12 décembre 2024
Afin de perturber l’activité de diverses organisations, les groupes cybercriminels déploient des attaques par déni de service de plus en plus élaborées. Celles-ci, tenant compte du contexte de l’entreprise, ciblent notamment des applications web critiques. Pour faire face à la menace, il faut se préparer en amont en adoptant une approche par les risques.
Pour un cyberattaquant, l’un des principaux enjeux est de parvenir à faire mal le plus efficacement possible, c’est-à-dire en optimisant les ressources mobilisées pour perturber l’activité de l’organisation ciblée. Dans cette optique, les pirates informatiques ne cessent d’améliorer leurs approches. C’est notamment ce que l’on a pu constater ces derniers mois au niveau de la mise en œuvre des attaques dites par déni de service (DDoS). « Traditionnellement, ces attaques consistent à diriger des flux de données vers une adresse ou une plage d’adresses IP déterminée, en vue de saturer la connectivité d’une application spécifique ou d’une entreprise et la paralyser, commente Nicolas Villatte, Head of CyberDefense au sein de POST Luxembourg. Depuis le déclenchement de l’opération spéciale russe en Ukraine, on a notamment pu observer que les attaques DDoS sont plus sophistiquées, si bien que les éléments de protection habituellement utilisés ne sont plus suffisants. »
En quoi ces « nouvelles attaques DDoS » sont-elles différentes ? « Les attaquants ne se focalisent pas uniquement sur l’aspect volumétrique. Ils intègrent aussi une dimension applicative à leur approche pour mener des attaques asymétriques, poursuit l’expert en cybersécurité. L’idée est de cibler les applications web en leur soumettant des requêtes optimisées pour générer une charge importante sur le système. Il ne s’agit plus uniquement de saturer les lignes, mais aussi de solliciter les serveurs web jusqu’à les faire tomber. »
Avec ce type d’attaques, il n’est dès lors plus nécessaire de générer un volume important de données pour perturber la disponibilité d’un service.
« Pour arriver à leurs fins, les attaquants procèdent d’abord à une reconnaissance, en vue d’identifier les requêtes applicatives qui requièrent de la puissance des serveurs ou d’interroger les bases de données, poursuit Nicolas Villatte. Face à une attaque DDoS traditionnelle, il était assez simple d’écarter le trafic légitime de celui qui ne l’était pas. Dans le cas présent, c’est beaucoup plus complexe. L’attaque est menée en tenant compte du contexte spécifique de l’organisation en imitant un utilisateur légitime. Il est dès lors plus difficile de distinguer les requêtes légitimes de celles qui ne le sont pas. »
Face à l’attaque, on peut être tenté de bloquer le trafic en provenance de pays suspects. Cependant, il ne faut pas oublier que certains utilisateurs légitimes peuvent s’y trouver. Certains services peuvent aussi dépendre de plateformes informatiques établies dans ces pays. « Pour identifier le trafic illégitime, il faut dès lors procéder à des analyses plus fines de l’activité en présence. Il s’agit de détecter des schémas correspondant à des approches suspectes pour bloquer spécifiquement les requêtes qui y correspondent », commente Nicolas Villatte.
C’est au niveau de la réponse sur incident qu’il faut intensifier ses efforts afin de bien se préparer. « Il s’agit surtout d’appréhender correctement les enjeux au départ d’une bonne identification des services critiques, explique Nicolas Villatte. Cela permet par exemple d’envisager les possibilités d’absorber le trafic supplémentaire. » L’une d’elles est de faire reposer les services critiques sur un environnement qui peut évoluer de manière dynamique en fonction de l’évolution du nombre de requêtes.
« La gestion de ces menaces implique de mettre en œuvre une approche par le risque, en évaluant les impacts d’un éventuel incident, mais aussi les coûts associés à leur prévention et gestion, poursuit Nicolas Villatte. Renforcer la capacité d’absorption d’une hausse des requêtes, du moins en ce qui concerne les services critiques, implique notamment de repenser son architecture. Les ressources mobilisées pour faire face à l’attaque représentent aussi des coûts supplémentaires. »
Les équipes de DEEP peuvent vous accompagner dans l’analyse de vos risques, mais aussi dans la transformation de votre environnement pour faire face à ce type d’attaques.
Il est aussi nécessaire de mettre en place des procédures adaptées, de déterminer les rôles et responsabilités de chacun au sein de l’organisation en vue de réagir efficacement en cas de problème. « Se doter de plans de réponse aux incidents permet d’être prêt lorsque l’attaque survient, de prendre les bonnes décisions et de limiter les impacts, ajoute Nicolas Villatte. Il ne faut pas oublier non que les attaques par déni de service, au-delà des perturbations qu’elles créent, servent souvent à attirer l’attention ailleurs dans l’optique de faire mal à d’autres endroits. Il est donc essentiel de renforcer ses capacités de détection. »
Vous avez des questions sur un article ? Besoin de conseils pour trouver la solution qui répondra à vos problématiques ICT ?
Contacter un expertContactez-nous gratuitement au 8002 4000 ou au +352 2424 4000 depuis l'étranger de lundi à vendredi de 8h à 18h.
