Attaque DDoS

Une attaque « Distributed Denial of Service » (DDoS) perturbe le fonctionnement normal de l'hébergeur ou du serveur Internet d'une organisation en le surchargeant, par l'envoi d'une quantité énorme de demandes de pages. On peut la comparer à un énorme embouteillage : une voiture veut aller d’un point A à un point B mais des voitures s’ajoutent sans cesse entre la voiture en question et sa destination finale, à tel point qu'elle reste bloquée. L'attaque « denial of service » rend la page Internet et les services fournis par son intermédiaire indisponibles jusqu'à ce qu'elle soit enrayée, ce qui peut entraîner d'importantes pertes financières et de productivité pour l'organisation qui ne peut plus offrir ces services.

Une des premières choses à faire consiste à naviguer sur vos propres sites Internet comme si vous étiez un utilisateur externe. Si le site Internet est indisponible, cela peut indiquer qu'il a été attaqué et qu'il pourrait s'agir d'une attaque DDoS. Le responsable IT doit identifier la cause de l'indisponibilité du site Internet et déterminer le type d'attaque.

Il est par ailleurs possible de mettre en place des moyens de détection pour identifier si une intrusion est en cours ou a déjà eu lieu. Le monitoring de tous les systèmes critiques assurant le fonctionnement d'une organisation est un élément clé pour assurer un bon niveau de protection contre le piratage d'un site Internet. En cas d’attaque, des alertes préalablement définies en informent le responsable IT et son équipe. En outre, il existe plusieurs outils de surveillance de sites Internet qui peuvent aider à détecter toute modification apportée au contenu et tout autre type de changement apporté à un site Internet, par exemple lorsqu'un cyberpirate tente de lier le site à des domaines qui viennent d’être créés.

Lorsqu'une organisation envisage de mettre en œuvre des outils de monitoring d'un site Internet, il est important qu'elle réalise une analyse coûts-bénéfices. Ces outils peuvent généralement monitorer trois aspects : la disponibilité, la vitesse et le contenu. Cependant, il n'existe pas de solution unique. Le coût global dépendra de l'intensité et de la régularité avec lesquelles une organisation souhaite assurer le monitoring du contenu de son site Internet. Il s'agit donc d'une question spécifique à chaque organisation, qui dépend de ses besoins et de ses exigences : si le site Internet constitue un élément clé pour mener à bien les opérations quotidiennes ou fournir des services aux clients, il sera préférable d'investir dans des outils de surveillance de site Internet.

1.    Activez et configurez un Web Application Firewall

Le « Web Application Firewall » (WAP, pare-feu pour applications Internet) surveille le trafic entrant et sortant du réseau afin d'autoriser ou de refuser les communications en fonction de règles de sécurité définies. Il agit comme un contrôleur entre le serveur et le client et, en décryptant le trafic, il analyse les demandes d'accès au réseau des utilisateurs. Ainsi, s'il détecte une activité suspecte selon ses règles de configuration, il peut générer des alertes et les envoyer au responsable IT et à son équipe, qui décideront des actions à entreprendre.

2.    Mettez à jour tous les logiciels, systèmes d'exploitation et navigateurs Internet

Les cybercriminels sont toujours à la recherche de vulnérabilités à exploiter ; il est donc important de maintenir tous les systèmes à jour afin de s'assurer que c’est la version la plus récente et la plus sûre qui soit utilisée.

3.    Maintenez à jour tous les composants du serveur Internet

Comme pour tous les systèmes d'information et de technologie, la mise à jour des composants du site Internet est également cruciale pour s'assurer que toutes les vulnérabilités connues sont corrigées et que les cyberpirates n'ont aucune chance de les exploiter.

Les composants caractéristiques d'un serveur Internet sont les suivants :

• le BIOS/firmware du matériel sur lequel le serveur de l’organisation tourne ;
• le système d'exploitation du serveur ;
• le service Internet utilisé (Apache, nginx, IIS, etc.) ;
• le système de gestion du contenu (Drupal, Joomla, WordPress, etc.) ;
• optionnellement, la couche de virtualisation.

Très peu d'organisations créent leur site Internet en partant de rien ; elles font généralement appel à des tiers, qui proposent un grand nombre de plugins et de thèmes. Veillez à également les maintenir à jour. Les développeurs de ces tierces parties sont constamment à la recherche de nouvelles vulnérabilités. Il est donc essentiel de procéder aux mises à jour pour disposer de la version la moins vulnérable des composants utilisés.

4.    Sécurisez l'accès au système de gestion du contenu et mettez-le à jour

Comme indiqué précédemment, l'une des mesures importantes à prendre pour sécuriser un système de gestion de contenu est de le maintenir à jour, ainsi que ses plugins. Si les cybercriminels recherchent toujours de nouvelles vulnérabilités à exploiter, des correctifs de sécurité sont publiés pour combler ces failles. Il est donc important de procéder aux mises à jour dès qu'elles sont disponibles.

En outre, le système de gestion de contenu peut être protégé en n'utilisant pas de configuration par défaut pour les comptes et les mots de passe, mais en créant son propre compte d'administrateur protégé par un mot de passe suffisamment fort et en paramétrant l’authentification multifacteurs. Avec l’authentification multifacteurs, l’utilisateur doit fournir au moins deux méthodes différentes (un mot de passe et un code PIN, un code PIN et un code reçu par SMS, par exemple) pour vérifier son identité et lui permettre d'accéder à la ressource qu'il tente d'atteindre.

Enfin, le processus de gestion des accès doit impliquer une révision régulière de la liste des utilisateurs. Et cela tant pour les utilisateurs ayant accès au système de gestion du contenu, que pour tous les autres utilisateurs de l'organisation en général. Cette révision permet à l'organisation de vérifier qu'aucun utilisateur test n'est encore actif et qu'aucun utilisateur qui ne devrait pas y figurer n'a été ajouté.

