Selon une étude de l’ANSSI, les attaques DDoS ont été menée avec une forte intensité à l’encontre d’entités françaises, publiques comme privées, durant toute l’année 2024. Elles se présentent sous de multiples formes et beaucoup de préjugés les entourent. Néanmoins, ces clichés sont parfois plus dangereux que les attaques en elles-mêmes.

En effet, ces idées reçues rendent parfois les entreprises vulnérables à d’autres types de cyberattaques et peuvent induire en erreur les stratégies de neutralisation ou empêcher les équipes de détecter une offensive.

Mythe n° 1 : les attaques DDoS sont rares, ciblent uniquement les grandes entreprises et sont menées par des acteurs malveillants sophistiqués

Les attaques DDoS sont de plus en plus courantes et ciblent des entreprises de toutes sortes, indépendamment de leur taille. D’après le baromètre CESIN, les attaques DDoS représentent l’un des principaux vecteurs d’attaques subies pour 41% des entreprises en France. Un tel niveau d’activité montre que ce type de menace est bien réel et que toutes les entreprises doivent prendre des mesures adaptées.

Si les États-nations pilotent leurs propres attaques DDoS sophistiquées, nombre d’entre elles sont conduites par des prestataires de services DDoS à la demande (DDoS-for-hire) peu onéreux, voire gratuits, qui utilisent des botnets mondiaux ou des groupes d’appareils infectés. Dans de nombreux cas, les commanditaires d’attaques DDoS à la demande ne sont pas des pirates informatiques de haut niveau, mais agissent en fonction d’évènements géopolitiques et s’en prennent à des entreprises, à des individus ou à des infrastructures qui vont à l’encontre de leurs intérêts.

L’ANSSI précise que « Plus récemment, des tentatives de sabotage de petites installations industrielles ont été observées », cela prouve, contrairement aux croyances populaires, que les attaques ne se limitent plus aux grandes entreprises mais se tournent vers des cibles diversifiées : elles ciblent des infrastructures ou des services clés tels que les réseaux d’électricité afin d’exercer un impact profond sur le grand public.

Les petites entreprises sont également loin d’être épargnées : le rapport Hiscox de 2024 sur la gestion des cyber-risques en France en témoigne, « les attaques touchent plus les PME (entre 20 et 249 salariés) et les TPE (entre 0 et 19 salariés) qu’auparavant. En effet, tandis que les grandes entreprises perfectionnent leur système de protection, la menace se tourne de plus en plus vers leurs partenaires de plus petite taille. »

Face aux cyberattaques d’aujourd’hui, la taille de l’entreprise n’est plus un rempart. Ainsi, il est nécessaire de comprendre l’objectif de ces attaques pour les combattre efficacement.

Mythe n° 2 : les attaques DDoS ont pour seul but d’inonder les réseaux où transitent de grands volumes de données

Initialement, les attaques DDoS étaient volumétriques : elles prenaient généralement la forme d’importants flux de trafic avant d’évoluer pour devenir à la fois plus ciblées et plus complexes. Les médias continuent, à ce jour, de rendre compte des attaques les plus violentes et les plus impressionnantes qui atteignent plusieurs térabits par seconde, renforçant ainsi ce cliché.

Si ces attaques à grande échelle restent dangereuses, la majorité des offensives de moindre envergure, c’est-à-dire inférieures à 1 Gbits/s, le sont tout autant et ciblent les couches applicatives telles que le système de noms de domaine DNS et le protocole HTTP.

La dangerosité d’une cyberattaque ne dépend pas de la quantité de données touchée : ces nouvelles attaques par couche applicative sont plus discrètes et passent inaperçue dès lors que les solutions de protection s’intéressent aux attaques volumétriques de grande ampleur et ignorent les attaques plus modestes qui sont transmises au client.

Les attaques par épuisement d’état TCP (Transmission Control Protocol) comptent également parmi les menaces de moindre envergure les plus courantes. Elles ont pour but de surcharger les ressources de traitement d’un équipement réseau. Elles ciblent spécifiquement les appareils dynamiques installés sur site tels que les pare-feux, les équilibreurs de charge ou les passerelles VPN, et remplissent leurs tables d’état de fausses connexions, ce qui empêche les utilisateurs légitimes d’accéder à certaines zones du réseau.

