L’an passé, de nombreuses attaques aux retentissements mondiaux ont occupé le devant de la scène. Cette nouvelle année a démarré, elle, en fanfare avec de récentes failles “Meltdown” et “Spectre” identifiées sur les processeurs équipant la grande majorité des ordinateurs.
Le sujet de la protection des systèmes d’information et des données est, plus que jamais, au coeur des préoccupations des entreprises. Bblog s’empare du sujet et vous propose de retrouver au travers des B-Securidays, de janvier à mars, les prises de parole de professionnels aguerris de la sécurité des entreprises.
Aujourd’hui, avis d’expert #5 : Anticiper les attaques DDOS par Jonathan Bourgain, Sales Engineer pour Arbor Networks
Un ralentissement des activités connectées puis une interruption totale de la connexion ? Une attaque DDOS sature vos serveurs et vous réduit à l’inactivité…. On vous dit tout sur les parades.
L’attaque DDOS peut intervenir à tout moment. Comment anticiper cette menace ?
En effet, la menace de l’attaque par déni de service (DDOS) plane en permanence car les entreprises se sont massivement digitalisées. D’autre part, cette attaque ne nécessite aucune compétence technique. Il suffit bien souvent de suivre des procédures simples à disposition sur Youtube ou d’utiliser des services de DDoS à la demande qui proposent d’attaquer n’importe qu’elle cible pour une somme modique. L’absence d’outil de détection adapté dans la plupart des entreprises ne leur permettent pas d’identifier les attaques par dénis de services. L’impact de ce type d’attaques sur les infrastructures : freeze des pare-feu ou d’une application, fort ralentissement voir coupure des services internet sont la plupart du temps associé à tort à des bugs sur les équipements, sur les applications ou à un incident côté opérateur… Pour anticiper, il faut accepter que la menace soit réelle et effectuer une analyse du risque. On cherchera à identifier quelles seraient les activités les plus touchées dans l’entreprise en cas d’attaque ainsi que l’impact sur l’image, le chiffre d’affaire et le fonctionnement de l’entreprise. L’objectif étant de protéger les biens essentiels de l’entreprise en fonction du leur degré d’exposition à ce type de menaces.
Pour anticiper, il faut accepter que la menace soit réelle et effectuer une analyse du risque.
Quel est le rôle de l’opérateur face à cette menace ?
Il est majeur à plus d’un titre. D’abord, l’opérateur possède une vision globale des connexions d’une entreprise. Il dispose d’outils d’analyse si pointus que la moindre variation dans le trafic peut faire l’objet d’une interprétation très précise. L’opérateur est capable d’identifier les liens les plus vulnérables, les plus sensibles et peut effectuer des recommandations. D’autre part, il dispose de technologies qui lui permettent, en cas d’attaque avérée de dévier le trafic vers des dispositifs de nettoyage qui permettent de bloquer finement le trafic illégitime afin de rétablir le service du client.
Il existe trois types d’attaques DDOS : volumétrique qui cible et sature les liens, par épuisement d’état qui cible les pare-feu ou les attaques applicatives qui ciblent directement les applications.
Quels sont les premiers réflexes à avoir lorsque l’attaque DDOS est identifiée ?
La solution DDOS en coeur de réseau va traiter l’immense majorité des attaques. Mais dans le cas d’une attaque fine ciblant une application précise, il faut entrer en relation avec son opérateur qui pourra confirmer l’attaque et mettre en œuvre tous les moyens pour rétablir les services au plus vite.
Apprendre de l’attaque pour ne plus se faire piéger… Est-ce possible et si oui, comment ?
Il existe trois types d’attaques DDOS : volumétrique qui cible et sature les liens, par épuisement d’état qui cible les pare-feu ou les attaques applicatives qui ciblent directement les applications. Pour se protéger, il faut appliquer des protections de bout en bout.
Est-il pertinent de réaliser des tests d’attaques DDoS sur son infrastructure pour mesurer sa résistance face à ce type d’attaque ?
La tentation de simuler des attaques DDOS peut être forte mais le risque de faire vraiment tomber les serveurs est réel. Mieux vaut ne pas jouer avec le feu et utiliser des environnements de qualification avec une chaîne d’accès totalement dédiée pour réaliser ces tests sans risque de mettre à mal la production.