Repenser le risque : pourquoi faut-il se méfier des « cases à cocher » en matière de sécurité

0

Les participants à la 13ème étude annuelle sur la sécurité des infrastructures IP mondiales (WISR) ont été interrogés sur les mesures de sécurité qu’ils ont mises en place contre les attaques DDoS. Parmi les entreprises sondées, 82 % ont cité des firewalls et 57 % des systèmes de détection/prévention d’intrusion (IDS/IPS). Par contre, seules 28 % utilisaient des systèmes intelligents de neutralisation DDoS (IDMS).

Les firewalls et les IDS/IPS ont certes leur place dans l’arsenal de sécurité. Ils constituent la première ligne de défense contre les attaques ayant, par exemple, pour but le vol d’identité ou l’espionnage industriel. Toutefois, à eux seuls, ils ne sont pas suffisants pour contrer les attaques de déni de service. En fait, ils sont souvent les premières cibles des attaques DDoS visant l’infrastructure réseau.

Les décisions en matière de sécurité consistent à « cocher des cases » : de quels outils avons-nous besoin ? Or les défenses périmétriques telles que les firewalls viennent généralement en tête de liste. Cette approche est souvent dictée par un souci de conformité : que nous imposent les réglementations ? Bien trop fréquemment, les entreprises se bercent de l’illusion de croire que la conformité est synonyme de sécurité car elles ont coché toutes les cases.

Au lieu de cocher les cases d’une liste de solutions, les entreprises doivent déterminer où elles se situent sur l’échelle du risque présenté par les menaces DDoS. En d’autres termes, il faut se demander « A quels risques d’attaques DDoS sommes-nous confrontés et sommes-nous prêts à y faire face ? » Voici quelques réponses possibles :

  • Attaques DDoS volumétriques : ce type d’attaque DDoS cherche à consommer toute la bande passante, que soit à l’intérieur de la cible ou entre celle-ci et Internet. Son objectif est de bloquer l’accès et la fourniture des services en les submergeant. Les attaques de cette nature sont d’une intensité croissante : le franchissement du seuil du térabit est désormais une réalité. Pour s’en protéger, il est nécessaire de disposer d’une solution de neutralisation de capacité comparable qui, par sa simple ampleur, ne peut se trouver que dans le cloud.
  • Attaques de type TCP State Exhaustion : ces attaques tentent de saturer les tables d’états de connexion présentes dans de nombreux composants d’infrastructure, tels que les répartiteurs de charge, les firewalls et les serveurs d’applications. Même les équipements de haute capacité, capables de suivre l’état de millions de connexions, peuvent être paralysés par ces attaques.
  • Attaques applicatives : ces attaques visent des applications ou services spécifiques au niveau de la couche 7 du réseau (couche application). Elles sont d’autant plus insidieuses qu’elles peuvent être d’une grande efficacité, en partant d’une seule machine qui génère du trafic à bas débit, ce qui les rend très difficiles à détecter et à neutraliser. La protection contre ce type d’attaques exige un équipement à même de faire la distinction entre le trafic légitime de données entrant dans un réseau et les menaces habilement déguisées, ce qui n’est pas chose aisée à mesure que le volume et la vitesse du trafic s’accentuent.
  • Attaques multivecteurs à plusieurs niveaux : les attaques DDoS emploient de plus en plus une combinaison ou des variantes de ces trois catégories pour constituer un seul et même assaut soutenu, ce qui a pour effet de semer la confusion et de créer des diversions dans les défenses. Une attaque signalée récemment contre la plus grande banque du Chili a mis hors service environ 9500 serveurs et postes de travail, ce qui représente en soi un incident de taille mais s’est révélé être une simple diversion qui a permis aux auteurs de l’attaque d’atteindre leur véritable objectif, c’est-à-dire siphonner 10 millions de dollars à l’établissement via le réseau SWIFT.
  • Attaques dirigées de l’intérieur vers l’extérieur : les auteurs d’attaques complexes renversent les rôles vis-à-vis des défenseurs en implantant, dans les réseaux d’entreprise, un malware pouvant leur servir à lancer des attaques contre des cibles aussi bien internes qu’externes. Les acteurs malveillants privilégient tout particulièrement l’Internet des objets (IoT) pour s’infiltrer dans les réseaux d’entreprise. C’est ainsi que les botnets IoT occupent une place prépondérante dans les récentes attaques de grande envergure.
  • Menaces émergentes : comme si toutes ces menaces ne suffisaient pas, de nouvelles ne cessent de surgir partout dans le monde. Une capacité mondiale de veille des menaces est donc nécessaire pour suivre leur rythme.

Une protection solide se doit d’être efficace contre tous ces types de menaces. En négligeant l’une d’entre elles, vous vous exposez à un risque ou à un autre. Une défense hybride ou à plusieurs niveaux, combinant une détection et une neutralisation dans le cloud et sur site, s’appuyant sur des alertes issues d’une veille mondiale des menaces et sur l’automatisation, est largement considérée comme la meilleure pratique.

Au vu de tous ces risques et des moyens nécessaires pour s’en protéger, un professionnel de la sécurité pourrait se dire : « Nous n’avons ni le budget ni la bande passante. » C’est ici qu’intervient la solution du service managé de protection DDoS, l’externalisation auprès d’un prestataire qui a déjà investi dans les technologies et l’expertise professionnelle permettant de neutraliser tout type d’attaque. Cette solution engendre des économies, démultiplie les ressources internes et réduit les risques. Et elle relègue les « cases à cocher » aux oubliettes.

About Author

Eric Michonnet

Directeur Central Europe, Southern Europe & North Africa chez Arbor Networks

Leave A Reply