Consommateurs Petites entreprises Grandes entreprises

Comment protéger votre entreprise contre les attaques DDoS

Publié 14 March, 2016 dans Entreprise, Réseau, Sécurité, Tendances en technologie par 0

Maintenant que vous savez ce que sont les attaques par déni de service distribué (DDoS) et leurs effets possibles sur votre entreprise, une grande question demeure : que pouvez-vous faire pour protéger vos actifs et votre infrastructure numériques?

Il vous faut tout d’abord une solution qui peut distinguer le trafic normal du trafic malveillant et contrer les attaques rapidement et avec précision. Or, comme le type et le mode d’exécution des attaques DDoS varient, les mesures de protection ne sont pas toutes équivalentes.

Ne protégez pas seulement votre réseau

Les attaques DDoS ne font pas qu’obstruer votre accès Internet. D’après le rapport de Radware sur la sécurité des applications et des réseaux à l’échelle mondiale (en anglais), seulement la moitié des attaques sont massives et font appel à la puissance brute de milliers de robots pour accaparer toute la bande passante de votre réseau. Les autres attaques ciblent des applications et exploitent des faiblesses de protocoles tels que HTTPS, DNS, SMTP et FTP pour mobiliser toutes les ressources des applications et les rendre inutilisables.

Les agresseurs combinent de plus en plus souvent diverses techniques pour s’attaquer simultanément aux couches réseau, serveur et applications. Vous devez donc pouvoir vous protéger contre tous les types d’attaques, autant celles qui ciblent des couches particulières que les assauts coordonnés.

L’équipement sur place ne suffit pas

Beaucoup d’entreprises hésitent à investir dans des services complets de sécurité parce qu’elles croient que leur coupe-feu ou leur système de prévention d’intrusion (SPI) les protège adéquatement contre les attaques DDoS. Certes, il est essentiel d’avoir un coupe-feu ou un SPI, mais ce ne doit pas être votre seule ligne de défense, parce que ces dispositifs sont dynamiques, c’est-à-dire qu’ils surveillent l’état de toutes les connexions et de toutes les transactions afin de bien les filtrer, mais ils peuvent eux-mêmes être paralysés par des attaques DDoS. Même le meilleur coupe-feu faillira à la tâche s’il doit traiter trop de requêtes à la fois, ouvrant ainsi la voie au trafic malveillant.

Adoptez une méthode de protection hybride

La façon idéale de se protéger contre les attaques DDoS repose à la fois sur l’équipement sur place (qui offre plus de latitude sur le moment et la façon de contrer une attaque) et sur l’épuration des données en nuage ou la détection et l’atténuation en amont dans le réseau.

Avec une solution d’épuration des données en nuage, tout le trafic est détourné vers un tiers fournisseur de services en nuage dès qu’une attaque est décelée afin d’être filtré. Seul le trafic légitime est dirigé vers votre site. N’étant plus submergé de requêtes, votre équipement sur place peut donc continuer de faire fonctionner vos serveurs et vos applications.

La solution des services en nuage n’est pas à toute épreuve, cependant. En effet, il peut s’écouler jusqu’à une heure entre la détection d’une attaque et le début de la diffusion de l’annonce de route. Entre-temps, le trafic malveillant continue d’assaillir votre réseau, et un agresseur peut paralyser votre site en beaucoup moins d’une heure. De plus, la plupart des services d’épuration de données sont situés à l’extérieur du Canada, ce qui peut contrevenir aux exigences de votre entreprise ou d’un organisme de réglementation en matière de gestion des données.

Dans le cas de la détection en amont dans le réseau, la détection et l’atténuation des attaques massives ou dirigées contre la couche applications se déroulent dans le réseau même, avant que le trafic puisse atteindre votre entreprise. Ce service est offert par des fournisseurs de services réseau qui disposent de fonctions de sécurité très poussées et qui sont les seuls à pouvoir mettre en œuvre des mécanismes de détection et d’atténuation à même leur propre réseau. Comparativement à l’épuration des données en nuage, ce service réagit plus rapidement : une attaque peut ainsi être contrée en moins de 30 secondes. De plus, la détection des anomalies des paquets et des autres « bruits » gourmands en bande passante vous assure une utilisation plus efficace de votre service Internet, qui risque moins d’être accaparé par le trafic inutile.

Questions à poser pour évaluer les services de protection contre les attaques DDoS

Au moment d’évaluer d’éventuels fournisseurs de services de protection contre les attaques DDoS, nous vous conseillons de tenir compte des facteurs suivants :

  • Le service protège-t-il les couches applications, serveur et réseau?
  • Le fournisseur de services est-il situé au Canada? Est-ce un facteur important pour votre entreprise?
  • Votre réseau peut-il tolérer un certain délai dans le réacheminement du trafic et l’épuration des données?
  • Utilisez-vous le chiffrement de données pour communiquer avec vos clients, traiter des transactions ou échanger des données confidentielles?

Un fournisseur comme Bell est bien positionné pour offrir un service réseau de protection contre les attaques DDoS parce que Bell possède et exploite le plus grand réseau IP au Canada, ce qui lui permet d’avoir une excellente vue d’ensemble des menaces possibles pour les entreprises qui utilisent son réseau. Si vous désirez en savoir plus, lisez ce document sur le service Sécurité du réseau contre les attaques DDoS Bell.

Corey Still est professionnel en réseau et en cybersécurité chez Bell.

Laissez-nous savoir ce que vous en pensez

Leave a Reply

Your email address will not be published. Required fields are marked *