Intégrer le risque DDoS à sa stratégie IT en réponse aux tensions géopolitiques

Intégrer le risque DDoS à sa stratégie IT en réponse aux tensions géopolitiques

Alors que l'invasion officielle de l’Ukraine par la Russie est en cours, les organisations proches et lointaines doivent se préparer aux répercussions potentielles sous la forme de cyberattaques et d'intrusions paralysantes. L'Ukraine a déjà été bombardée par des attaques DDoS visant à mettre hors service des sites gouvernementaux, des fournisseurs de communications et des institutions financières. 

Ce type d'activité n'est pas sans rappeler les précédentes attaques DDoS associées à des conflits et activités militaires russes antérieurs (Estonie 2007, Géorgie 2008, Crimée 2014). Il est à noter que ce n'est pas la première fois que des sites Web ukrainiens sont la cible d'attaques DDoS russes présumées.

L'augmentation des attaques DDoS et la prise en compte de ce risque par les organisations

La poussée spécifique de l'activité DDoS européenne lors de l'escalade des tensions se reflète dans les données depuis l'automne 2021, le total des attaques EMEA (Europe, Moyen-Orient et Afrique) ayant augmenté de 220 % par rapport à la moyenne des quatre années précédentes.

Les rapports actuels indiquent également que HermeticWiper, un logiciel malveillant hautement destructeur conçu pour rendre les PC inopérants, cible activement les systèmes ukrainiens. Dans le sillage de ce qui se passe actuellement, les entreprises devraient réévaluer leurs positions défensives et donner la priorité au verrouillage des surfaces d'attaque, afin de mieux maintenir la préparation opérationnelle et la continuité des activités.  

No alt text provided for this image

Bien que toutes les ramifications cybernétiques de l'invasion de l'Ukraine et des sanctions associées ne soient pas encore connues, il existe des mesures auxquelles vous devriez penser dès maintenant pour protéger la disponibilité de vos infrastructures contre les attaques DDoS et la propagation des logiciels malveillants dans les systèmes et réseaux critiques. 

Des recommandations pour garantir la disponibilité des systèmes d'information face à un risque élevé d'attaque DDoS

Pour renforcer les défenses et atténuer le risque de temps d'arrêt associé aux DDoS, il faut envisager les mesures suivantes : 

Créer un plan de réponse aux attaques DDoS

L'équipe de sécurité doit élaborer un plan de réponse aux incidents qui garantit que les membres du personnel réagissent rapidement et efficacement en cas de DDoS. Ce plan devrait couvrir :

  • Des instructions claires, étape par étape, sur la manière de réagir à une attaque DDoS.
  • Comment maintenir les opérations commerciales.
  • Les membres du personnel à contacter et les principales parties prenantes.
  • Les protocoles d'escalade.
  • Les responsabilités de l'équipe.
  • Une liste de contrôle de tous les outils nécessaires.
  • Une liste des systèmes essentiels à la mission.

Assurer un niveau élevé de sécurité du réseau

La sécurité du réseau est essentielle pour arrêter toute tentative d'attaque DDoS. Comme une attaque n'a d'impact que si le pirate a le temps d'accumuler les requêtes, la capacité d'identifier rapidement une attaque DDoS est essentielle pour contrôler le rayon d'action.

Vous pouvez compter sur les types de sécurité réseau suivants pour protéger votre entreprise contre les tentatives de DDoS :

  • Les solutions de protection DDoS déployées et managées par un prestataire fiable dans une posture d'atténuation "toujours active" comme première couche de défense, pour éviter un scénario d'intégration d'urgence et réduire la charge des intervenants en cas d'incident.
  • Les pare-feu et les systèmes de détection des intrusions qui agissent comme des barrières de balayage du trafic entre les réseaux.
  • Les logiciels antivirus et anti-malware qui détectent et suppriment les virus et les logiciels malveillants.
  • La sécurité des endpoints qui garantit que les points d'extrémité du réseau (ordinateurs de bureau, ordinateurs portables, appareils mobiles, etc.) ne deviennent pas un point d'entrée pour les activités malveillantes.
  • Des outils de sécurité Web qui suppriment les menaces basées sur le Web, bloquent le trafic anormal et recherchent les signatures d'attaques connues.
  • Des outils qui empêchent l'usurpation d'identité en vérifiant si le trafic a une adresse source cohérente avec les adresses d'origine.
  • Une segmentation du réseau qui sépare les systèmes en sous-réseaux dotés de contrôles et de protocoles de sécurité différents.

