DDoS : un plan d’action en sept points

Les attaques par déni de service distribué (DDoS) ne sont plus uniquement le problème des FAI, loin de là. Elles constituent en effet aujourd’hui ce qui pourrait s’apparenter à une épidémie touchant tous types d’entreprises. Pourquoi ?

Parce que les enjeux deviennent de plus en plus importants. Les auteurs de ces attaques cherchent à ‘éteindre’ des services internet pour de nombreuses raisons et motivations. Ces derniers temps, les mobiles des attaques ont été d’ordre politique ou idéologique. Leurs auteurs souhaitent affirmer une position et faire les gros titres (en causant un maximum de perturbations au passage), à la manière d’une occupation de site ou d’une grève dans le monde « réel ».
Cette nouvelle génération d’assaillants vise des entreprises ou organisations en vue pour être sûrs de se faire remarquer. Rares sont les cibles aussi critiques pour l’économie que les services financiers. Ce fut l’objet de l’opération Ababil, une campagne DDoS à motivation politique lancée en septembre 2012 ciblant des établissements bancaires. Menée par un groupe se faisant appeler les  « cybercombattants d’Izz ad-Din al-Qassam », cette campagne a comporté plusieurs vagues d’attaques, allant croissant en termes de sophistication, de force et d’étendue.
Les analyses ont montré que les ‘pirates’ étudient les défenses de leurs cibles et modifient leur méthodes d’attaque à chaque nouvelle vague afin de mieux contourner les mesures de neutralisation mises en œuvre par les établissements financiers. Nous pouvons donc affirmer qu’aucune évaluation des risques d’entreprise ni aucun plan de continuité d’activité ne sont aujourd’hui complets sans une prise en compte du risque représenté par les attaques DDoS.

Pour aider à contrer la menace grandissante des attaques DDoS, nous invitons les directeurs de la sécurité des systèmes d’information (DSSI) à appliquer un plan d’action en sept points :

1. La meilleure défense est une défense ciblée

Face à la complexité des attaques DDoS, la solution optimale réside dans un système intelligent de neutralisation DDoS, déployé sur site et capable de détecter et de bloquer ces assauts par des contre-mesures à dimensions multiples avant que leurs effets ne fassent boule de neige.
Les équipements de sécurité classiques – systèmes de prévention d’intrusion (IPS), pare-feu (firewalls), etc. – sont certes des éléments essentiels d’une stratégie de défense à plusieurs couches, mais ils sont conçus pour résoudre des problèmes de sécurité fondamentalement différents par rapport aux solutions spécialisées de détection et de neutralisation DDoS.
Les IPS, par exemple, bloquent les tentatives d’intrusion destinées à voler des données. Pour sa part, un firewall met en application des règles prédéfinies afin d’interdire des accès illicites aux données. Destinés à répondre à d’autres problèmes de sécurité, ces équipements « stateful » peuvent être en fait les premiers à faire défaut pendant une attaque DDoS de type State Exhaustion.

2. Défendre en amont

Un établissement financier ne disposera jamais de suffisamment de bande passante sur site pour parer une tentative d’attaque volumétrique visant à submerger ses réseaux avec du trafic Internet.
En l’occurrence, la meilleure défense consistera en une protection dans le cloud ou au niveau de son FAI, où le trafic peut être dérouté vers un centre neutralisation.

3. Savoir qui contacter

Aussi surprenant que cela paraisse, l’absence d’informations de base concernant les personnes à contacter constitue souvent un frein à une neutralisation efficace des attaques. Une entreprise a ainsi subi 90 minutes de paralysie totale à la suite d’une attaque DDoS. Elle a passé les 40 premières minutes de l’attaque à tenter de réunir toutes les parties prenantes, en interne et chez les prestataires, pour une téléconférence afin de discuter des mesures de neutralisation.
Le manque à gagner a été estimé au total à 1,7 million de dollars. Le préjudice pour la marque a été de taille car des clients payants ont été mécontents de l’interruption du service.
Comme le montre cet exemple, il est impératif que vous sachiez qui, au sein de l’entreprise, chez votre opérateur et chez votre prestataire de sécurité managée, est chargé de la question et comment contacter ces personnes. Faute de ces informations, votre capacité de réaction est d’ores et déjà compromise.

4. Établir une liste blanche

Si vous comptez un grand nombre d’utilisateurs réguliers et de clients récurrents, établissez une liste blanche de leurs adresses IP de sorte que leur trafic puisse continuer à passer pendant une attaque, quitte à bloquer tout le reste.

5. Mettre au point une procédure de traitement des incidents et s’entraîner à l’appliquer

Insistez pour qu’une procédure documente les interactions avec toutes les parties prenantes ainsi que s’il y en a des prestataires de services de sécurité managés (MSSP). Cela vous fournira une structure pour faire face en cas d’incident, lorsque le niveau de stress peut monter, en permettant une réponse rapide et en prévenant la prise de risques en matière de sécurité lors de la tentative de résolution d’un problème.
Une fois qu’un plan de réponse aux incidents a été mis en place, il est important d’en répéter l’exécution de sorte que la réponse soit coordonnée, tant en interne qu’avec les prestataires, et que toutes les parties concernées puissent réagir avec rapidité et efficacité.

6. Attention aux écrans de fumée

Ce qui peut apparaître comme un type d’attaque risque tout simplement être le moyen de parvenir à un objectif plus profond et plus destructeur. Par exemple, une attaque DDoS identifiée peut être un écran de fumée dressé par des ‘pirates’ qui tentent d’accéder à des informations confidentielles sur les clients ou à d’autres informations confidentielles. En août 2013, trois banques auraient été pillées pendant des attaques DDoS faisant diversion. Une attaque DDoS applicative a été utilisée pour détourner l’attention et monopoliser les ressources de ces établissements tandis que des virements frauduleux se déroulaient simultanément. C’est un scénario qui n’a rien d’exceptionnel.

7. L’union fait la force

En partageant des informations avec les acteurs du secteur et d’autres parties prenantes (équipementiers, FAI, instances de régulation, forces de l’ordre), vous pourrez plus facilement identifier les nouvelles menaces et les meilleures pratiques pour les contrer.
 

FAI / Grève