par Laurent Kupersztych, Ingénieur des Ventes/Consultant technique chez CDNetworks
Parce qu’aucune organisation n’est à l’abri d’une attaque, et parce que les conséquences peuvent coûter très cher à votre entreprise, mieux vaut anticiper. Alors que nous constatons une augmentation de la taille des attaques DDoS depuis 2015, voici quelques conseils pour se préparer au mieux.
1. Mesurez l’ampleur du risque couru
La toute première chose à faire est de réaliser un test de vulnérabilité pour identifier les failles dans la défense de votre système d’information qui pourraient être exploitées par des personnes malveillantes. Cela consiste en un examen approfondi des forces et faiblesses de votre réseau, afin d’adapter l’atténuation DDoS à votre besoin.
Un test d’intrusion peut être opéré. Il simulera une attaque interne ou externe au réseau et permettra de voir si un accès non autorisé peut atteindre les données. Même si cela n’a pas de rapport direct avec une attaque DDoS, le faire permet d’éliminer un risque car certains DSI victimes d’une attaque par déni de service ont d’abord pensé qu’il s’agissait de détourner leur attention d’une attaque directe sur leur réseau.
Et si votre réseau est vulnérable à un piratage traditionnel visant à voler des données, en plus d’être fragile face à une attaque DDoS, vous êtes la cible rêvée !
La toute première chose à faire est de réaliser un test de vulnérabilité pour identifier les failles dans la défense de votre système d’information qui pourraient être exploitées par des personnes malveillantes. Cela consiste en un examen approfondi des forces et faiblesses de votre réseau, afin d’adapter l’atténuation DDoS à votre besoin.
Un test d’intrusion peut être opéré. Il simulera une attaque interne ou externe au réseau et permettra de voir si un accès non autorisé peut atteindre les données. Même si cela n’a pas de rapport direct avec une attaque DDoS, le faire permet d’éliminer un risque car certains DSI victimes d’une attaque par déni de service ont d’abord pensé qu’il s’agissait de détourner leur attention d’une attaque directe sur leur réseau.
Et si votre réseau est vulnérable à un piratage traditionnel visant à voler des données, en plus d’être fragile face à une attaque DDoS, vous êtes la cible rêvée !
2. Apportez des réponses adaptées
Le test ayant révélé les vulnérabilités de votre organisation, l’étape suivante est de vous équiper des technologies et services nécessaires ou d’affiner leur utilisation si vous êtes déjà outillés.
Les technologies maison étaient parfaites dans les années 2000, quand les attaques DDoS étaient simples et plus rares. Mais, comme souvent en informatique, ce qui était valable il y a dix ans, n’est plus suffisant aujourd’hui. Les attaques DDoS ont tellement évolué en si peu de temps, en complexité comme en taille, qu’il est très difficile de monter soi-même une solution efficace.
Aux équipements spécialisés installés, il faut souvent ajouter du matériel supplémentaire dans les data centers, pour protéger les serveurs et les routeurs. Du matériel onéreux qu’il faut configurer et mettre à jour régulièrement pour rester efficace malgré l’évolution des attaques DDoS. Sans oublier qu’ils restent sensibles à une hausse de capacité du réseau.
La solution la plus pratique est de faire appel à des fournisseurs d’atténuation dans le cloud. La plupart des tests de vulnérabilité révèlent que l’une des faiblesses les plus évidentes est la limite de capacité réseau : dès que le seuil est atteint – que ce soit naturellement ou à cause d’une attaque DDoS – le réseau ne répond plus. Les fournisseurs d’atténuation dans le cloud ont une capacité réseau qui dépasse largement celle d’un seul data center et disposent de solutions de protection robustes, même face aux plus grosses attaques DDoS. Ils ont également le personnel et l’expertise pour surveiller les réseaux et mettre à jour la protection des clients à mesure que le paysage DDoS change, tout en filtrant les données afin de s’assurer que seul le trafic légitime passe.
