Alex - stock.adobe.com

Comment prévenir les attaques DDoS

De nombreuses méthodes aident à prévenir les attaques DDoS, notamment l’augmentation de la bande passante et de l’élasticité des serveurs, la limitation du débit et l’utilisation d’un pare-feu d’application web.

Les attaques en déni de service distribué (DDoS), même si bien connues et comprises, restent une méthode éprouvée que les acteurs malveillants utilisent pour porter atteinte aux organisations sur le plan financier et sur celui de la réputation.

Les organisations ne sont toutefois pas sans défense. Lisez la suite pour découvrir plusieurs stratégies qui aident à prévenir les attaques DDoS.

Qu’est-ce qu’une attaque DDoS ?

Les attaques DDoS impliquent que des acteurs malveillants créent un botnet – un réseau d’ordinateurs et de terminaux infectés – puis utilisent un serveur de commande et de contrôle pour diriger le trafic web ou les requêtes vers un serveur ou un réseau spécifique ciblé.

La plupart des attaques DDoS sont volumétriques, c’est-à-dire qu’elles sont conçues pour générer plus de trafic ou de requêtes qu’un système, un serveur ou un réseau ne peut en supporter. Les attaques DDoS se produisent souvent au niveau de la couche infrastructure ou de la couche application du modèle OSI, mais elles peuvent également viser la couche transport, la couche session ou la couche réseau. Parmi les exemples d’attaques DDoS, on peut citer l’inondation de paquets ou de requêtes, la fragmentation de paquets et les attaques par amplification.

L’objectif d’une attaque DDoS est de rendre le réseau, le site web ou toute autre ressource ciblée indisponible pour les utilisateurs légitimes. Il en résulte une perte de clientèle, un effet de réputation négatif et des coûts de remédiation élevés pour l’organisation cible.

11 stratégies pour prévenir une attaque DDoS

Il n’existe pas de solution unique pour prévenir les attaques DDoS. Les organisations devraient plutôt mettre en œuvre tout ou partie des stratégies suivantes afin de réduire les risques de réussite d’une attaque.

1. Élaborer un plan d’intervention

Élaborez un plan de réponse aux attaques DDoS en utilisant la même méthodologie qu’un plan de réponse aux incidents, de reprise après sinistre ou de continuité des activités. Ce document doit décrire les étapes spécifiques à suivre pour prévenir et atténuer une attaque DDoS. Les éléments clés du plan sont notamment les suivants : 

  • Une liste de contrôle des étapes à suivre par l’équipe de sécurité et les autres parties prenantes.
  • Coordonnées des membres de l’équipe de réponse aux attaques DDoS.
  • Emplacement où les sauvegardes de données sont protégées contre les attaques extérieures.
  • Procédures d’escalade et/ou de triage.
  • Un plan de communication en cas d’attaque.

2. Surveiller le trafic anormal ou suspect

Observez en permanence le trafic réseau à l’aide d’un système de détection d’intrusion, de pare-feu et d’outils de surveillance des journaux. Surveillez les signes avant-coureurs d’une attaque DDoS, tels que des pics anormaux du trafic web, des schémas de trafic inhabituels, des demandes de connexion multiples provenant des mêmes adresses IP et de nombreuses demandes dirigées vers un point de terminaison ou un système particulier.

3. Suivre l’évolution de la gestion des correctifs

Installez les derniers correctifs et mises à jour des logiciels. Une bonne gestion des correctifs rend plus difficile l’exploitation des vulnérabilités par les pirates.

4. Réduire la surface d’attaque

La réduction de la surface d’attaque permet aux organisations de renforcer les mesures de prévention dans d’autres domaines. Fermez ou limitez l’accès externe aux ports et applications rarement utilisés afin que les pirates malveillants aient moins de possibilités de ciblage. Utilisez des équilibreurs de charge et des listes de contrôle d’accès pour empêcher le trafic externe non autorisé d’atteindre et d’affecter des ports et des applications spécifiques.

5. Augmenter la bande passante du réseau et la capacité serveur

Mettez en place un contrôle ou une politique réseau qui augmente automatiquement la bande passante ou la capacité, afin d’empêcher une attaque DDoS de mettre hors service l’ensemble d’un serveur ou d’un réseau. Bien que cette méthode ne soit pas à la portée de toutes les organisations, elle donne aux équipes chargées de la sécurité et des réseaux le temps d’empêcher une attaque DDoS d’affecter les utilisateurs finaux.

6. Utiliser une infrastructure cloud

Une infrastructure cloud est également vulnérable aux attaques DDoS, mais elle peut aider les organisations à les prévenir en offrant des capacités d’élasticité de la réponse et de distribution des services. L’utilisation de services cloud, à proximité des points d’origine de l’attaque, permet aux organisations de mettre fin à l’attaque plus rapidement et de maintenir les services en état de fonctionnement.

7. Utiliser un centre de nettoyage

Le nettoyage (ou scrubbing) consiste à acheminer tout le trafic vers une adresse IP particulière vers un centre de calcul à grande bande passant. Le centre de calcul examine le trafic, supprime les contenus malveillants et ne transmet que le trafic légitime à la destination prévue. Les organisations peuvent procéder à un nettoyage continu du trafic ou n’utiliser le service que lors d’une attaque DDoS active.

8. Mettre en œuvre une limitation de débit

La limitation de débit (ou rate limiting) restreint le nombre de requêtes qu’un serveur web accepte pendant une période donnée. Cela permet de prévenir les attaques DDoS en éliminant le trafic excessif ou anormal. La limitation de débit permet également de se prémunir contre les abus d’API.

9. Utiliser un réseau de diffusion de contenu

Un CDN est un groupe de serveurs répartis dans le monde entier qui met en cache le contenu et aide à protéger les sites web en filtrant et en bloquant le trafic malveillant. Les CDN répartissent le trafic des sites web sur plusieurs serveurs afin d’éviter que le serveur principal d’un site web ne soit submergé et ne tombe en panne.

10. Déployer un pare-feu d’application web

Un WAF est un pare-feu qui analyse le trafic HTTP au niveau de la couche applicative. Les WAF sont déployés dans le réseau, sur l’hôte ou en cloud. L’utilisation d’un WAF permet aux organisations de faire ce qui suit :

  • Créer des permutations et des règles sophistiquées pour inspecter les paquets de données à un niveau granulaire.
  • Filtrer et bloquer le trafic réseau malveillant destiné aux applications web.
  • Développer un modèle de sécurité pour surveiller le « bon » et le « mauvais » trafic internet dans les régions géographiques.

11. Engager un fournisseur de services d’atténuation des attaques DDoS

Les organisations dont le budget est limité peuvent confier la prévention et l’atténuation des attaques DDoS à un tiers. Des fournisseurs, tels que Cloudflare et Akamai, proposent des techniques de prévention de niveau professionnel pour protéger les DNS, les applications, les API, l’infrastructure web et les sites web, contre des temps d’arrêt prolongés à la suite d’une attaque DDoS.

Pour approfondir sur Menaces, Ransomwares, DDoS