Se prémunir des attaques DDoS en bloquant le trafic illégitime

Le numérique occupe une place de plus en plus importante dans nos sociétés. De très nombreuses applications sont devenues indispensables à notre quotidien. C’est particulièrement vrai dans un environnement professionnel. Quel que soit le type d’organisation, il est essentiel, pour la continuité de ses activités, que l’information puisse circuler. Aujourd’hui, en permanence, il faut pouvoir maintenir le lien entre l’entreprise, ses partenaires et ses clients. On constate, d’autre part, que de plus en plus d’objets sont connectés. Ils collectent de l’information, accélèrent les processus opérationnels, contribuent à l’amélioration de l’efficacité, soutiennent le développement de nouveaux services. 

A chaque médaille son revers

En ouvrant leurs systèmes informatiques, les organisations peuvent explorer de nouveaux leviers de développement. Grâce à la possibilité de travailler d’où ils le souhaitent, les collaborateurs profitent d’une plus grande flexibilité. Les solutions informatiques plus performantes, dans le cloud par exemple, facilitent le traitement des données et permettent de mieux servir la clientèle. Chaque médaille à toutefois un revers. Cette ouverture vers l’extérieur occasionne aussi des risques nouveaux. Les cybercriminels procèdent aujourd’hui à des attaques dites de déni de service et cherchent à paralyser les entreprises ou à dégrader leurs services en saturant les canaux de connectivité. 

Comment fonctionne une attaque DDoS ? 

En la matière, on peut distinguer deux modes principaux modes opératoires. 

L’attaque volumétrique vise à diriger vers une adresse IP un important volume de données, de manière à saturer la bande passante au niveau du réseau, autrement dit la ligne qui connecte l’entreprise vers l’extérieur. Le volume de trafic illégitime est tel que celui qui est légitime ne parvient plus à atteindre sa cible. Les données et requêtes n’arrivent pas à destination. Le service s’en retrouve dégradé ou inopérant. 

Pour les acteurs qui disposent d’une très large bande passante, une autre stratégie vise à mettre à mal la capacité des systèmes de l’entreprise à traiter les requêtes venant de l’extérieur. En l’occurrence, ce sont les pares-feux qui sont souvent visés. Pour chaque requête, ceux-ci doivent ouvrir une session. En envoyant des requêtes illégitimes, les cybercriminels cherchent à faire tomber les pares-feux. Dans ce cas, ce n’est plus le réseau qui est visé, mais directement les systèmes de l’entreprise. 

Des attaques DDoS de plus en plus fréquentes

Avec l’émergence de l’Internet des Objets (Internet of Things – IoT), la force de frappe des cybercriminels ne cesse de croître. Les terminaux connectés, comme des capteurs, des imprimantes, des systèmes de chauffage, des caméras, des enceintes ou de nombreux autres gadgets, sont souvent mal sécurisés. Les groupes de cybercriminels peuvent facilement les détourner afin que ces millions d’objets génèrent du trafic illégitime qu’ils peuvent orienter vers l’adresse IP d’une organisation. 

En septembre 2022, les services de DEEP ont recensé 561 attaques DDoS au Luxembourg. Leur nombre a tendance à croître de mois en mois, leur impact aussi. L’attaque volumétrique la plus importante, pour le mois de septembre, était de 2 Gps. La plus conséquente enregistrée cette année était de 15 Gps.  

Lire aussi : Protéger sa PME face aux diverses cybermenaces

Comment se prémunir des attaques DDoS ?

Afin de se protéger des attaques DDoS, les organisations doivent travailler avec leur Internet Service Provider (ISP), à l’instar de DEEP. L’enjeu est en effet de pouvoir mitiger les attaques DDoS, en bloquant bien en amont le trafic illégitime afin de s’assurer que celui qui est légitime demeure prioritaire.

Dans cette optique, DEEP offre plusieurs solutions de mitigation des attaques DDoS. Celles-ci s’appuient sur notre scrubbing center. Il s’agit d’une infrastructure qui fonctionne comme une lessiveuse et permet de filtrer le trafic illégitime de celui qui est légitime. A travers ce dispositif, on peut bloquer le trafic et les requêtes de nature malveillante. 

Opérer un filtrage en cas d’attaque ou en permanence 

Selon le niveau de criticité de l’activité, les organisations ont deux options. 

La première - DDoS Mitigation Traffic Protect - consiste à faire passer l’ensemble du trafic par le scrubbing center une fois qu’une attaque est détectée afin de pouvoir opérer un filtrage. 

Dans le cadre de la deuxième option - DDoS Mitigation IN-Line, l’ensemble du trafic passe en permanence par le scrubbing center et la mitigation s’opère en temps réel. L’organisation dispose d’une protection permanente. Cette option se justifie si les applications connectées sont considérées comme critiques, dans le domaine de la finance ou encore dans le domaine médical par exemple. 

Comment la solution de mitigation parvient-elle à opérer le filtrage ? 

La mise en œuvre de l’application implique d’opérer une analyse du trafic de l’entreprise en temps normal, autrement dit en dehors de toute attaque. Divers paramètres sont considérés, comme l’origine des requêtes entrantes par exemple, afin d’identifier ce qui est légitime ou non. Dans le cadre de la première option, l’analyse est faite préalablement à la mise en œuvre du service, sur une durée de 7 jours. Dans le cadre de la deuxième option, une comparaison entre le trafic légitime et illégitime s’opère en permanence afin d’affiner le filtrage.

Des solutions intégrées au SOC, pour contrecarrer toute attaque

Au sein de DEEP, nous veillons en permanence à faire évoluer ces solutions de protection contre les attaques DDoS. Celles-ci font partie de notre offre Cyberdéfense, s’articulant notamment autour de notre Security Operations Center, créé pour opérer une surveillance sur les attaques dont sont victimes nos clients et mettre en œuvre les moyens pour les contrecarrer le plus efficacement possible.