Se protéger du développement des attaques DDoS générées par le télétravail

Selon une étude réalisée par Censuswide, 91% des organisations françaises ont subi au moins une cyberattaque en 2020. Cette situation s'explique par la hausse du travail à distance depuis un an et demi, qui a accru les vulnérabilités des réseaux d'entreprise à différents types de menaces, dont les attaques par déni de service distribué.

Les infrastructures ne sont plus sécurisées par un seul dispositif sur site, mais réparties de façon disparates, via notamment les services cloud. Alors que le format de travail est voué à rester hybride dans un monde professionnel post-pandémie, les entreprises doivent absolument adopter les mesures de sécurisation des informations adaptées au fait que chaque utilisateur – humain ou machine – tentant de se connecter au réseau représente une menace pour l’entreprise.

Le télétravail a fait émerger de nouvelles menaces pour les organisations, qu’elles soient d’origine accidentelle ou malveillante. En outre, il est plus difficile pour les équipes IT d’accompagner les employés dans leur utilisation des outils numériques. Le travail à distance est en effet susceptible d’entraîner des erreurs ou de mauvaises pratiques capables d’exposer les entreprises à des cybermenaces. Par exemple, un employé  confronté à des difficultés de connexion aux systèmes de son entreprise, sera plus enclin à contourner les règles de sécurité mises en place, ce qui créera des vulnérabilités. Depuis son domicile, il peut aussi être plus aisé pour les salariés de nuire à leur employeur, en exfiltrant notamment des données, par intérêt financier ou par vengeance.

Des systèmes informatiques à distance vulnérables

Ces deux exemples confirment que les infrastructures IT utilisées en télétravail ne disposent pas toujours des mêmes niveaux de protections que les réseaux sur site, et sont ainsi exposées à la technique d’attaque de déplacement latéral entre les appareils : grâce à un accès initial obtenu par l’intermédiaire d’un dispositif insuffisamment protégé, tel qu’un ordinateur familial, les cybercriminels peuvent poursuivre leur progression dans le réseau d’entreprise virtuel et compromettre d’autres appareils. La multiplication d’équipements sous la coupe des attaquants facilite ensuite le développement et l’impact d’attaques DDoS. Ce type de campagne vise à saturer la bande passante par l’intermédiaire de multiples requêtes envoyées au serveur, afin de rendre un ou plusieurs services indisponibles pour ses utilisateurs. Cela peut conduire à la compromission de données d’entreprise sensibles ou de propriété intellectuelle de grande valeur. 

Ces cyberattaques sont facilitées par le fait que, pour réaliser leurs activités, les télétravailleurs ont parfois besoin d’accéder à des informations stockées sur des appareils non protégés par des pare-feu d’entreprise. En effet, des données - telles que du code source, du contenu marketing sensible lié au lancement d’un produit, des notes sur une création d’image de marque ou des activités de développement commercial - peuvent se retrouver sur l’ordinateur personnel d’un salarié. Ces données sont précieuses et présentent un risque car, une fois dérobées, les cybercriminels sont de plus en plus habiles à réassembler les données propriétaires confidentielles à partir de fragments disparates. 

Si, les activités malveillantes sont parfois difficiles à identifier, comme l’accès d’un utilisateur à des informations qui ne correspondent pas à son cœur de métier, le bouleversement des réseaux d’entreprise provoqué par l’adoption massive du télétravail rend ces anomalies et les mouvements latéraux inhérents plus difficiles à repérer et à analyser. Il suffit de quelques défaillances en matière de protection informatique pour que les conséquences soient significatives pour l’entreprise.

Comprendre le nouveau profil de menaces

L’accroissement des risques d’attaques DDoS induit une réévaluation complète des contrôles de sécurité, la mise en place de politiques d’utilisation strictes et dédiées à ces menaces, ainsi qu’une sensibilisation du personnel. Dans cette optique, la première étape permettant aux employés d’effectuer leur travail en toute sécurité réside dans l’analyse complète des activités menées sur le réseau. Toutefois, cette démarche présente des difficultés.

En effet, les pare-feu sont généralement les dispositifs les plus utilisés pour détecter et neutraliser le trafic malveillant nord-sud (en entrée et sortie du réseau). Mais avec l’évolution des infrastructures, plus de 50% du trafic dans le datacenter, qu’il soit physique ou virtuel, se fait désormais d’est en ouest (en se déplaçant latéralement de serveur en serveur). Or, les outils de sécurité ne se sont pas encore totalement adaptés à cette nouvelle réalité, et à même de détecter efficacement les vulnérabilités et les menaces. Étant donné que les réseaux à distance contiennent des applications stockées dans des environnements cloud hybride, il est de plus en plus difficile d’obtenir une visibilité adéquate, en particulier sur le trafic est-ouest.

Des données permettant de meilleures analyses 

La précision des analyses de sécurité est-ouest permet de repérer les attaques DDoS. Pour cela, la fiabilité des données par paquets est essentielle, en particulier dans les environnements virtualisés qui ne disposent pas d’un périmètre réseau solidement établi. Ainsi, la visibilité totale, qui est une condition fondamentale en matière de cybersécurité, peut exiger des efforts considérables ou se révéler coûteuse, nécessitant de nouvelles approches ou des outils spécialisés. Cependant, une fois converties en métadonnées intelligentes et en informations exploitables, les données analysées par paquets permettent de localiser la source des compromissions qui affectent le réseau. Les analyses granulaires sont notamment pertinentes pour diriger les équipes informatiques directement vers les problèmes de sécurité les plus critiques ou urgents.

La prise de conscience des vulnérabilités, qui pèsent sur les entreprises ayant recours au travail à distance, permet de bien comprendre la nature des menaces DDoS. Elle vise ensuite à les aider à réagir de façon adéquate grâce à une détection efficace des connexions aux réseaux. En effet, une bonne visibilité du trafic est essentielle pour permettre aux équipes IT d’identifier les activités malveillantes. Ainsi, les organisations peuvent envisager sereinement de poursuivre le télétravail au-delà de la crise sanitaire, grâce à une meilleure sécurité de leurs infrastructures informatiques.