La protection contre les attaques DDoS exige également des niveaux élevés de sécurité de l'infrastructure réseau. La sécurisation des périphériques réseau vous permet de préparer votre matériel (routeurs, équilibreurs de charge, systèmes de noms de domaine (DNS), etc.) aux pics de trafic.

Assurer la redondance des serveurs

En s'appuyant sur plusieurs serveurs distribués, il est difficile pour un pirate d'attaquer tous les serveurs en même temps. Si un pirate lance avec succès une attaque DDoS sur un seul dispositif d'hébergement, les autres serveurs ne sont pas affectés et prennent en charge le trafic supplémentaire jusqu'à ce que le système ciblé soit de nouveau en ligne.

Vous devriez héberger des serveurs dans des centres de données et des installations de colocation situés dans différentes régions afin de vous assurer qu'il n'y a pas de goulots d'étranglement dans le réseau ou de points de défaillance uniques. Vous pouvez également utiliser un réseau de diffusion de contenu (CDN). Comme les attaques DDoS fonctionnent en surchargeant un serveur, un CDN peut partager la charge de manière égale entre plusieurs serveurs distribués.

Etre attentif aux signes d'alerte

Si votre équipe de sécurité est capable d'identifier rapidement les caractéristiques d'une attaque DDoS, vous pouvez prendre des mesures rapides et limiter les dégâts.

Les signes courants d'une attaque DDoS sont les suivants :

  • Une mauvaise connectivité.
  • Lenteur des performances.
  • Forte demande pour une page ou un point d'accès unique.
  • Crashs.
  • Trafic inhabituel provenant d'une seule ou d'un petit groupe d'adresses IP.
  • Un pic de trafic provenant d'utilisateurs ayant un profil commun (modèle de système, géolocalisation, version du navigateur web, etc.)

N'oubliez pas que toutes les attaques DDoS ne s'accompagnent pas d'un trafic élevé. Une attaque de faible volume et de courte durée passe souvent inaperçue comme un événement aléatoire. Cependant, ces attaques peuvent être un test ou une diversion pour une violation plus dangereuse (comme un ransomware). Par conséquent, la détection d'une attaque de faible volume est aussi vitale que l'identification d'un DDoS de grande ampleur.

Surveillance continue du trafic réseau

L'utilisation de la surveillance continue pour analyser le trafic en temps réel est une excellente méthode pour détecter les traces d'activité DDoS. Les avantages de la surveillance continue sont les suivants :

  • La surveillance en temps réel vous assure de détecter une tentative de DDoS avant que l'attaque ne prenne toute son ampleur.
  • L'équipe peut établir un sens aigu de l'activité typique du réseau et des modèles de trafic. Une fois que vous savez à quoi ressemblent les opérations quotidiennes, l'équipe identifie plus facilement les activités bizarres.
  • La surveillance permanente permet de détecter les signes d'une attaque en dehors des heures de bureau et le week-end.
  • Selon la configuration, l'outil de surveillance continue contacte les administrateurs en cas de problème ou suit les instructions de réponse à partir d'un script prédéfini.

Entretenir la préparation opérationnelle à une attaque DDoS

Le développement et le maintien de la préparation opérationnelle à l'atténuation des attaques DDoS s'articulent autour de cinq axes principaux.

Il s'agit de la validation des services, de la confirmation des contacts autorisés pour les services d'atténuation, de l'examen et de la mise à jour des manuels d'exécution, des exercices de préparation opérationnelle et de la mise à jour des méthodes de communication d'urgence.

Les entreprises disposant d'une ressource d'atténuation des attaques DDoS doivent également revoir et actualiser les processus d'acheminement vers et depuis leur service.

Identifiez-vous pour afficher ou ajouter un commentaire

Autres pages consultées

Explorer les sujets