Publié le 26 août 2021
Les attaques informatiques qui ciblent les petites et les grandes entreprises semblent de plus en plus sophistiquées et continuent de se complexifier. Au-delà des rançongiciels et du vol d’identité, il existe une forme de cybermenace contre laquelle toute entreprise devrait être armée jusqu’aux dents : l’attaque par déni de service distribué. Celle qu’on appelle DDoS, en anglais, peut avoir un impact négatif majeur sur la réputation et même sur la productivité d’une entreprise, sans compter les pertes de revenus qu’elle peut engendrer.
Une attaque par déni de service distribué vise à surcharger un système informatique à tel point qu’il cesse d’être opérationnel. Il tombe alors en panne. Les méthodes exactes peuvent varier, mais une façon courante de surcharger un système informatique est de prendre le contrôle de milliers, sinon de millions d’ordinateurs et leur demander d’envoyer une demande de connexion à une adresse Web précise.
En fait, comme le rappelle le Centre canadien pour la cybersécurité, il n’est pas nécessaire que votre organisation soit directement ciblée par une attaque par déni de service pour en être affectée. Si un fournisseur avec lequel vous faites affaire pour vos infrastructures Internet se voit touché, il est probable qu’au moins une partie de cette infrastructure s’en trouve négativement affectée.
Qu’est-ce qu’une attaque par déni de service distribuée?
Les attaques ciblées de DDoS surviennent de plus en plus souvent. Les autorités estiment que 17 millions d’attaques par déni de service distribué ont été effectuées en 2020. En moyenne, la bande passante utilisée par chacune de ces attaques a atteint un pic inédit de 26,37 Gb/s, mais la part de ces attaques qui faisaient 100 Gb/s ou plus a été multipliée par dix, en un an seulement.
Ces attaques sont pernicieuses, car elles visent généralement un serveur, un système informatique ou une entreprise en particulier qui n’ont pas les moyens techniques d’accueillir d’un seul coup cette quantité de données. Le responsable de cette attaque peut avoir différentes intentions. Cela peut aller d’une simple reconnaissance de l’état du réseau d’une organisation à une attaque orchestrée complète visant à provoquer une panne majeure à un moment critique.
Il existe aussi un facteur humain : un ancien employé insatisfait ou un grand groupe organisé — comme un concurrent peu scrupuleux — peut initier une attaque.
Ces demandes congestionnent la bande passante et imposent une charge au serveur qui est supérieure à sa capacité de tout traiter rapidement. Une autre façon d’attaquer un serveur est de cibler une application dont on sait qu’elle peut s’emballer si elle est exécutée de la mauvaise façon. Le serveur se congestionne alors lui-même.
Dans les deux cas, l’effet désiré est similaire : le système informatique de l’organisation s’en trouve affecté, voire neutralisé, et ne peut plus répondre aux demandes d’accès de ses utilisateurs légitimes.
Cela peut sembler banal à première vue, mais au sein de nombreuses entreprises, les activités quotidiennes passent en grande partie par leur système informatique. Dans un contexte de télétravail, par exemple, une panne provoquée par une telle attaque empêchera les travailleurs à distance d’accéder à leurs outils de travail.
Dans le cas d’une entreprise qui gère des opérations manufacturières à distance, une panne du système informatique peut signifier que les usines ne sont plus en mesure de produire les biens espérés.
Les attaques par déni de service distribué sont une réalité avec laquelle doivent composer autant les PME que les grandes entreprises ou même les organismes publics, comme les écoles.
Une des principales lacunes face à cette cybermenace est que les dirigeants de ces organisations oublient d’en évaluer l’impact et négligent d’effectuer les mises à jour de sécurité de leurs systèmes, lesquels deviennent alors une cible de choix pour les malfaiteurs.
Qui voudrait cibler votre entreprise?
Un pirate informatique peut avoir des intentions malicieuses ou tout simplement vouloir prouver sa capacité à orchestrer une attaque efficace. Par exemple, il pourrait vouloir simplement tester son réseau de « botnets », des ordinateurs zombies qu’il peut commander en grand nombre, pour démontrer l’efficacité de sa technologie en vue de la revendre à un tiers.
Des ordinateurs zombies sont un groupe d’appareils connectés à Internet ayant été piratés, qu’il s’agisse d’un ordinateur ou de tout autre objet connecté, comme une caméra de surveillance Wi-Fi. Un pirate informatique peut exploiter les failles de sécurité ou les lacunes affichées par de nombreux dispositifs qu’il pourra ensuite contrôler. Ceux-ci vont émettre des requêtes et des connexions vers un serveur précis. Pour empêcher les systèmes et les appareils d’une entreprise de se faire exploiter par un réseau de zombies, il faut s’assurer d’installer les mises à jour et les correctifs de sécurité dès qu’ils sont disponibles.
