Une analyse d'Aurélien Bouzon chez IMS Networks, spécialiste de la protection des terminaux, et Fabrice Clerc chez
6cure, spécialiste de la sécurité des systèmes
d'information.
En 2024,
plus de 4 incidents cyber visant les collectivités territoriales sont
enregistrés chaque semaine en France. Ces incidents représentent 14% de
l’ensemble des incidents traités par l’ANSSI sur la période.
Au cours de la
période étudiée, l’ANSSI a traité 44 incidents affectant des départements et 29
incidents affectant des régions. Ces chiffres se révèlent élevés en comparaison
du nombre de départements (101) et de régions (18) sur le territoire français.
Les collectivités semblent ciblées essentiellement parce qu’elles représentent
l’administration française. Ces dernières détiennent une mine d'or de données
personnelles, souvent géolocalisées, et sont interconnectées avec des
opérateurs clés tels que l'énergie, l'eau, les transports et d'autres
administrations. Parmi les incidents
ayant affecté les collectivités, on retrouve majoritairement des compromissions
de comptes de messagerie (30% des événements signalés) puis les attaques en
déni de service distribué (DDoS) (26% des événements signalés). Selon le dernier panorama publié par l’ANSSI,
le nombre d’attaques DDoS en 2024 a doublé par rapport à 2023. Un constat
alarmant qui souligne la montée en puissance des groupes hacktivistes et
cybercriminels, souvent soutenus par des acteurs étatiques.
Des attaques visant à
déstabiliser
Une attaque DDoS
consiste, la plupart du temps, à exploiter des systèmes vulnérables compromis,
qui vont simultanément saturer un serveur, un service ou une infrastructure,
afin de priver les agents ou les utilisateurs légitimes de la collectivité. Ces
attaques visent à décrédibiliser et déstabiliser les collectivités ciblées,
semant le doute sur leur fiabilité et leur cybersécurité. Certaines opérations
peuvent servir de levier pour des demandes de rançon, saturer les dispositifs
de sécurité, voire aveugler les solutions de supervision (SIEM), pour faciliter
d'autres attaques. Les conséquences d’une attaque en déni de service peuvent
être considérables pour une collectivité : interruption d’activité et de
service, fuite de données à caractère personnelle, perte financière, engagement
de responsabilité, atteinte à la réputation et plus encore.
Le DNS toujours très
ciblé
Les attaques DDoS se
présentent sous diverses formes, parmi lesquelles les attaques volumétriques
classiques qui visent à congestionner les liens réseau pour produire de la
perte et celles ciblant les capacités de traitement pour directement perturber
la délivrance de services tels que DNS, web, LDAP, etc. Les attaques peuvent
exploiter des failles structurelles des protocoles. Le service DNS, essentiel
au fonctionnement d’Internet, est une cible privilégiée. Selon le rapport 2023
IDC Threat Report, 90% des organisations subissent 7,5 attaques DNS par an. Le
DNS est vulnérable en raison de l’absence de connexion préalable entre
l’expéditeur et le destinataire, et de l’impossibilité de filtrage
géographique. L’usurpation facile des demandes DNS peut entraîner des attaques
par réflexion et amplification. Les attaquants peuvent ainsi augmenter, sans
surcoût pour leur botnet, l’efficacité de leurs attaques. Les requêtes DNS
peuvent être envoyées de manière aléatoire et dispersée, rendant ainsi plus
complexe l’identification des botnets.
Les attaquants
exploitent ces caractéristiques pour générer de fausses requêtes, usurper des
sources et rediriger des flux massifs vers leurs cibles. Cela entraîne une
saturation de la capacité de traitement des serveurs. Les attaques DNS ciblent
généralement la couche applicative, rendant difficile la distinction entre le
trafic légitime et malveillant. De plus, ces attaques nécessitent moins de
ressources pour l'attaquant tout en rendant le service DNS indisponible de
manière aussi efficace. Très souvent, par effet de bord, bien d’autres services
sont impactés.
Botnets : la saturation
fatale pour le Déni de Service
Les groupes
responsables de ces attaques DDoS s’appuient sur des réseaux de machines
infectées — des botnets — de plus en plus vastes. En septembre 2024, un botnet
mondial a été démantelé après avoir ciblé des infrastructures critiques dans
plusieurs pays. Ce type d’opération démontre l’ampleur et la coordination
derrière les attaques DDoS actuelles.
Mieux se protéger
Les attaques
volumétriques sont généralement repérables par une forte occupation des liens
réseau. En revanche, les attaques plus fines, notamment celles qui ciblent le
traitement applicatif ou le DNS, sont plus difficiles à détecter. Les
attaquants peuvent aussi alterner des salves de quelques secondes avec des
pauses, visant à contourner les mécanismes de protection traditionnels. Les
pics engendrés par l’attaque sont rapides et courts mais peuvent suffire à
saturer les capacités de traitement pour quelques minutes. Ces attaques sont
appelées hit and run. Cette situation problématique est amplifiée par le
développement des botnets, évoqué précédemment. En effet, il faut bien
comprendre que des botnets puissants permettent de lancer des attaques
massives, mais aussi des attaques de plus en plus malignes (par exemple
attaques hyper-distribuées avec des bots très nombreux et très peu de flux par
bot). C’est le nombre et la diversité des bots dans lesquels l’attaquant peut
puiser, pour une plus grande variété d’attaques, qui constituent la
dangerosité. Face à cette évolution,
certains boîtiers de filtrage, notamment souverains, affichent un temps de
réaction pour le blocage des attaques de quelques secondes, empêchant toute
coordination d’attaques ultra-courtes à l’échelle mondiale. Ce niveau de
performance rend la tâche très difficile aux assaillants, pour qui il est
compliqué de synchroniser avec autant de précision les membres d’un botnet.
Dans ce contexte
d’attaques DDoS toujours plus sophistiquées, la réactivité n’est plus un luxe,
c’est une nécessité. C’est particulièrement vrai pour les attaques multi
vectorielles, qui changent sans cesse de méthode et d’origine, rendant la
défense statique faillible.
L’importance de
s’appuyer sur des SOC de nouvelle génération
Le SOC (Security
Operations Center) incarne la première ligne de défense contre les attaques
DDoS. Son rôle va bien au-delà de la simple surveillance : il orchestre une
stratégie proactive et adaptative, essentielle dans un paysage de menaces en
constante évolution.
1. Compréhension fine des services critiques et configuration préventive améliorée en continu
Tout commence par un
dialogue étroit avec les responsables métiers et techniques pour identifier les
services à protéger, comprendre leur fonctionnement, leur criticité et les flux
qui y transitent. Cette cartographie précise permet de prioriser la défense sur
les actifs réellement stratégiques. Avant même qu’une attaque ne survienne, le
SOC définit des profils de protection personnalisés, en calibrant les seuils
d’alerte et les règles de filtrage selon le contexte. Ces paramètres sont
pré-intégrés dans les boîtiers anti-DDoS, prêts à être activés immédiatement en
cas d’alerte. Cette préparation en amont permet un gain de temps décisif au
moment critique. Dans une approche d’amélioration continue, le SOC analyse les
graphiques et statistiques régulièrement, même en dehors des périodes
d’attaque, pour ajuster les seuils et les profils de protection, garantissant
ainsi une défense toujours plus efficace et adaptée aux nouvelles menaces.
Plusieurs modes de protection existent et permettent de s’adapter à différents
contextes des services à protéger. La protection peut être plus ou moins
stricte et activée en permanence ou bien seulement activée en cas d’attaque. La
bascule dans le mode protection peut alors se faire manuellement ou
automatiquement en fonction de la politique retenue.
2. Une analyse et une adaptation en temps réel
Lorsqu’une attaque est
détectée, le SOC entre dans une phase d’analyse dynamique. Les équipes
observent le comportement du trafic, identifient les vecteurs d’attaque et
adaptent les seuils ou les règles de filtrage en conséquence. Face à des
attaques qui changent d’intensité, de technique et d’origine en quelques
secondes, les SOC de nouvelle génération se distinguent par leur capacité
d’adaptation immédiate. En lien direct avec les systèmes de détection, ils
affinent leur réponse en permanence. Cette réactivité humaine et technologique
combinée est un point central qui permet une adaptation en temps réel,
indispensable face à des attaques toujours plus agiles et ciblées.
3. Filtrage intelligent et sélectif
L’objectif : bloquer l’attaque sans perturber l’activité légitime. Grâce à des modules avancés capables d’identifier des patterns malveillants, le SOC ajuste dynamiquement les filtres pour bloquer la menace et ainsi préserver les ressources tout en évitant les faux positifs. Ce travail de précision est crucial pour garantir la continuité de service tout en neutralisant la menace sans impacter l’activité légitime.