Ces nouvelles attaques deviennent de plus en plus nombreuses et rendent les solutions de défenses habituelles obsolètes.

Mythe n° 3 : les pare-feux de nouvelle génération peuvent bloquer les attaques DDoS

Les pare-feux de nouvelle génération sont de puissants outils qui peuvent améliorer de façon significative la sécurité globale des entreprises.

Cependant, leur conception dynamique les rend vulnérables à plusieurs types d’attaques DDoS telles que les attaques par épuisement d’état : l’ANSSI a constaté « une intensification de l’exploitation de vulnérabilités affectant des équipements exposés sur Internet, parmi lesquels figurent des équipements de sécurité mis en place par de nombreuses entités pour sécuriser l’accès distant à leur systèmes d’infrastructures (par exemple des pare-feux ou des passerelles VPN) » et explique que ces dispositifs deviennent un point de vulnérabilité critique du fait de l’exploitation de leurs failles par les cybercriminels.

Mythe n° 4 : une protection DDoS en cloud est suffisante

Lorsqu’une attaque DDoS est plus puissante que la bande passante d’une entreprise, la seule façon de la neutraliser est d’utiliser une protection basée sur le cloud. Or, les attaques de moindre envergure peuvent passer entre les mailles du filet, d’où la nécessité de prendre des mesures supplémentaires.

Pour contourner les lignes de défense, les attaques DDoS modernes exploitent plusieurs vecteurs d’attaque, ce qui signifie qu’elles peuvent associer une attaque volumétrique ou par épuisement d’état à une attaque visant la couche applicative pour cibler plusieurs zones du réseau, rendant leur détection et leur neutralisation plus compliquées.

En adoptant une stratégie de défense multi-couches, les entreprises se protégeront de manière plus efficace contre les attaques DDoS agiles et multivectorielles, maximisant ainsi leur durée de fonctionnement et leur disponibilité. Á ce jour, d’après le baromètre CESIN, adopter un cloud de confiance demeure une préoccupation pour 52% des entreprises françaises.

Mythe n° 5 : la protection contre les attaques DDoS n’a besoin ni de l’intelligence artificielle ni du machine learning

De nombreux dirigeants sont convaincus qu’il n’est pas nécessaire de recourir à l’intelligence artificielle (IA) ou au machine learning pour protéger leur entreprise contre les attaques DDoS. Pourtant, les hackers utilisent l’IA/ML pour multiplier le volume des attaques, en augmenter le degré de sophistication et éviter leur détection. Cela signifie que les mesures défensives doivent fonctionner de la même manière : exploiter les fonctions de détection d’anomalies de trafic de l’IA/ML pour identifier les situations anormales dans les schémas de trafic qui détectent des menaces DDoS.

L’IA/ML peut prendre la forme de flux d’informations organisés qui bloquent automatiquement et en temps réel les menaces DDoS connues et actives. Grâce à ces informations actualisées en permanence, les menaces les plus récentes ne font pas le poids face aux protections fondées sur l’intelligence artificielle et l’apprentissage automatique. L’IA/ML peut également automatiser l’ajustement des contre-mesures en temps réel pour bloquer les attaques multivectorielles.

En somme, les idées reçues évoquées contraignent les entreprises à sous-estimer parfois la dangerosité des attaques DDoS.

Comme le préconise l’ANSSI, il est essentiel pour les infrastructures de déconstruire ces clichés et d’adopter une stratégie de défense en profondeur pour assurer leur pérennité face aux cyberattaques. Aussi, les entreprises gagneront à débunker ces mythes, pour protéger leurs infrastructures au mieux.

*Daniel Crowe est Area Vice President France & Europe du Sud chez Netscout

The post { Tribune Expert } – Attaques DDoS : déconstruire les mythes pour mieux protéger les infrastructures appeared first on Silicon.fr.