustrent les vues suivantes :

Voici quelques relevés (nombre de tentatives d’intrusion par seconde) :

• 1489 : le vendredi 1er mai (vers 08h30)
• 1477 : le samedi 2 mai (vers 10h00)
• 1491 : le dimanche 3 mai (vers 12h40)

Soit près de 2 tentatives d’intrusion par milliseconde : c’est énorme !... Et cela perdure depuis jeudi soir, début du long week-end du 1er mai... NON STOP !... encore à cet instant !

C’est confirmé par les fichiers logs (historique des évènements), qui révèlent les actions des pirates… et toutes les IP qu’ils utilisent. 

En observant leurs techniques, on perfectionne nos outils de sécurité : "Ce qui ne tue pas, rend plus fort."

Force est de constater que les pirates disposent d’une gigantesque puissance de feu. Certainement, ce sont des bandes très organisées, probablement étatiques (hors europe), au vu des premiers résultats de nos analyses. On remarque aussi que cette attaque est différente de celle d’il y a 15 jours. Car les IP ne sont pas majoritairement russes, contrairement à la précédente attaque. 

En effet, de très nombreuses IP appartiennent à des entreprises européennes… et même françaises. C'est pour cette raison que les IP sont biffées dans le photos ci-dessus, par précaution. Probablement, il s’agit de machines mal protégées qui sont devenues des « zombies », sous le contrôle des pirates.

Dès jeudi, nous avons pris des mesures de précaution en limitant les liaisons externes (Internet). A la lumière des évènements du week-end, c’était nécessaire. Mais on a dû laisser plusieurs liaisons ouvertes, pour les besoins des différentes équipes qui travaillent le week-end.

Car, il faut protéger l’entreprise, mais il faut aussi qu’elle puisse fonctionner correctement. C’est le dilemme dans pareilles situations. Il est indispensable de positionner le curseur judicieusement. En effet, en fermant tout, on ferait le jeu des pirates… qui réussiraient à gêner le bon fonctionnement de l’entreprise, sans même réussir à pénétrer notre infrastructure informatique.

Dans tous les cas, on est prêts : en cas de nécessité, il nous suffit d'activer le "bouton d'urgence" qui isolera instantanément notre infrastructure informatique. Dans la foulée, les membres du CODIR et les directeurs de nos différents sites sont alertés immédiatement par notre "robot SMS", précaution supplémentaire en cas de coupure de la messagerie électronique.

Il faut anticiper. Professionnels de la sécurité informatique, préparez-vous (si pas déjà fait) car, de toute évidence, les cyberattaques vont s'amplifier, à priori... et exponentiellement !

Le prochain week-end sera long aussi (8 mai). Il sera aisé de voir si les pirates d'aujourd'hui reviendront. Car ils agissent sans finesse... avec la discrétion d'un éléphant rose dans un magasin de porcelaine ;-)