Daniel Crowe, Area Vice President pour la France et l’Europe du Sud chez NETSCOUT, décrypte l’évolution des attaques DDoS et les limites des approches traditionnelles de défense. Alors que ces offensives deviennent plus rapides, plus furtives et plus stratégiques, il souligne la nécessité pour les entreprises de repenser leur résilience à l’échelle du réseau, avec des mécanismes d’atténuation capables de suivre la complexité et le rythme des menaces actuelles.
Les cybercriminels perfectionnent sans cesse leurs méthodes. Les malwares, ransomwares et autres cyberattaques gagnent en complexité et en furtivité, exigeant une vigilance constante des équipes de cybersécurité. Parmi ces menaces, les attaques par déni de service distribué (DDoS) se distinguent par leur ampleur et leur capacité à paralyser des infrastructures critiques.
Qu’elles soient massives ou qu’elles visent précisément les couches applicatives, une solution d’atténuation DDoS robuste est indispensable pour en limiter l’impact. Nos recherches avec IDC mettent en évidence plusieurs défis clés liés aux stratégies d’atténuation des attaques DDoS.
Les attaques DDoS comme une arme de diversion
Les attaques DDoS servent souvent d’écran de fumée pour masquer d’autres actions malveillantes, comme le vol, l’intrusion ou l’extorsion de données. Alors que les équipes réseau et de sécurité s’efforcent de rétablir les services et applications critiques pendant une attaque, les cybercriminels en profitent pour infiltrer d’autres zones du réseau et exfiltrer des données.
De plus, certaines solutions de protection DDoS présentent des limites : elles appliquent parfois des seuils de durée pour déclencher les mécanismes d’atténuation, ce qui peut permettre à des attaques en rafale de passer entre les mailles du filet. Ces offensives courtes mais répétées exploitent les délais de détection et rendent les services et applications clés indisponibles pendant de longues périodes.
La complexité des infrastructures qui fragilise la défense
Si les attaques DDoS peuvent servir de diversion, il est intéressant de constater que la complexité croissante de certaines infrastructures peut aussi créer des vulnérabilités. Il faut en ce sens privilégier une solution de protection DDoS holistique et évolutive. Tant que les équipes IT ne disposent pas d’une visibilité complète sur l’ensemble du réseau et des couches applicatives, des risques subsisteront.
Aussi, des attaques furtives de la couche applicative, également appelées attaques DDoS de couche 7, sont souvent de plus petit volume, mais peuvent être tout aussi destructrices que leurs homologues volumétriques à grande échelle. Sans solution dédiée capable de surveiller ces menaces ciblées, la disponibilité des applications peut être compromise.
Les attaques de grande ampleur, quant à elles, visent à submerger les défenses existantes. Une capacité d’atténuation suffisante demeure donc essentielle. Dans ce contexte, les solutions DDoS basées sur le cloud offrent une réponse efficace, surtout lorsqu’elles sont combinées à des dispositifs sur site dans une approche hybride.
La vitesse comme arme offensive
En plus d’utiliser la complexité des infrastructures, les cybercriminels font de la vitesse une arme à part entière, et les entreprises doivent apprendre à répondre sur le même tempo. Les attaques DDoS peuvent être dévastatrices pour les réseaux des grandes entreprises et des fournisseurs de services. Une défense efficace contre les attaques volumétriques repose à la fois sur des solutions site et dans le cloud.
Disposer de défenses DDoS holistiques et adaptatives capables de bloquer les attaques lorsqu’elles changent de cible dans une plage IP permet une détection et une atténuation automatiques dès lors que le trafic abusif apparaît à l’échelle du réseau plutôt qu’au niveau d’un hôte isolé.
Cette capacité prend une importance particulière face à des offensives désormais réparties sur de vastes plages d’adresses IP, une méthode couramment utilisée pour brouiller l’analyse du trafic, notamment lors d’attaques de type carpet-bombing. Une réaction immédiate réduit l’exposition et freine la propagation de l’incident.
Une pression économique et opérationnelle croissante
Cette intensification des offensives entraîne toutefois une conséquence directe sur la gestion opérationnelle : les entreprises doivent garder la maîtrise de leur environnement numérique, tout en surveillant les coûts liés à la fréquence croissante des attaques. La plupart s’appuient sur des fournisseurs de services de sécurité managés, souvent facturés à chaque opération d’atténuation. Par conséquent, plus les attaques se multiplient, plus la facture s’alourdit.
Aussi, pour réduire cette dépendance, certaines organisations optent pour des services de protection sans facturation par attaque, ou choisissent de déployer leurs propres solutions sur site. Selon le volume d’incidents, cette approche peut rapidement générer un retour sur investissement tangible.
Une résilience à reconstruire sur des fondations solides
Après une attaque ou la découverte d’une faille, les entreprises ont intérêt à reconstruire des bases solides, avec notamment un processus de protection DDoS adaptative alimentée par l’IA et le ML.
Certains protocoles, comme le DNS, nécessitent une protection spécifique contre les attaques DDoS, notamment les attaques DNS Water Torture/NXDOMAIN. Pour renforcer la défense, il est crucial de détecter automatiquement le trafic DNS malveillant en utilisant le machine learning, pour identifier les sources légitimes et malveillantes, et de mettre en place des limites de débit adaptées. Bien que des attaques DDoS sophistiquées, soutenues par l’IA, puissent compromettre des infrastructures même avec un volume modéré, l’IA peut également être utilisée pour améliorer la sécurité et mieux se défendre.
En somme, la résilience face aux attaques par déni de service repose sur une approche combinant anticipation, réactivité et technologie. Les solutions hybrides, soutenues par l’intelligence artificielle, offrent aujourd’hui une capacité d’analyse et d’atténuation capable de suivre l’évolution constante des menaces. Leur force réside dans une visibilité mondiale du trafic et une adaptation continue aux modes opératoires des cybercriminels.
