Pourquoi même les entreprises disposant de vastes équipes de sécurité bien dotées en ressources sont-elles victimes des menaces actuelles ? Eric Michonnet, directeur central Europe, Southern Europe & North Africa chez Arbor Networks, spécialiste mondial en sécurité des réseaux, apporte des réponses. Un avis d’expert long, mais instructif.
Ces derniers mois, les vols de données et les attaques DDoS qui ont touché des entreprises de renom à travers le monde ont été très médiatisées. Cette médiatisation a mis en lumière le fait que même des entreprises disposant de vastes équipes de sécurité bien dotées en ressources sont victimes des menaces actuelles. Mais pour quelle raison ?
L’un des problèmes fondamentaux posés par ces attaques est que leurs auteurs ne sont pas des machines mais des êtres humains qui innovent constamment. Certains d’entre eux possèdent, une excellente connaissance du mode de fonctionnement de nos solutions et processus de sécurité, et font évoluer leurs tactiques, techniques et procédures afin d’y échapper. L’existence de nombreux échanges d’informations et de kits d’outils indique également qu’ils mettent à profit leur force collective, dans une certaine mesure, lorsqu’ils visent une cible donnée.
Les outils technologiques, aussi utiles qu’ils soient, ne peuvent pas à eux seuls nous protéger des campagnes d’attaques plus complexes, qui ciblent de manière croissante la propriété intellectuelle des entreprises et les données de leurs clients : ce sont les utilisateurs des outils qui peuvent assurer cette protection. Il nous faut donc faire le meilleur usage de nos ressources humaines dans le domaine de la sécurité. Dans ce but, nous devons veiller à ce que les outils et processus employés leur permettent de se consacrer à la préservation de la disponibilité, de l’intégrité et de la confidentialité de l’infrastructure de l’entreprise. En outre, il nous faut aussi améliorer le partage des informations sur les menaces auxquelles nous sommes confrontés, ainsi que sur ce qui fonctionne – ou non – pour les contrer.
En janvier 2015, la publication de la 10ème étude annuelle sur la sécurité des infrastructures IP mondiales (WISR) a mis en lumière les grandes tendances sur la scène des menaces et les préoccupations des entreprises à travers le monde. Il en ressort quatre tendances principales.
Les attaques DDoS gagnent en ampleur, en complexité et en fréquence
L’un des résultats marquants de l’étude est que les attaques par déni de service distribué (DDoS) deviennent plus intenses et plus fréquentes, puisque 38 % des entreprises indiquent avoir enregistré au moins 21 attaques par mois. Il y a dix ans, l’attaque la plus violente atteignait 8 Gbit/s, or cette année ce chiffre est monté à 400 Gbit/s, soit une progression massive. Il importe également de noter que, tout comme le niveau des pics d’attaque augmente, le nombre d’attaques de grande envergure s’accroît incommensurablement. Il y a trois ans encore, les attaques dépassant 100 Gbit/s étaient relativement rares, en 2013 nous en avons observé 39 et l’an passé 159, ce qui révèle l’ampleur générale du problème.
Parallèlement à la recrudescence des attaques volumétriques (celles qui tentent de saturer la connexion Internet de leurs cibles), des attaques plus élaborées, au niveau de la couche applicative, demeurent prédominantes (signalées par 90 % des entreprises). Plus sournoises et complexes, ces attaques peuvent aboutir à des délais plus longs de reprise des services car elles tendent à avoir un impact direct sur l’infrastructure applicative. Par exemple, il est nécessaire de faire redémarrer les serveurs d’applications même après la neutralisation d’une attaque, dès lors que celle-ci est parvenue au départ à se glisser au travers des mailles du filet.
Par ailleurs, la combinaison de plus en plus fréquente de différents types d’attaques rend celles-ci plus difficiles à bloquer. Cette année, 42 % des entreprises ont fait état d’attaques multivecteur, contre 39 % en 2013. Etant donné que de nombreuses entreprises dépendent de leur connexion Internet pour la continuité de leur activité, les attaques DDoS sont devenues un problème d’une gravité extrême.
Les entreprises sont la principale cible des attaques DDoS
Les cibles les plus courantes des attaques DDoS observées par les opérateurs sont leurs clients, et c’est le cas depuis un certain nombre d’années. Du point de vue des utilisateurs (c’est-à-dire les entreprises, établissements et administrations ayant participé à l’enquête WISR), près de la moitié d’entre eux ont été victimes d’une attaque DDoS en 2014, et près de 40 % ont vu leur connexion Internet saturée. L ‘une des principales cibles de ces attaques a été l’infrastructure existante, notamment les firewalls et les systèmes de prévention d’intrusion (IPS) : plus d’un tiers des entreprises ont constaté une défaillance de ces équipements à la suite d’une attaque.
Il est également intéressant de noter la différence de points de vue des opérateurs et des entreprises, ce qui influence leur perception respective de l’activité DDoS. Les opérateurs ont une vision macroscopique du trafic réseau qui leur permet d’identifier la plupart des attaques dirigées contre leurs clients. Pour leur part, les entreprises ont une vue plus granulaire – dans la mesure où il s’agit de leur propre trafic – et cela change pas mal de choses. Les opérateurs détectent ainsi 17 % des attaques applicatives, contre 29 % pour les entreprises.
Les attaques applicatives peuvent être très sournoises et ne laissent souvent guère de traces de leur passage sur les réseaux, ce qui les rend plus difficiles à repérer par les opérateurs. C’est l’une des raisons pour lesquelles une protection DDoS à plusieurs niveaux revêt une telle importance, car les solutions implantées à la périphérie des réseaux des entreprises et des datacenters détectent et bloquent fréquemment des attaques passées inaperçues auprès des opérateurs, et ce avant que celles-ci n’aient un impact sur la disponibilité des services.
L’évolution des attaques DDoS coûte cher aux datacenters
Comme dans les précédentes éditions de l’enquête WISR, les datacenters apparaissent cette année encore comme une cible de choix des attaques DDoS : un tiers d’entre eux ont connu une saturation de leur bande passante Internet à la suite d’une telle attaque. L’évolution des attaques DDoS depuis 18 mois – avec une utilisation nettement accrue des vecteurs de réflexion et d’amplification entraînant une intensification des attaques volumétriques – implique un problème de taille pour les datacenters. En effet, les attaques visant un seul de ses clients peuvent saturer la connexion Internet de l’ensemble d’un centre, avec de nombreux dommages collatéraux.
Comme cela était prévisible, 81 % des opérateurs de datacenters ont enregistré une augmentation de leurs dépenses d’exploitation l’an passé sous l’effet des attaques DDoS. Cependant, le plus inquiétant est que la proportion de datacenters ayant eu à déplorer un manque à gagner à cause de ces attaques a bondi de 27 % à 44 %.
Un point plus positif se trouve dans la hausse massive du pourcentage de datacenters faisant appel à des solutions spécialisées de neutralisation DDoS pour contrer les attaques (de 6 % à 48 %), signe que les solutions appropriées sont en train d’être mises en place pour traiter ce problème.
Les entreprises ne sont pas bien préparées à faire face aux menaces
La fréquence des incidents de sécurité sur les réseaux des opérateurs et des entreprises va croissant : respectivement +50 % et +34 %. Malheureusement, à peine la moitié des entreprises sont s semblent préparées pour un incident et près de 10 % ne le sont pas du tout. C’est là une source considérable de préoccupation, en particulier compte tenu de la prédominance des menaces plus avancées capables de contourner nos défenses. Cette année, 20 % des entreprises disent avoir détecté une menace persistante avancée (APT) sur leur réseau.
Que faire dans ces conditions ?
Ces quatre tendances montrent que des menaces telles que les attaques DDoS, loin de faiblir, sont plutôt en train de s’intensifier. D’un autre côté, nous constatons que les auteurs des attaques gagnent en efficacité dans le vol de données, généralement en améliorant leurs techniques d’intrusion et d’exfiltration. Pour y remédier, nous devons veiller à mettre en place les meilleures défenses ainsi que les meilleures équipes et procédures pour exploiter les technologies à notre disposition. Si nous faisons ce qu’il faut, nous pourrons considérablement réduire le risque d’un incident coûteux.
Comment combattre ces menaces ?
En matière d’attaques DDoS, la quasi-totalité des analystes s’accordent à dire que des défenses hybrides ou à plusieurs niveaux sont les plus efficaces. Ces solutions sont constituées d’un composant implanté à la périphérie des réseaux des entreprises et des datacenters, afin de bloquer proactivement toutes les formes d’attaque dès leur détection, combiné à un service dans le cloud ou chez un opérateur pour traiter les attaques de plus grande ampleur risquant de saturer la connexion Internet. Les solutions plus performantes intègrent ces deux niveaux de protection : le composant dans le cloud ou chez l’opérateur peut ainsi être activé automatiquement par le composant sur site en cas de montée en puissance d’une attaque.
En ce qui concerne les menaces internes, il existe un certain nombre de mesures à prendre pour réduire ce risque. D’abord, nous avons besoin d’une visibilité large et approfondie sur nos réseaux ; large, pour pouvoir identifier les communications suspectes où qu’elles se produisent ; approfondie pour les sites stratégiques de nos réseaux où une vision plus ciblée est nécessaire. Ensuite, nous devons exploiter les données adaptées fournies par la veille des menaces afin de pouvoir à la fois les identifier sur nos réseaux et les mettre en contexte pour déterminer la nature de la menace. Enfin et surtout, nous pouvons chercher à compléter ses processus existants de réponse aux incidents, dictés par les événements, par une approche plus proactive de « chasse » des menaces, permettant aux analystes de consacrer davantage de leur temps et de leur énergie à débusquer des menaces qui risqueraient de passer inaperçues.
Préparer l’avenir
Alors que les menaces ne cessent d’évoluer, les entreprises doivent revoir la manière dont elles considèrent les cyberattaques afin de prendre en compte la réalité et la sophistication des cybercriminels. Nos adversaires sont des êtres humains et nous devons contrer leur innovation par l’intelligence de nos propres équipes de sécurité. Pour ce faire, nous devons doter celles-ci des bons outils, dans une optique d’efficacité maximale et de risque minimal