Une communauté comme l’Open Web Application Security Project (OWASP) peut apporter son aide en termes de planification de l’atténuation DDoS. OWASP fait un classement du TOP 10 des risques de sécurité les plus critiques pour les applications Web, selon leur facilité d’exploitation, leur prédominance, leur détectabilité et leur impact. Une section permet de savoir si son organisation est vulnérable et comment prévenir une attaque. En combinant cette source d’information avec les conseils de votre prestataire sécurité, vous renforcez rapidement vos défenses.
Le test ayant révélé les vulnérabilités de votre organisation, l’étape suivante est de vous équiper des technologies et services nécessaires ou d’affiner leur utilisation si vous êtes déjà outillés.
Les technologies maison étaient parfaites dans les années 2000, quand les attaques DDoS étaient simples et plus rares. Mais, comme souvent en informatique, ce qui était valable il y a dix ans, n’est plus suffisant aujourd’hui. Les attaques DDoS ont tellement évolué en si peu de temps, en complexité comme en taille, qu’il est très difficile de monter soi-même une solution efficace.
Aux équipements spécialisés installés, il faut souvent ajouter du matériel supplémentaire dans les data centers, pour protéger les serveurs et les routeurs. Du matériel onéreux qu’il faut configurer et mettre à jour régulièrement pour rester efficace malgré l’évolution des attaques DDoS. Sans oublier qu’ils restent sensibles à une hausse de capacité du réseau.
La solution la plus pratique est de faire appel à des fournisseurs d’atténuation dans le cloud. La plupart des tests de vulnérabilité révèlent que l’une des faiblesses les plus évidentes est la limite de capacité réseau : dès que le seuil est atteint – que ce soit naturellement ou à cause d’une attaque DDoS – le réseau ne répond plus. Les fournisseurs d’atténuation dans le cloud ont une capacité réseau qui dépasse largement celle d’un seul data center et disposent de solutions de protection robustes, même face aux plus grosses attaques DDoS. Ils ont également le personnel et l’expertise pour surveiller les réseaux et mettre à jour la protection des clients à mesure que le paysage DDoS change, tout en filtrant les données afin de s’assurer que seul le trafic légitime passe.
Une communauté comme l’Open Web Application Security Project (OWASP) peut apporter son aide en termes de planification de l’atténuation DDoS. OWASP fait un classement du TOP 10 des risques de sécurité les plus critiques pour les applications Web, selon leur facilité d’exploitation, leur prédominance, leur détectabilité et leur impact. Une section permet de savoir si son organisation est vulnérable et comment prévenir une attaque. En combinant cette source d’information avec les conseils de votre prestataire sécurité, vous renforcez rapidement vos défenses.
3. Préparez-vous au pire : mettez en place un plan de continuité d’activité
De manière générale, tant que vous n’avez pas été touché par une attaque, les dégâts sont difficiles à mesurer, et sont souvent minimisés. Aussi forte soit votre protection, en théorie, et même si vous avez anticipé la résilience de vos données, vous devez planifier votre continuité d’activité. N’oubliez pas qu’une attaque peut avoir des effets financiers, juridiques et/ou réglementaires catastrophiques, y compris pour votre réputation.
Outre les contraintes techniques de duplication des données et la vérification que les objectifs de délai de récupération des données (RTO) et la perte maximale admissible (RPO) correspondent aux besoins de votre activité, il y a d’autres procédures à mettre en place. En haut de la liste figurent les personnes à mobiliser en cas d’attaque : l’équipe de crise. Qui doit être joignable à tout moment parmi vos partenaires sécurité, comment les contacter, quel est le rôle exact de chacun, et qui prévenir en interne comme en externe ?
Beaucoup d’entreprises ont programmé un plan de communication mais ont omis le fait qu’en cas de grosse attaque DDoS, un certain nombre de moyens de communications ne seront plus efficients. Les blogs comme les e-mails peuvent ne plus fonctionner, alors anticipez en prévoyant d’utiliser d’autres modes de communication comme les réseaux sociaux pour tenir informés vos partenaires, vos employés, vos clients, et même les médias.
