Axel Agbohou

DDoS : comment s’y préparer ?

La gestion de la menace DDoS passe par une analyse de risques préliminaire. Elle définira la meilleure stratégie de défense possible. En voici donc l’anti-sèche ultime pour vous aider à mieux anticiper et répondre aux menaces de déni de service.

La compréhension de la nature et de la classification des attaques DDoS est un pré-requis vital pour la mise en place d’un plan de réponse adapté. En effet, il est difficile de se défendre efficacement contre quelque chose qu’on ne comprend pas. Pour rappel, une attaque DDoS a pour but de rendre indisponible un service (fourni par une ou plusieurs machines) empêchant ainsi ses utilisateurs légitimes de s’en servir. N’hésitez pas à vous rafraîchir la mémoire  ou à nous contacter si vous avez besoin d’éclaircissements.

Vous avez donc à coeur de maintenir vos services en état de fonctionnement. Vous savez également qu’on peut facilement être victime d’une attaque. Et maintenant, on fait quoi, docteur 🙂 ?

Comme la plupart des problématiques sécurité, la gestion de la menace DDoS commence par une analyse de risques préliminaire. Elle fournit le niveau de sensibilité de l’organisation face à ces attaques et permet ainsi d’en déduire la stratégie de défense à mettre en place.

Cette analyse peut être réalisée de façon pragmatique et simple en trois étapes :
1. Définir un périmètre d’étude ;
2. Évaluer l’impact de la perte des composants et services ;
3. Calculer le niveau de risque de chaque composant de la chaîne d’accès.

Regardons-y de plus près.

1. Définir un périmètre d’étude

Cette étape consiste à définir clairement ce que vous souhaitez protéger. Il s’agit en pratique de choisir les services (site web, portail intranet, outils de gestion de paie,…) qui seront considérés dans l’analyse de risques.

Chaque service retenu devra a minima se voir accompagné de cartographies, chacune détaillant notamment :

la chaîne d’accès technique qui le compose. Il s’agit d’un schéma faisant apparaître, généralement de façon séquentielle, les différents composants réseaux traversés pour atteindre le service : câbles réseau, routeurs, pare-feux, répartiteurs de charge, commutateurs, serveurs, etc.
l’ensemble des personnes/équipes gérant chacun des composants traversés. Ces informations permettront d’établir ultérieurement un plan de réponse organisationnel adéquat.

2. Évaluer l’impact de la perte des composants/services

Cette deuxième étape consiste à répondre à la question suivante : si le service tombe, qu’est ce que cela entraîne ? La question est simple mais la réponse n’est pas toujours évidente.

Cet exercice reste toutefois crucial car il permet de se préparer dans de bonnes conditions :

  • prioriser les services et composants à sécuriser ;
  • définir les taux/temps de pertes acceptables ainsi que les exigences sécurité à atteindre ;
  • préparer les équipes internes aux impacts ;
  • préparer les plans de réponses techniques et organisationnels.

Vous l’aurez compris : cette évaluation nécessite également une approche transverse, donc ne rechignez pas à impliquer des collaborateurs avec des expertises diverses

3. Évaluer le niveau de risque des composants

Le niveau de risque d’un composant correspond à son niveau de sensibilité théorique face à chaque type d’attaque DDoS.

Cette sensibilité est directement liée à 3 éléments :

  • la nature du service rendu par le composant. Par ex., un serveur fournissant un service HTTP sera beaucoup moins sensible à une attaque applicative NTP que ne le serait un serveur NTP ;
  • la configuration actuelle du composant. Celui-ci peut, par exemple, être déjà configuré pour résister à certaines attaques ;
  • la zone d’exposition de ce service (réseau local, Internet, population restreinte d’adresse IP,…). Ce critère permet, entre autres, d’identifier les différentes provenances possibles d’attaques et les principales zones à défendre.

Une fois l’ensemble des composants étudié, le niveau de risque associé à la chaîne est rapidement déterminable. En effet, dans la mesure où l’interruption de service d’un seul composant provoque une rupture de l’accès au service, la chaîne est aussi forte que son maillon le plus faible.

L’issue de cette analyse de risque se poursuit par la mise en place d’une architecture technique de défense adossée à un plan de réponse organisationnel. Ce thème fera l’objet d’un prochain billet et a sans doute été un élément-clé ayant permis à GitHub d’enrayer la récente attaque DDoS dont il a été victime.

Articles associés

L’évolution des architectures réseaux en data center

12 juillet 2021
L’informatique est un monde en perpétuelle évolution, et l’architecture réseau des datacenters n’échappe pas à la règle. Les moteurs de ces évolutions sont nombreux, que ce soient les progrès techniques, ou encore les évolutions des usages et des besoins…. Au cours de cet article, nous allons aborder l’orientation actuelle des architectures en data center. Mais […]

LE ou LA Wifi ? On ne sait pas trop mais c’est déjà la version 6

3 mars 2021
Comme vous l’aurez deviné, on ne va pas discuter ici de l’importance d’utiliser le pronom masculin ou féminin pour l’acronyme wifi, mais bien de cette “version 6” qui chamboule tout – à commencer par sa nomenclature. Les puristes amateurs de l’apprentissage par cœur des références de RFC telles que les classiques 1145 ou 2549 (sacrés pigeons […]
Partager cet article
Derniers articles

Comment agir sur nos Datacenters afin de réduire leur consommation énergétique ?

Réduire la consommation énergétique des centres de données : Les Datacenters ont un grand impact sur l’empreinte carbone et leurs émissions totales de gaz à effet de serre sont en augmentation constante. L’objectif est ici de vous faire découvrir quelles sont les pistes à explorer pour réduire la consommation d’énergie et l’impact environnemental de nos […]

L’évolution des architectures réseaux en data center

L’informatique est un monde en perpétuelle évolution, et l’architecture réseau des datacenters n’échappe pas à la règle. Les moteurs de ces évolutions sont nombreux, que ce soient les progrès techniques, ou encore les évolutions des usages et des besoins…. Au cours de cet article, nous allons aborder l’orientation actuelle des architectures en data center. Mais […]

Les Devops et l’Agilité : les pires ennemis de la Sécurité…ou pas ! (2/2)

Nous l’évoquions dans un précédent article (les devops et l’agilité pires ennemis de la sécurité ou pas 1/2), Devops et agilité ne font pas forcément bon ménage avec la sécurité. Cependant, loin d’être une fatalité, cette opposition permet au métier de la sécurité d’évoluer avec le temps. À l’image de l’essor de l’IT et de […]

L’Analyse d’Impact du Transfert des données personnelles hors UE

L’Analyse d’Impact du Transfert des données personnelles hors UE: Au mois de juillet 2020 et suite au jugement Schrems, La Cour Européenne de Justice a décidé que les Clauses Contractuelles Standards ou Types (CCT) étaient valides et que le Privacy Shield EU – US n’était plus un instrument adéquat pour permettre le transfert de données […]