Cybersécurité, Virtualisation & Intelligence Artificielle... VIRTU-DESK - Technologies de virtualisation et sécurisation de l'environnement utilisateurs.

Les dénis de service distribués (DDoS)

Francis MILLOT Par Le dimanche, 15 octobre 2023 0

Dans Cybersécurité

Les attaques par déni de service distribué (Distributed Denial of Service ou DDoS) constituent une menace pour toute organisation disposant d’un système d’information connecté à Internet.

Ce format court des Essentiels de l’ANSSI présente les solutions existantes permettant d’anticiper cette menace, et de faire face à une attaque DDoS. Ils reflètent le point de vue de l’ANSSI et ne se positionnent pas comme des documents de recommandations détaillées, mais visent plutôt à éclaircir les grands enjeux de la cybersécurité. Il s’agit de l’énonciation de bonnes pratiques indépendantes pouvant être mises en place de façon complémentaire. Ces recommandations sont susceptibles d’être mises à jour régulièrement suivant l’évolution de la menace, des technologies utilisées, des retours d’expérience de l’ANSSI, etc.

Construire et protéger

Acquérir et mettre en œuvre un service de protection anti-DDoS dédié à cette seule fonction :

  • Auprès de votre hébergeur en cas d’hébergement externe, celui-ci pouvant déjà intégrer une prestation anti-DDoS, en fonction de l’offre d’hébergement souscrite

  • Et/ou auprès d’un fournisseur d’accès à Internet (trou noir, dépollution des flux)

  • Et/ou auprès d’un fournisseur de service professionnel (déroutement, dépollution des flux).

Dans tous les cas, sa mise en œuvre nécessite une prise en main préalable, un paramétrage adapté au trafic de l’entité et aux applications exposées et des tests réguliers de la solution pour s’assurer de son bon fonctionnement et de l’absence d’effet de bord.

Protéger son site Web avec un CDN (Content Delivery Network) pour la répartition de charge. Les CDN permettent la répartition de ressources sur un grand nombre de serveurs, ce qui peut contribuer à améliorer la résistance aux attaques DDoS. Une attention doit être portée au fait qu’une partie de ces ressources peut être hébergée à l’étranger (impact potentiel en confidentialité).

Configurer les pares-feux en coupure d’Internet :

  • Activer uniquement un filtrage au niveau réseau et transport (niveaux 3 et 4 du modèle OSI) et désactiver les fonctions de filtrage applicatif (niveaux 5 et plus)

  • Réduire les flux UDP entrants au strict nécessaire.

Restreindre au strict besoin opérationnel les services exposés à Internet.

Concevoir les services exposés à Internet de façon à ce qu’une attaque DDoS sur un service n’ait pas d’impact sur la disponibilité des autres services (chaînes d’accès Internet distinctes, segmentation des plans d’adressage réseau, hébergeurs distincts, etc.).

Concevoir les architectures de telle sorte qu’un service exposé à Internet qui subit une attaque DDoS puisse continuer à être administré malgré cette attaque (réseau d’administration physiquement dédié, cloisonnement réseau des flux de supervision, etc.).

Anticiper et réagir

Mettre en place un dispositif de supervision et détection des attaques DDoS, afin de détecter au plus tôt une attaque :

  • Utiliser un dispositif de centralisation des journaux afin de faciliter le diagnostic d’un incident DDoS a posteriori
  • Rédiger et tester régulièrement une procédure définissant la marche à suivre en cas d’attaque.

Prévoir un mode dégradé pour les activités critiques en cas d’attaque DDoS, le temps de la remédiation. Intégrer le fait que votre fournisseur d’accès à Internet peut aussi imposer un mode dégradé en cas d’attaque DDoS sur sa propre infrastructure, même si cette attaque ne cible pas directement votre entité.

Faire régulièrement l’inventaire des services ouverts sur Internet afin d’adapter la procédure de réponse à des attaques DDoS.

Mettre en place un dispositif de gestion des crises, en lien avec vos prestataires de protection DDoS.

Sources de cet article.

DDos Cybersecurité Web

22 votes. Moyenne 5 sur 5.
Vous devez être connecté pour poster un commentaire