De manière générale, tant que vous n’avez pas été touché par une attaque, les dégâts sont difficiles à mesurer, et sont souvent minimisés. Aussi forte soit votre protection, en théorie, et même si vous avez anticipé la résilience de vos données, vous devez planifier votre continuité d’activité. N’oubliez pas qu’une attaque peut avoir des effets financiers, juridiques et/ou réglementaires catastrophiques, y compris pour votre réputation.
Outre les contraintes techniques de duplication des données et la vérification que les objectifs de délai de récupération des données (RTO) et la perte maximale admissible (RPO) correspondent aux besoins de votre activité, il y a d’autres procédures à mettre en place. En haut de la liste figurent les personnes à mobiliser en cas d’attaque : l’équipe de crise. Qui doit être joignable à tout moment parmi vos partenaires sécurité, comment les contacter, quel est le rôle exact de chacun, et qui prévenir en interne comme en externe ?
Beaucoup d’entreprises ont programmé un plan de communication mais ont omis le fait qu’en cas de grosse attaque DDoS, un certain nombre de moyens de communications ne seront plus efficients. Les blogs comme les e-mails peuvent ne plus fonctionner, alors anticipez en prévoyant d’utiliser d’autres modes de communication comme les réseaux sociaux pour tenir informés vos partenaires, vos employés, vos clients, et même les médias.
4. Définissez votre politique en matière de rançon
Parfois, les attaques DDoS sont commises par des cybercriminels qui demandent une rançon en échange de l’arrêt de leur action.
Dans ce cas, il n’est pas recommandé de payer. Tout d’abord parce que vous n’avez aucune garantie que les pirates honoreront le pacte une fois l’argent perçu. D’autre part parce que si vous payez une fois, il y a de fortes chances pour que les mêmes pirates reviennent à la charge. C’est du crime organisé, du racket : ils peuvent proposer leur protection contre de l’argent.
La meilleure réaction est d’informer votre équipe juridique de l’attaque et de lui fournir la demande de rançon. Parfois, des demandes d’extorsion ont été demandées avant même que l’attaque ne commence.
En cas d’attaque réussie, en fonction de sa durée et de son impact, certaines entreprises pourraient avoir besoin de divulguer l’attaque le plus tôt possible, comme on a pu le voir lors de l’attaque Wannacry en mai 2017.
Parfois, les attaques DDoS sont commises par des cybercriminels qui demandent une rançon en échange de l’arrêt de leur action.
Dans ce cas, il n’est pas recommandé de payer. Tout d’abord parce que vous n’avez aucune garantie que les pirates honoreront le pacte une fois l’argent perçu. D’autre part parce que si vous payez une fois, il y a de fortes chances pour que les mêmes pirates reviennent à la charge. C’est du crime organisé, du racket : ils peuvent proposer leur protection contre de l’argent.
La meilleure réaction est d’informer votre équipe juridique de l’attaque et de lui fournir la demande de rançon. Parfois, des demandes d’extorsion ont été demandées avant même que l’attaque ne commence.
En cas d’attaque réussie, en fonction de sa durée et de son impact, certaines entreprises pourraient avoir besoin de divulguer l’attaque le plus tôt possible, comme on a pu le voir lors de l’attaque Wannacry en mai 2017.
5. Pensez aux assurances
La guerre entre les marques et les cybercriminels n’est autre qu’une course à l’armement, et parfois les criminels gagnent. Conscientes de ce risque malgré les défenses mises en place, certaines entreprises souscrivent des polices d’assurance contre le vol de données ou les cyberattaques.
Surtout, si vous y souscrivez, assurez-vous que la police d’assurance couvre non seulement les dégâts immédiats et pragmatiques mais également les possibles amendes qui seraient applicables.
La guerre entre les marques et les cybercriminels n’est autre qu’une course à l’armement, et parfois les criminels gagnent. Conscientes de ce risque malgré les défenses mises en place, certaines entreprises souscrivent des polices d’assurance contre le vol de données ou les cyberattaques.
Surtout, si vous y souscrivez, assurez-vous que la police d’assurance couvre non seulement les dégâts immédiats et pragmatiques mais également les possibles amendes qui seraient applicables.
Publiée le 7 novembre 2017 par Global Security Mag