Nous avons tous éprouvé un sentiment de frustration, voire de désespoir, face à des services en ligne qui ne sont pas accessibles instantanément lorsque nous en avons envie ou besoin. Imaginez que cela arrive simultanément à des milliers ou même des millions de clients à travers le monde et vous aurez une idée de l’impact potentiel d’une seule attaque DDoS sur votre entreprise. Le maintien de la disponibilité des plates-formes numériques, réseaux, applications et services n’est pas seulement une question de sécurité mais aussi de risque commercial et de continuité d’activité.

Il n’en faut pas beaucoup pour paralyser un pan entier d’Internet. En novembre 2016, une erreur de configuration au sein d’une grande société d’infrastructure du réseau a provoqué des pannes chez plusieurs opérateurs majeurs. Même s’il s’agissait d’un accident et non d’un acte de malveillance, l’indisponibilité de 90 minutes qui en a résulté n’en a pas moins pénalisé les opérateurs autant que leurs clients.

Une attaque concertée peut avoir des conséquences bien plus dommageables. À la différence de menaces avancées ou de piratages qui agissent en toute discrétion afin d’exfiltrer des données de valeur, une attaque DDoS couronnée de succès se reconnaît d’emblée. Les symptômes vont d’une dégradation des performances et de pannes intermittentes à un flot de plaintes des clients, voire à une indisponibilité soudaine et complète. Quelle que soit sa motivation, elle a pour objectif la perturbation ou le déni du service.

Les capacités de la menace surpassent-elles vos capacités de protection ?
Les attaques DDoS sont à peu près aussi vieilles que le e-commerce lui-même. Les entreprises ayant établi une forte présence en ligne prennent depuis toujours des mesures pour assurer leur disponibilité. Demandez-vous, cependant, si la protection que vous avez peut-être mise en place il y a plusieurs années est encore adaptée à une attaque moderne. Les capacités des menaces DDoS deviennent plus complexes, dynamiques et multivecteurs. De plus en plus, les auteurs d’attaques combinent diverses méthodes, en partant du principe qu’au moins l’une d’entre d’elles fera mouche tandis que les autres feront diversion.

Ces types d’attaques sont les suivants :
• Volumétriques : ces attaques grosses consommatrices de bande passante visent essentiellement à « inonder » les liaisons réseau et les interfaces des routeurs.
• TCP State Exhaustion : les attaques de ce type saturent toutes les connexions TCP (Transmission Control Protocol) disponibles sur les équipements d’infrastructure Internet tels que les firewalls, les répartiteurs de charge et les serveurs web.
• Applicatives : ces attaques « sournoises » ont pour but d’épuiser progressivement les ressources des serveurs d’applications.

En outre, les attaques sont aujourd’hui beaucoup plus faciles à lancer par des auteurs moins chevronnés, grâce à la disponibilité d’outils en kits bon marché et de services DDoS « à louer ». Le paysage des menaces se complique encore avec la prolifération rapide d’équipements insuffisamment sécurisés au sein de l’Internet des objets (IoT), qui se retrouvent embrigadés comme « zombies » dans des botnets pour le lancement d’attaques DDoS multivecteurs.

Évaluer les risques et les défenses
Devant la recrudescence des attaques multivecteurs, les experts en sécurité s’accordent à dire que l’atténuation du risque d’attaques DDoS passe par une défense en profondeur ou à plusieurs niveaux, associant plusieurs méthodes de neutralisation synchronisées.

Les solutions de neutralisation DDoS intelligente (IDMS), spécialement conçues pour contrer les attaques DDoS, sont déployées sur site, en frontal du firewall. Ces solutions peuvent traiter la majorité des attaques DDoS, dont 80 % sont en fait d’une intensité inférieure à 1 Gbit/s. Toutefois, elles ne sont pas suffisantes compte tenu du nombre croissant d’attaques de grande ampleur visant à saturer la bande passante d’Internet et dont la neutralisation est plus efficace dans le cloud. Les meilleures pratiques de défense consistent donc aujourd’hui en l’intégration intelligente de solutions sur site et dans le cloud.

Le déni de disponibilité des services représentant un risque pour l’entreprise, il est judicieux de procéder à une analyse de ce risque afin d’évaluer vos vulnérabilités et de déterminer l’impact d’une attaque DDoS dans divers scénarios, ainsi que les mesures à prendre pour une atténuation optimale du risque.

Aujourd’hui, la menace DDoS n’est pas identique à ce qu’elle était il y dix ou même cinq ans. Si la disponibilité est vitale pour votre entreprise, alors il convient d’adapter vos défenses à l’évolution de cette menace.

Par Eric Michonnet, Directeur Régional Europe du Sud, Europe centrale et Afrique du Nord NETSCOUT Arbor