Cela dit, ces attaques ont généralement un objectif monétaire ou politique. « Un pirate qui arrive à paralyser les activités en ligne d’une entreprise pendant 24 heures aura un impact sur ses affaires. À la limite, cela peut aller jusqu’à affecter l’action en bourse de la société », déclare Frédéric Ronze, conseiller expert en Solutions entreprises chez Fibrenoire.
Ça a été le cas en février 2020, quand une des plus énormes attaques par déni de service distribué a exploité une faille dans les services infonuagiques du géant américain Amazon. L’entreprise qui héberge les données et les services Web de milliers d’entreprises en Amérique du Nord et ailleurs a vu son titre boursier fléchir de 10 % suite à cette attaque.
Les attaques ciblées peuvent être complexes et dynamiques. Elles vont évoluer dans le temps pour déjouer les mesures de protection mises en place pour les éradiquer. Dans ce cas, les malfaiteurs vont initialement procéder à une reconnaissance des lieux pour mieux identifier leur cible et ses vulnérabilités. L’attaque sera dynamique; elle ciblera des services ou des applications très précises, l’une après l’autre, en exploitant leurs diverses failles.
« Ça peut devenir une attaque très fine qui finira quand même par faire tomber un pare-feu ou un réseau entier », signale Frédéric Ronze.
Dans certains cas, les attaques par déni de service distribué peuvent aussi faire partie d’une stratégie plus large. Elles peuvent, entre autres, servir de diversion pour masquer une autre cyberattaque, plus chirurgicale, ailleurs au sein de l’organisation.
Comment protéger votre entreprise?
De plus en plus d’entreprises gèrent leurs affaires presque entièrement à partir d’activités Internet. Les dirigeants d’entreprises et leurs responsables de la sécurité informatique qui désirent protéger leur organisation des menaces comme les attaques par déni de service distribué doivent alors répondre à deux questions. D’abord, quelles sont les activités en ligne effectuées par leur entreprise qui sont publiques, ou qui peuvent être accédées de l’externe? Ensuite, quels sont les plans de relève et les mécanismes de protection de ces activités en cas de panne?
Répondre correctement à cette deuxième question est d’autant plus crucial si votre entreprise effectue des activités commerciales en ligne, comme de la vente ou des transactions financières. Après tout, quand un site transactionnel tombe en panne, ce sont des ventes qui ne sont pas conclues et des revenus qui ne sont pas générés.
La façon dont vos opérations en ligne sont gérées — qu’elles soient hébergées localement ou en nuage — affectera votre stratégie de protection contre ces attaques Internet. La meilleure façon de se protéger est de consulter son fournisseur. Les clients de Fibrenoire, par exemple, ont accès à des experts qui leur proposeront la meilleure formule de protection.
Pour bien des entreprises qui hébergent localement une partie de leur système informatique, la première chose à faire est aussi, malheureusement, la plus limitée. Il faut s’assurer de posséder une plateforme de détection et de nettoyage du trafic. Celle-ci sera en mesure de détecter et de filtrer un volume élevé de demandes de connexion avant que ces demandes surchargent les serveurs. Ces systèmes s’assurent de ne laisser passer que le trafic légitime dans la bande passante et le réseau local de l’entreprise.
Cette seule solution a une efficacité limitée. Le gros du problème touche à la bande passante : vu la taille des attaques, même si la plupart des demandes qu’elle génère sont dûment filtrées, elle demeure susceptible d’encombrer la bande passante de l’entreprise malgré tout.
À l’autre bout du spectre, les solutions exclusivement infonuagiques ne sont pas toujours les plus appropriées. Elles sont parfois réservées aux très grandes entreprises dont les activités s’effectuent à l’échelle internationale, étant donné que ces solutions sont généralement assez complexes et plutôt dispendieuses.
Pour une entreprise, une solution proposée par le fournisseur Internet peut souvent représenter un axe de solution intéressant. Elle évitera une dépense immédiate élevée et fournira une solution qui peut être hybride, puisqu’elle inclura des outils infonuagiques qui seront en mesure de protéger certains services plus spécifiques, pour maximiser l’investissement de l’entreprise.
Naturellement, en tant que fournisseur de services Internet, Fibrenoire a déjà en place sa propre technologie de détection et de neutralisation de ces attaques. Celle-ci nettoie, pour ainsi dire, le trafic en amont du réseau Internet de l’entreprise, soit avant d’envoyer les données vers le client. Les experts de Fibrenoire ont accès à des bases de données mondiales qui partagent des données sur la santé du réseau Internet et qui permettent de reconnaître rapidement les campagnes de DDoS en cours ou qui évoluent rapidement et qui pourraient viser ou affecter les réseaux des entreprises clientes.
Cela dit, pour les entreprises dont les opérations en ligne sont une activité critique, il existe des solutions de pointe qui peuvent être étendues à des réseaux répartis partout sur la planète. Les fournisseurs de ces solutions sont eux-mêmes mondiaux. Leurs serveurs sont répartis un peu partout à travers le monde.
Découvrez aussi notre solution de protection DDoS