DDoS : un plan d’action en sept points
Les attaques par déni de service distribué (DDoS) ne sont plus uniquement le problème des FAI, loin de là. Elles constituent en effet aujourd’hui ce qui pourrait s’apparenter à une épidémie touchant tous types d’entreprises. Pourquoi ?
Parce que les enjeux deviennent de plus en plus importants. Les auteurs de ces attaques cherchent à ‘éteindre’ des services internet pour de nombreuses raisons et motivations. Ces derniers temps, les mobiles des attaques ont été d’ordre politique ou idéologique. Leurs auteurs souhaitent affirmer une position et faire les gros titres (en causant un maximum de perturbations au passage), à la manière d’une occupation de site ou d’une grève dans le monde « réel ».Cette nouvelle génération d’assaillants vise des entreprises ou organisations en vue pour être sûrs de se faire remarquer. Rares sont les cibles aussi critiques pour l’économie que les services financiers. Ce fut l’objet de l’opération Ababil, une campagne DDoS à motivation politique lancée en septembre 2012 ciblant des établissements bancaires. Menée par un groupe se faisant appeler les « cybercombattants d’Izz ad-Din al-Qassam », cette campagne a comporté plusieurs vagues d’attaques, allant croissant en termes de sophistication, de force et d’étendue.
Les analyses ont montré que les ‘pirates’ étudient les défenses de leurs cibles et modifient leur méthodes d’attaque à chaque nouvelle vague afin de mieux contourner les mesures de neutralisation mises en œuvre par les établissements financiers. Nous pouvons donc affirmer qu’aucune évaluation des risques d’entreprise ni aucun plan de continuité d’activité ne sont aujourd’hui complets sans une prise en compte du risque représenté par les attaques DDoS.
Pour aider à contrer la menace grandissante des attaques DDoS, nous invitons les directeurs de la sécurité des systèmes d’information (DSSI) à appliquer un plan d’action en sept points :
1. La meilleure défense est une défense ciblée
Face à la complexité des attaques DDoS, la solution optimale réside dans un système intelligent de neutralisation DDoS, déployé sur site et capable de détecter et de bloquer ces assauts par des contre-mesures à dimensions multiples avant que leurs effets ne fassent boule de neige.Les équipements de sécurité classiques – systèmes de prévention d’intrusion (IPS), pare-feu (firewalls), etc. – sont certes des éléments essentiels d’une stratégie de défense à plusieurs couches, mais ils sont conçus pour résoudre des problèmes de sécurité fondamentalement différents par rapport aux solutions spécialisées de détection et de neutralisation DDoS.
Les IPS, par exemple, bloquent les tentatives d’intrusion destinées à voler des données. Pour sa part, un firewall met en application des règles prédéfinies afin d’interdire des accès illicites aux données. Destinés à répondre à d’autres problèmes de sécurité, ces équipements « stateful » peuvent être en fait les premiers à faire défaut pendant une attaque DDoS de type State Exhaustion.
2. Défendre en amont
Un établissement financier ne disposera jamais de suffisamment de bande passante sur site pour parer une tentative d’attaque volumétrique visant à submerger ses réseaux avec du trafic Internet.En l’occurrence, la meilleure défense consistera en une protection dans le cloud ou au niveau de son FAI, où le trafic peut être dérouté vers un centre neutralisation.
3. Savoir qui contacter
Aussi surprenant que cela paraisse, l’absence d’informations de base concernant les personnes à contacter constitue souvent un frein à une neutralisation efficace des attaques. Une entreprise a ainsi subi 90 minutes de paralysie totale à la suite d’une attaque DDoS. Elle a passé les 40 premières minutes de l’attaque à tenter de réunir toutes les parties prenantes, en interne et chez les prestataires, pour une téléconférence afin de discuter des mesures de neutralisation.Le manque à gagner a été estimé au total à 1,7 million de dollars. Le préjudice pour la marque a été de taille car des clients payants ont été mécontents de l’interruption du service.
Comme le montre cet exemple, il est impératif que vous sachiez qui, au sein de l’entreprise, chez votre opérateur et chez votre prestataire de sécurité managée, est chargé de la question et comment contacter ces personnes. Faute de ces informations, votre capacité de réaction est d’ores et déjà compromise.
4. Établir une liste blanche
Si vous comptez un grand nombre d’utilisateurs réguliers et de clients récurrents, établissez une liste blanche de leurs adresses IP de sorte que leur trafic puisse continuer à passer pendant une attaque, quitte à bloquer tout le reste.5. Mettre au point une procédure de traitement des incidents et s’entraîner à l’appliquer
Insistez pour qu’une procédure documente les interactions avec toutes les parties prenantes ainsi que s’il y en a des prestataires de services de sécurité managés (MSSP). Cela vous fournira une structure pour faire face en cas d’incident, lorsque le niveau de stress peut monter, en permettant une réponse rapide et en prévenant la prise de risques en matière de sécurité lors de la tentative de résolution d’un problème.Une fois qu’un plan de réponse aux incidents a été mis en place, il est important d’en répéter l’exécution de sorte que la réponse soit coordonnée, tant en interne qu’avec les prestataires, et que toutes les parties concernées puissent réagir avec rapidité et efficacité.