Les attaques par DDoS touchent tous les secteurs d’activité. Il ne s’agit plus uniquement d’attaques volumétriques. Les DDoS ciblent désormais les applications et la gestion, bloquant les services des applications.

Selon John Pescatore, auteur de l’enquête et directeur des nouvelles tendances en matière de sécurité chez SANS,
« Trop d’entreprises sont mal préparées pour faire face aux attaques par DDoS. » Le sondage révèle en effet que 39% des entreprises interrogées n’ont pas de plan pour limiter les effets des DDoS ou ne savent pas s’il en existe un au sein de leur entreprise. Parmi celles qui disposent d’un plan, la moitié seulement l’a déjà testé.

L’enquête dévoie plusieurs faiblesses. Il est très courant que l’on se repose sur l’infrastructure pour se protéger sans effectuer régulièrement les tests validant les processus de lutte contre les DDoS et les contrôles, quand ils sont en place.

Une partie des résultats concerne les bénéfices recherchés dans une solution anti-DDoS : empêcher que des dommages soient causés à des applications spécifiques, préserver la bande passante et gérer les attaques volumétriques. Les réponses montrent la préoccupation d’éviter des interruptions accidentelles des sessions légitimes.

Principales conclusions du sondage ‘ DDoS Attacks Advancing and Enduring ‘ du SANS Institute

– 1. Près de 40 % des entreprises ne sont absolument pas préparées ou sont mal préparées aux attaques par DDoS. Malheureusement, 23 % des personnes interrogées ont indiqué qu’elles n’avaient pas de plan pour diminuer les attaques par DDoS et 16% ne connaissent pas l’existence de tels plans dans leur entreprise. 50% n’ont jamais testé leurs capacités anti-DDoS.

– 2. Les systèmes et les outils pour détecter/atténuer les attaques DDoS des entreprises ne sont souvent pas à niveau. Les personnes interrogées (26 %) comptent sur leur infrastructure opérationnelle pour se protéger contre les attaques par déni de service.

– 3. Moyennes pondérées : les personnes interrogées ont vu 4,5 attaques DDoS par an, avec une moyenne de 1.7 GBs de bande passante par attaque. La durée moyenne d’une attaque a été de 8,7 heures, avec des interruptions de service de 2,3 heures par attaque. Dans des cas extrêmes, certaines personnes sondées ont connu des centaines d’attaques dans l’année et l’une d’elle a subi une interruption de service de deux jours.

– 4. Les attaques par DDoS les plus redoutables mixent des attaques de force brute (volumétriques) et des attaques applicatives ciblées. Elles ont la même fréquence (39%) que les attaques purement ciblées (42%) ou seulement volumétriques (41%). Les attaques par DDoS ont tendance à n’utiliser que peu de ports Internet, mais avec une variété de techniques pouvant causer d’importants dommages.

– 5. Les facteurs déterminants pour le choix d’une solution anti-DDoS sont : empêcher que des applications spécifiques soient endommagées, préserver la bande passante et traiter les attaques à haut volume. Ces réponses reflètent le souci de se protéger contre les interruptions accidentelles de sessions légitimes. Des solutions entièrement automatisées, exigeant peu ou pas d’intervention humaine, ne font pas partie des demandes des participants à l’enquête.

– 6. Les solutions anti-DDoS intégrant matériel et ISP et/ou des architectures anti-DDoS sur site sont près de quatre fois plus répandues que des solutions uniquement sur site ou exclusivement de services. La sophistication croissante des attaques par DDoS et la nature sensible des interruptions potentielles de services nécessitent à la fois une protection locale et des protections en amont, travaillant en synchronisation.

– 7. La lutte contre les attaques par DDoS est une responsabilité partagée entre la sécurité informatique et les opérations. Dans ce sondage, pour 60 % des personnes interrogées, la responsabilité est partagée entre la sécurité et les opérations et le reste, est également réparti entre la sécurité ou les opérations. Ce qui indique que la lutte contre les attaques par DDoS est essentiellement considérée et exécutée comme une opération réseau, et non comme une donnée stratégique pour le management.