Les tests de sécurité demeurent un point indispensable dans la recherche d’un haut niveau de résilience des systèmes d’information et des infrastructures. Ils permettent notamment de s’assurer que les systèmes de sécurité en place, en termes de produits et de processus, demeurent fiables, pertinents et réactifs.
Toutefois, dans l’éventail des cyber-menaces à évaluer, les attaques DDoS sont rarement prises en compte, et restent loin derrière les évaluations de vulnérabilités ou les tests de pénétration.
Cependant, les temps changent. Les attaques DDoS ne constituent d’ailleurs plus seulement un risque pour la disponibilité d’un service informatique, mais sont désormais fréquemment utilisées pour masquer des tentatives de pénétration des systèmes d’information, ce qui modifie la façon dont ce risque doit être évalué, ainsi que la manière dont les contre-mesures doivent être déployées. A ce titre, les tests de protection anti-DDoS deviennent cruciaux dans l’évaluation globale de la posture de sécurité.
Toutefois, l’évaluation DDoS s’avère, par nature, fort différente des tests de pénétration ou des audits de vulnérabilité à la fois en termes d’outils, de compétences et de processus – ce qui constitue d’ailleurs un frein conduisant souvent à négliger ce type d’évaluation.
Pourtant, les raisons sont nombreuses qui sous-tendent le besoin de mener périodiquement ce type d’évaluation. Parmi elles, l’évolution permanente de la menace elle-même et en particulier la sophistication des attaques DDoS, nécessitent de s’assurer que les systèmes en place sont toujours techniquement en mesure de les détecter et les contrer efficacement. Par ailleurs, la complexité croissante des systèmes protégés, et des architectures de protection proposées, requièrent d’être en mesure d’évaluer si la couverture de protection a pu suivre les évolutions naturelles de l’infrastructure informatique. Comme tout système de sécurité enfin, la protection DDoS s’appuie sur des processus et des interventions humaines qui doivent être périodiquement réévalués.
Les tests de protection DDoS soulèvent intrinsèquement plusieurs défis dans leur réalisation. Un défi technique tout d’abord, car ils doivent s’appuyer sur des outils et des méthodes spécifiques, mis en œuvre par des experts. Certes, d’aucuns pourraient penser que la flagrante disponibilité des outils utilisés par les attaquants eux-mêmes, facilite le travail. Néanmoins, dès lors que l’on souhaite évaluer l’ensemble du panel d’attaques DDoS, et ce de manière maîtrisée sur un système en production, on comprend rapidement qu’une infrastructure et des processus spécifiques de tests sont requis. La pertinence des attaques perpétrées dans le cadre de l’évaluation constitue un point crucial tant en terme de type de l’attaque (réseau, applicatif), de dynamique (attaques brutales, lentes) ou même de géographie (hyper-distribution des sources).
Le second défi adresse les questions légales et éthiques associées à ce type d’évaluation. A titre d’exemple, par nature, une attaque DDoS impacte potentiellement un ensemble d’acteurs (cible, fournisseurs d’accès Internet, fournisseurs de services cloud), et peut causer également des dommages collatéraux.
En synthèse, les tests de protection DDoS nécessitent un nouvel ensemble d’outils, de processus et de compétences pour une mise en œuvre appropriée. Il existe des pièges juridiques et techniques qui rendent important de s’engager avec des acteurs maîtrisant ces dimensions, et ainsi d’être en mesure d’inclure ces évaluations au sein des processus de sécurité.
Pour un éclairage complet sur le pourquoi et le comment des évaluations de protection DDoS, rendez-vous à l’atelier technique 6cure aux Assises de la Sécurité à Monaco le vendredi 13 octobre 2017 à 12h.