La seule sécurité web viable pour éviter le racket de votre entreprise est présentée à la fin de ce post. Pour l’instant, arrêtons-nous sur les trois discours les plus communs que je rencontre quand une entreprise nous contacte en pleine attaque DDoS pour justifier les choix qui n’ont pas réussi à protéger les actifs web des pirates.
Si je vous explique ça, c’est que lancer une attaque DDoS est à la porté de tout apprenti hacker aidé d’un logiciel gratuit, il n’est même plus nécessaire de disposer d’un bot d’ordinateurs esclaves pour y parvenir. Donc, des DDoS il va en pleuvoir de plus en plus et c’est déjà le cas.
Première réponse technique qui échoue, celle qui consiste à se reposer sur de l’équipement
Les hardware coûteux, pas toujours facile à maintenir à jour, réclament une maintenance experte et sont incapables, par définition, d’apporter la bonne réplique à toute nouvelle forme d’attaque DDoS multi-vecteur. Or les modes opératoires changent tout le temps. D’autre part, une stratégie de défense qui repose sur du matériel échoue déjà devant l’afflux des requêtes qui saturent la connexion internet entrant vers les serveurs, avant même d’atteindre les équipements défensifs tels que le firewall, ou le système de protection contre les intrusions (IPS).
Pourquoi déléguer à son fournisseur ISP, CDN ou cloud, est une grosse erreur
Deuxième discours très commun : se reposer sur la sécurité web de son prestataire. La majorité des fournisseurs d’accès à internet (ISP), de Content delivery network (CDN) ou de cloud, commercialisent des ressources mutualisées. Les attaques qui frappent d’autres clients du fournisseur affecteront donc aussi votre entreprise et l’ensemble de la qualité de service du fournisseur, puisque sa bande-passante est sous pression. D’autre part il faut savoir que pour protéger les ressources partagées, les prestataires IT n’hésitent pas à sacrifier (blackholing) les actifs web attaqués en les débranchant purement et simplement. Malheureusement, cela consacre le succès de l’attaque, mauvais signal à donner aux pirates. Dernier point à noter, la plupart des fournisseurs de cloud, ou de CDN, ne possèdent aucune défense contre les attaques de la couche applicative.
Essayer de survivre à l’attaque en prenant patience est une mauvaise idée
Souvent, la patience est invoquée comme une vertu supérieure mais, pour une attaque DDoS, il vaut bien mieux être réactif. Imaginer que les assaillants vont se lasser, c’est ignorer que certains pirates peuvent harceler leur cible sur de très longues période (12, 18 ou même 24 mois). Attendre est un constat d’impuissance, pas une stratégie de mitigation. Une attaque est très néfaste par rapport aux prospects et aux clients, fait perdre du chiffre d’affaires et ternie l’image de la marque, la laisser se prolonger est une très mauvaise idée.
Maintenant que vous connaissez les trois types de réponse les plus communs, dans quelle famille votre entreprise est-elle ? A l’heure des DDoS au format XXL de toute façon, point de salut sauf à filtrer tous les accès avec l’aide d’un CASB, Cloud access security broker. A vous de choisir lequel, certains ont des fonctionnalités minimales, d’autres sont très pointus en intelligence artificielle, faites votre cahier des charges et choisissez.