5.    Utilisez des mots de passe forts et paramétrez l'authentification multifacteurs

Les utilisateurs ont tendance à employer des mots de passe faibles car ils sont plus faciles à retenir. Or, un mot de passe facile à retenir est également facile à pirater. Il est donc primordial de n'autoriser que l'utilisation de mots de passe forts, qui combinent majuscules, minuscules, chiffres et symboles. En outre, l'authentification multifacteurs ajoute une couche supplémentaire à la protection des comptes.

6.    Veillez à ce que votre fournisseur d'accès à Internet dispose de procédures claires pour réagir à une attaque et la prévenir

Il est important de déterminer si votre organisation est directement connectée à Internet ou si elle fait appel à un fournisseur d'accès à l'internet (FAI). Dans ce dernier cas de figure, vérifiez minutieusement votre contrat et quelles sont les procédures en cas d'attaque. Les fournisseurs d'accès à Internet sont la porte d'entrée entre une organisation et Internet. C'est pourquoi ils sont de plus en plus préoccupés par les attaques DDoS et leur complexité. La plupart d'entre eux investit massivement dans la prévention de ces attaques.

Si votre organisation gère ses propres réseaux, envisagez de créer différentes zones de sécurité dans le réseau (segmentation de base du réseau par le biais d’un VLAN ou d'autres mécanismes de contrôle d'accès au réseau, par exemple) et de contrôler/surveiller le trafic entre ces zones. En outre, assurez-vous que les services inutilisés sont désactivés ou filtrés hors du réseau et modifiez toujours le mot de passe défini par défaut sur le routeur Internet et d'autres systèmes. Enfin, les systèmes d'exploitation, les programmes et les routeurs devraient être automatiquement mis à jour.

7.    Limitez le nombre de demandes de pages par utilisateur

Limitez le nombre de demandes de pages qu'un utilisateur peut envoyer, par exemple mille demandes par personne et par 24 heures. Cela permet d'éviter de surcharger le réseau.

8.    Préférez les services « cloud » aux services hébergés localement

Les services « cloud » sont beaucoup mieux protégés contre les attaques DDoS que les services hébergés localement, en particulier concernant les services d’e-mails ou d'autres plateformes en ligne. La couche de protection supplémentaire du « cloud » garantit que les services restent largement disponibles.

9.    Passez le site Internet au crible à la recherche des vulnérabilités les plus courantes

Analyser un site Internet pour détecter les vulnérabilités connues est un excellent moyen de déterminer s'il est prêt à être mis en ligne ou non, du point de vue de la sécurité. L'identification des vulnérabilités existantes laisse plus de temps pour les corriger, sans causer de dommage, avant qu'un cybercriminel ne les utilise et ne cause des dégâts importants. Les experts en sécurité peuvent apporter leur aide en effectuant des tests de pénétration et des audits, par exemple pour évaluer la sécurité d'un site Internet.

1.    Signalez l'incident au responsable IT de l'organisation

Dès que l’on suspecte un changement inhabituel sur le site Internet de l’organisation, il convient de le signaler immédiatement au responsable IT afin qu'il puisse prendre les mesures correctrices suivantes.

2.    Rassemblez tous les éléments de preuve nécessaires

Une attaque DDoS est un cybercrime qui doit être signalé à la police. Pour déposer plainte, il est conseillé de rassembler plusieurs éléments pour compléter le dossier : des captures d'écran du site Internet attaqué, des captures d'écran de toute activité inhabituelle sur les appareils et les logs du firewall et des serveurs.

3.    Faites une copie de tous les appareils compromis

Lorsque c’est possible, le contenu de tous les appareils infectés doit être copié sur un support physique à des fins forensiques.

4.    Signalez l'incident à la police et déposez plainte

Une attaque DDoS est punissable par la loi et doit être signalée aux autorités pour leur permettre d'enquêter sur les responsables et les empêcher de perpétrer d'autres attaques.

5.    Modifiez tous les mots de passe donnés (le cas échéant)

Ces mots de passe doivent être modifiés sur tous les comptes utilisés.

6.    Dressez un inventaire de toutes les informations sensibles auxquelles les cyberpirates ont eu accès ou ayant été volées

Cette inventorisation permet d'évaluer l'ampleur de l'attaque et d'anticiper ce que le pirate pourrait utiliser ultérieurement pour perpétrer d'autres attaques.

7.    Identifiez et corrigez toutes les vulnérabilités utilisées pour accéder au réseau

C’est en déterminant exactement comment le cyberpirate est parvenu à accéder à une ressource que l’on sera en mesure de prendre les mesures correctrices nécessaires pour s'assurer que cette vulnérabilité ne sera plus exploitée dans de nouvelles attaques. Il peut s'agir, par exemple, d'installer un correctif de sécurité ou de modifier un mot de passe compromis.

8.    Informez le fournisseur du site Internet et le fournisseur d'accès à Internet

Lorsqu'un fournisseur externe est impliqué, veuillez le contacter et l'informer de l'incident afin qu'il puisse également prendre les mesures nécessaires pour y remédier.

9.    Si nécessaire, contactez des spécialistes officiels externes en sécurité

Toutes les organisations ne disposent pas de ressources suffisantes pour remédier efficacement à un cyberincident. Il est alors possible d’avoir recours à des spécialistes en sécurité pour résoudre l'incident. Ces spécialistes peuvent uniquement provenir d'organisations officielles, comme des sociétés de consultance reconnues, afin d'éviter d'engager un escroc.