Que faire en cas d’attaque DDoS?
L’Icann a prodigué quelques conseils à propos de la manière de réagir pour les organisations victimes d’une attaque de type DDoS.
L’Icann a prodigué quelques conseils à propos de la manière de réagir pour les organisations victimes d’une attaque de type DDoS.
Le gestionnaire des noms de domaine insiste sur le fait que les institutions nationales ne peuvent pas faire grand-chose pour éviter ce genre d’attaques.
Dave Piscitello, senior security technologist à l’Icann, a mis ces conseils à disposition sur le blog de l’organisation.
Il suggère que les organisations qui soupçonnent être la cible d’une attaque DDoS, en avertissent le plus rapidement possible la police ou le CERT local (notre ‘cyber emergency team’ fédéral), bien que selon lui, ces instances ne puissent pas faire grand-chose pour empêcher les attaques.
“Il convient d’informer les services de police dans les plus brefs délais, surtout si votre organisation a été menacée ou a fait l’objet d’une demande d’argent pour ne pas être attaquée”, ajoute Piscitello. “Il en va de même, lorsque vous estimez que votre infrastructure critique va être attaquée. Lorsque vous avisez les autorités, celles-ci peuvent en effet alors rapidement collecter des informations sur les criminels.”
Ce qui est essentiel, c’est qu’une organisation touchée prenne le plus rapidement possible contact avec son fournisseur d’hébergement, de préférence encore durant l’attaque même. Le fournisseur peut en effet bloquer une grande partie du trafic d’attaque. A cette fin, il est conseillé de donner le plus de renseignements détaillés possibles, tels le type de trafic (DNS, TCP, UDP,…), les ports, la source, la bande passante occupée, etc.
“Votre hébergeur pourra alors lui-même prendre contact avec les fournisseurs en amont et avec les ISP par lesquels transite le trafic d’attaque, et leur indiquer la nature de ce trafic”, poursuit Piscitello. “Normalement, ces opérateurs veilleront ensuite à l’annulation des trajets suivis par le trafic DDoS et au blocage de ce dernier à proximité de la source.”
Si cela ne donne rien, il sera fait appel au ‘cyber emergency team’ (CERT) local. “Cette équipe examinera plus en avant l’attaque et prendra à son tour contact avec le fournisseur d’hébergement au nom de la victime. Les équipes CERT collaborent du reste avec toutes les parties impliquées, afin de limiter l’impact de l’attaque.”
En outre, l’Icann conseille aussi d’élaborer un ‘DDoS-attack response plan’, afin que tout un chacun sache quoi faire en cas d’attaque.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici