Intégrer le risque DDoS à sa stratégie IT en réponse aux tensions géopolitiques
Alors que l'invasion officielle de l’Ukraine par la Russie est en cours, les organisations proches et lointaines doivent se préparer aux répercussions potentielles sous la forme de cyberattaques et d'intrusions paralysantes. L'Ukraine a déjà été bombardée par des attaques DDoS visant à mettre hors service des sites gouvernementaux, des fournisseurs de communications et des institutions financières.
Ce type d'activité n'est pas sans rappeler les précédentes attaques DDoS associées à des conflits et activités militaires russes antérieurs (Estonie 2007, Géorgie 2008, Crimée 2014). Il est à noter que ce n'est pas la première fois que des sites Web ukrainiens sont la cible d'attaques DDoS russes présumées.
L'augmentation des attaques DDoS et la prise en compte de ce risque par les organisations
La poussée spécifique de l'activité DDoS européenne lors de l'escalade des tensions se reflète dans les données depuis l'automne 2021, le total des attaques EMEA (Europe, Moyen-Orient et Afrique) ayant augmenté de 220 % par rapport à la moyenne des quatre années précédentes.
Les rapports actuels indiquent également que HermeticWiper, un logiciel malveillant hautement destructeur conçu pour rendre les PC inopérants, cible activement les systèmes ukrainiens. Dans le sillage de ce qui se passe actuellement, les entreprises devraient réévaluer leurs positions défensives et donner la priorité au verrouillage des surfaces d'attaque, afin de mieux maintenir la préparation opérationnelle et la continuité des activités.
Bien que toutes les ramifications cybernétiques de l'invasion de l'Ukraine et des sanctions associées ne soient pas encore connues, il existe des mesures auxquelles vous devriez penser dès maintenant pour protéger la disponibilité de vos infrastructures contre les attaques DDoS et la propagation des logiciels malveillants dans les systèmes et réseaux critiques.
Des recommandations pour garantir la disponibilité des systèmes d'information face à un risque élevé d'attaque DDoS
Pour renforcer les défenses et atténuer le risque de temps d'arrêt associé aux DDoS, il faut envisager les mesures suivantes :
Créer un plan de réponse aux attaques DDoS
L'équipe de sécurité doit élaborer un plan de réponse aux incidents qui garantit que les membres du personnel réagissent rapidement et efficacement en cas de DDoS. Ce plan devrait couvrir :
Assurer un niveau élevé de sécurité du réseau
La sécurité du réseau est essentielle pour arrêter toute tentative d'attaque DDoS. Comme une attaque n'a d'impact que si le pirate a le temps d'accumuler les requêtes, la capacité d'identifier rapidement une attaque DDoS est essentielle pour contrôler le rayon d'action.
Vous pouvez compter sur les types de sécurité réseau suivants pour protéger votre entreprise contre les tentatives de DDoS :
Recommandé par LinkedIn
La protection contre les attaques DDoS exige également des niveaux élevés de sécurité de l'infrastructure réseau. La sécurisation des périphériques réseau vous permet de préparer votre matériel (routeurs, équilibreurs de charge, systèmes de noms de domaine (DNS), etc.) aux pics de trafic.
Assurer la redondance des serveurs
En s'appuyant sur plusieurs serveurs distribués, il est difficile pour un pirate d'attaquer tous les serveurs en même temps. Si un pirate lance avec succès une attaque DDoS sur un seul dispositif d'hébergement, les autres serveurs ne sont pas affectés et prennent en charge le trafic supplémentaire jusqu'à ce que le système ciblé soit de nouveau en ligne.
Vous devriez héberger des serveurs dans des centres de données et des installations de colocation situés dans différentes régions afin de vous assurer qu'il n'y a pas de goulots d'étranglement dans le réseau ou de points de défaillance uniques. Vous pouvez également utiliser un réseau de diffusion de contenu (CDN). Comme les attaques DDoS fonctionnent en surchargeant un serveur, un CDN peut partager la charge de manière égale entre plusieurs serveurs distribués.
Etre attentif aux signes d'alerte
Si votre équipe de sécurité est capable d'identifier rapidement les caractéristiques d'une attaque DDoS, vous pouvez prendre des mesures rapides et limiter les dégâts.
Les signes courants d'une attaque DDoS sont les suivants :
N'oubliez pas que toutes les attaques DDoS ne s'accompagnent pas d'un trafic élevé. Une attaque de faible volume et de courte durée passe souvent inaperçue comme un événement aléatoire. Cependant, ces attaques peuvent être un test ou une diversion pour une violation plus dangereuse (comme un ransomware). Par conséquent, la détection d'une attaque de faible volume est aussi vitale que l'identification d'un DDoS de grande ampleur.
Surveillance continue du trafic réseau
L'utilisation de la surveillance continue pour analyser le trafic en temps réel est une excellente méthode pour détecter les traces d'activité DDoS. Les avantages de la surveillance continue sont les suivants :
Entretenir la préparation opérationnelle à une attaque DDoS
Le développement et le maintien de la préparation opérationnelle à l'atténuation des attaques DDoS s'articulent autour de cinq axes principaux.
Il s'agit de la validation des services, de la confirmation des contacts autorisés pour les services d'atténuation, de l'examen et de la mise à jour des manuels d'exécution, des exercices de préparation opérationnelle et de la mise à jour des méthodes de communication d'urgence.
Les entreprises disposant d'une ressource d'atténuation des attaques DDoS doivent également revoir et actualiser les processus d'acheminement vers et depuis leur service.