Les attaques par déni de service distribué (DDoS) se présentent sous de nombreuses formes et tailles, tout comme les mythes qui les entourent. Ces mythes peuvent porter sur les motivations, les vecteurs et techniques d’attaque DDoS, les stratégies d’atténuation, etc. Les mythes DDoS sont également parfois plus dangereux que les attaques elles-mêmes, car des idées fausses peuvent rendre les organisations vulnérables à d'autres types de cyberattaques, faire dérailler les stratégies d'atténuation ou amener les équipes à rater complètement les attaques. Examinons cinq des principaux mythes concernant les attaques DDoS et la protection et démystifions-les.
Mythe 1 : les attaques DDoS sont rares, elles ciblent uniquement les grandes entreprises et sont menées par des acteurs malveillants sophistiqués.
En réalité, les attaques DDoS sont très courantes et ciblent des entreprises de tous types et de toutes tailles. Selon l'équipe de recherche ASERT de NETSCOUT, il y a eu plus de 15 millions d'attaques DDoS dans le monde en 2024. Ce niveau d'activité montre que la menace DDoS est bien vivante, ce qui rend les mesures défensives indispensables pour les entreprises de toutes formes et tailles.
Bien que les États-nations mènent leurs propres attaques DDoS sophistiquées, nombre d’entre elles sont menées via des services de location DDoS peu coûteux, voire gratuits, qui utilisent des réseaux de zombies mondiaux ou des groupes d’appareils compromis. Souvent, ceux qui commandent des attaques DDoS ne sont pas des pirates informatiques sophistiqués, mais agissent en fonction d'événements géopolitiques, s'en prenant à des entreprises, des individus ou des infrastructures qui vont à l'encontre de leurs intérêts.
Les attaques DDoS ne ciblent pas toujours les réseaux d'entreprise. Ils ciblent souvent des infrastructures ou des services clés, tels que les réseaux électriques, pour avoir un impact profond sur la population en général.
Mythe 2 : les attaques DDoS impliquent uniquement d’inonder les réseaux avec de grandes quantités de trafic.
Aux débuts du DDoS, la grande majorité des attaques consistaient en d’importantes inondations de trafic. Cependant, les attaques DDoS ont évolué au fil du temps, devenant plus complexes et ciblées de manière chirurgicale. Les médias continuent de faire état des attaques les plus importantes et les plus percutantes, qui se chiffrent en térabits par seconde, renforçant ainsi cette idée fausse très répandue. Bien que ces attaques à grande échelle restent dangereuses, la plupart des attaques plus petites, inférieures à 1 Gbit/s, sont tout aussi dangereuses et ciblent les couches applicatives telles que le système de noms de domaine (DNS) et HTTP.
En 2024, ASERT a constaté une augmentation de 43 % des petites attaques au niveau de la couche application par rapport à 2023, ce qui montre que ces attaques ciblées gagnent en popularité. En effet, de nombreux services de protection DDoS fournis par les fournisseurs d'accès Internet (FAI) et d'autres solutions de protection cloud recherchent les attaques volumétriques importantes et ignorent les attaques plus petites, qui sont transmises au client. À moins que les réseaux ne disposent d’un certain niveau de protection DDoS, ces petites attaques ont plus de chances de réussir et peuvent causer des problèmes aux entreprises et à leurs clients.
Les attaques par épuisement d’état du protocole TCP (Transmission Control Protocol) sont un autre type courant d’attaques plus petites. Ils ciblent spécifiquement les périphériques locaux avec état, tels que les pare-feu, les équilibreurs de charge, les passerelles de réseau privé virtuel (VPN), etc., et remplissent leurs tables d'état de fausses connexions, empêchant ainsi les utilisateurs légitimes d'accéder aux zones du réseau.
Mythe 3 : les pare-feu de nouvelle génération peuvent arrêter les attaques DDoS.
Les pare-feu de nouvelle génération (NGFW) sont des dispositifs puissants qui peuvent considérablement améliorer votre sécurité globale. Cependant, leur conception avec état les rend vulnérables à divers types d’attaques DDoS, notamment les attaques par épuisement d’état. La combinaison de NGFW avec une solution d'atténuation DDoS sans état placée devant le pare-feu protège les pare-feu des attaques par épuisement d'état.
Mythe 4 : la protection DDoS basée sur le cloud suffit à elle seule.
Lorsqu'une attaque DDoS dépasse votre connexion Internet, le seul moyen de l'arrêter est d'utiliser une protection DDoS basée sur le cloud. Cela dit, des attaques plus petites peuvent contourner ces protections, nécessitant des mesures défensives supplémentaires. Les attaques DDoS modernes exploitent plusieurs vecteurs d’attaque pour contourner les défenses. Cela signifie qu’ils peuvent combiner une attaque volumétrique ou une attaque par épuisement d’état avec une attaque de couche applicative pour cibler plusieurs zones du réseau, ce qui rend la détection et l’atténuation difficiles.
En mettant en œuvre une approche hybride de la défense DDoS, combinant des solutions de protection DDoS en ligne basées sur le cloud et sur site, les organisations peuvent mieux se protéger contre les attaques DDoS agiles et multivecteurs, optimisant ainsi le temps de fonctionnement et la disponibilité.
Mythe 5 : la protection DDoS ne nécessite pas l'utilisation de l'IA/ML.
Beaucoup pensent que tirer parti de l’intelligence artificielle (IA) ou du machine learning (ML) n’est pas nécessaire pour se défendre contre les attaques DDoS. Cela ne pourrait pas être plus éloigné de la vérité. Premièrement, les attaquants utilisent l’IA/ML pour multiplier les volumes d’attaques, accroître la sophistication et éviter d’être détectés. Cela signifie que les mesures défensives doivent penser de la même manière, en tirant parti des capacités de détection des anomalies de trafic IA/ML pour détecter les anomalies dans les modèles de trafic qui indiquent des menaces DDoS.
L’IA/ML peut prendre la forme de flux de renseignements sur les menaces qui bloquent automatiquement les menaces DDoS actives et connues en temps réel. Grâce à ces informations sur les menaces constamment mises à jour, les dernières menaces ne sont pas à la hauteur des défenses DDoS basées sur l'IA/ML. L'IA/ML peut également automatiser les ajustements des contre-mesures en temps réel pour se défendre contre les attaques multivecteurs.
Attaques DDoS et protection
Les mythes n’ont pas leur place dans la protection des actifs numériques les plus importants de votre réseau. Ne soyez pas victime de ces mythes courants. Une protection DDoS dédiée qui protège contre les attaques DDoS multivecteurs dynamiques est le seul véritable moyen de garantir une disponibilité maximale dans le paysage DDoS moderne.
En savoir plus sur l'arbor NETSCOUT Solution de protection DDoS.