Comment anticiper et contrôler les attaques DDoS ?

Anticiper les attaques DDoS est primordial pour se protéger des menaces

Une très importante attaque DDoS  a eu lieu en France en 2016. Les serveurs d’un hébergeur ont croulé sous des millions de requêtes, le débit de celles-ci atteignant parfois des pointes à 1 térabit par seconde. Résultat ? Un volume de connexion trop important, fort heureusement arrêté par les systèmes de protection avancés Anti-DDoS de l’hébergeur. Sans cette protection, un impact critique : l’impossible accès aux données hébergées des clients ! À l’origine de cette offensive, une armée de quelque 150 000 caméras IP infectées par des logiciels malveillants (nommés Mirai et Bashlite) et contrôlées à distance par des cybercriminels. C’est ce qu’on appelle un « botnet », c’est-à-dire un réseau de machines compromises (appelées « bots » ou « zombies »). Le potentiel de cibles de ces attaques est immense : tout acteur possédant un accès internet exposant ses activités métiers est concerné !  Mais selon l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information), certains types d’activités sont plus sujets à être ciblés : e-commerce, institutions financières, gouvernements, ou les structures d’hébergement informatique .

Nous présenterons ici 3 principales types d'attaques DDoS pour paralyser l’activité d’un serveur, connecté à internet 

• l’attaquant sature la capacité réseau en amont du serveur, le rendant ainsi injoignable. C’est l’exemple présenté dans le début de cet article : attaques DDoS dites « volumétriques »
  
• l’attaquant cherche à épuiser les ressources système de la machine pour l’empêcher de répondre aux requêtes légitimes : attaques DDoS dites « applicatives »
  
• l’attaquant profite des faiblesses de certains équipements réseau en amont du serveur 
  

Ainsi, le concept maître pour anticiper les menaces DDoS passe par une analyse de risque, confrontant le périmètre d’exposition (ou la surface d’attaque) aux menaces et impacts potentiels.

Attaques DDoS : les bonnes pratiques pour se protéger

Outre l’anticipation indispensable aux attaques DDoS, il existe différentes techniques « Anti-DDoS » pouvant être mises en œuvre afin de lutter contre ces cyberattaques :

• La mise en place de protection en amont des accès internet des cibles, hébergées au cœur du réseau du FAI (Fournisseurs d’Accès Internet), ou hébergeurs Cloud, permettant d’endiguer des attaques dites « volumétriques ». Particulièrement adaptées aux PME, elles demandent moins de maintenance et de connaissances techniques de la part du client. En cas d’attaque, celles-ci nettoient le trafic visant la cible, en supprimant le trafic indésirable.
  
• La mise en place d’équipements dédiés à la lutte DDoS ou de politiques de filtrage sur les équipements de sécurité / réseau, en bordure du système d’information pour détecter et stopper les attaques dites « applicatives » ou visant les éléments constituant le réseau intermédiaire. 
  

Mais les parades ne se résument pas à des solutions logicielles ou matérielles, même dans le Cloud ! La mise en place de bonnes pratiques en matière de cybersécurité s’avère tout aussi primordiale. Il s’agit en effet de mettre en place une réelle stratégie de maintien en condition de sécurité, basée ici sur la défense des environnements vitaux (les cibles de l’attaque). Outre le recensement des cibles potentielles et les attaques susceptibles de les viser, il s’agira de mettre en place des remontées d’alertes pertinentes en cas d’attaques afin d’organiser le lancement efficace des contre-mesures, via les équipes SI et réseaux, sensibilisés et formées à l’exercice, ou via des équipes expertes en sécurité, dans un processus de gestion de crise maîtrisé. La formation des responsables informatiques / décideurs est donc indispensable afin de garantir une chaîne décisionnelle efficace en cas de crise. Le maintien de ce processus, et le suivi de l’efficacité des solutions de contre-mesures seront tous aussi important au cours du temps.

Il est d’autre-part vital de sensibiliser tous les salariés aux bonnes pratiques en matière de cybersécurité, pouvant être, bien malgré eux, vecteurs d’infections virales / malveillantes, qui compromettraient le bon fonctionnement des solutions de défenses, mais aussi des cibles à protéger (une attaque virale, infectant le serveur interne… issue du surf d’une page web vérolée visitée par un employé de l’entreprise… !).

A LIRE AUSSI
Comment mettre en place une stratégie de Cyberdéfense ?

Une « bonne » protection Anti-DDoS s’appuie donc sur :

• Une stratégie de sécurisation couplée à des solutions périmétriques globales (pare-feu, système de prévention d’intrusion, sécurisation des serveurs et postes de travail, etc.),
  
• L’élaboration d’une stratégie spécifique de lutte DDoS, qui commence par une analyse amont des risques DDoS, et par l’application de bonnes pratiques Anti-DDoS, adaptées au périmètre protégé et à l’organisation en place, continuellement revue et améliorée.