L’ampleur des attaques DDoS a été multipliée par 50 en 10 ans. C’est ce qu’indique la dixième étude annuelle d’Arbor Networks sur la sécurité des infrastructures IP mondiales.

Principalement une simple nuisance et rien de plus que des événements isolés il y a encore dix ans, les attaques par déni de service distribué[1] (DDoS) représentent aujourd’hui une menace très sérieuse pour la continuité de l’activité et les résultats financiers des entreprises. Ce phénomène fait désormais partie intégrante de campagnes malveillantes avancées, complexes et souvent de longue haleine. 90 % des responsables interrogés ont été confrontés à des attaques applicatives en 2014. Il y a dix ans, une proportion identique citait de simples attaques de type flood « force brute » comme la menace la plus courante.

Le facteur humain conserve son importance dans les capacités défensives, de nos jours comme tout au long des dix années étudiées successivement par l’enquête WISR (Worldwide Infrastructure Security Report). Rien que pour l’an dernier, 54 % des participants font état de difficultés à recruter et garder du personnel qualifié dans leurs équipes de sécurité.

Depuis dix ans, Arbor Networks réalise son enquête WISR depuis maintenant 10 ans et suit l’évolution d’Internet et son utilisation depuis les débuts de la mise en ligne des contenus jusqu’à la société hyperconnectée actuelle. En 2004, le monde des entreprises était à l’affût de « vers auto-propagateurs » comme Slammer et Blaster, qui avaient dévasté les réseaux l’année précédente, explique le rapport. Les fuites de données étaient le plus souvent le fait d’employés ayant directement accès aux fichiers.

Aujourd’hui, les entreprises font face à un éventail de menaces bien plus large et sophistiqué, tandis que l’écosystème à défendre contre les attaques s’est nettement étendu. L’impact d’une attaque qui fait mouche ou d’une fuite d’information peut se révéler catastrophique, tant les enjeux liés à l’usage d’internet sont beaucoup plus importants à présent. L’envergure, la complexité et la fréquence des attaques ne cessent d’augmenter, leurs principales cibles étant les infrastructures des entreprises et les data centers. L’attaque la plus intense signalée en 2014 a atteint 400 Gbit/s, suivie d’attaques à 300, 200 et 170 Gbit/s et de six autres qui dépassent les 100 Gbit/s. Il y a dix ans, le maximum était de 8 Gbit/s.

27 Arbor1

L’étude constate l’omniprésence des attaques DDoS multivecteurs et applicatives : 90 % des responsables interrogés font état d’attaques applicatives et 42 % d’attaques multivecteurs combinant des techniques volumétriques, applicatives et de type « state exhaustion » dans le cadre d’un même assaut soutenu. De même, la fréquence des attaques DDoS s’est significativement élevée : en 2013, à peine un quart de responsables interrogés indiquaient avoir observé plus de 21 attaques par mois ; en 2014, ce pourcentage a quasi doublé (38 %).

Les entreprises sont ciblées mais pas vraiment préparées

Les menaces DDoS et avancées sont de plus en plus courantes : près de la moitié des responsables interrogés ont été témoins d’attaques DDoS pendant la période étudiée et près de 40 % ont vu leur connexion Internet saturée. Les firewalls et systèmes de prévention d’intrusion (IPS) continuent d’être les cibles d’attaques. Plus d’un tiers des entreprises indiquent que ces équipements ont subi une défaillance ou contribué à une panne pendant une attaque DDoS.

Les incidents de sécurité se multiplient mais les entreprises ne sont pas totalement prêtes à y répondre. Un peu plus d’un tiers des participants à l’enquête rapportent une recrudescence des incidents de sécurité cette année et la moitié d’entre eux des niveaux comparables à l’année précédente. 40% des responsables interrogés s’estiment raisonnablement ou bien préparés pour un incident de sécurité.

27 Arbor427 Arbor2

 

Méthodologie de l’enquête
Cette enquête a été réalisée à partir de 300 réponses provenant d’un panel d’opérateurs Tier 1 et Tier 2 ou 3, d’hébergeurs, d’opérateurs mobiles, de grandes entreprises et d’autres types d’opérateurs réseau à travers le monde. Plus de 60 % des responsables interrogés cette année sont des fournisseurs d’accès et environ 30 % appartiennent aux secteurs de l’entreprise, de l’enseignement ou de l’administration, offrant par conséquent une vision globale du trafic et des menaces qui ciblent leurs réseaux, leurs services et leurs utilisateurs. La période étudiée va de novembre 2013 à octobre 2014.

 

 

___________
[1] A DDoS attack is a method an attacker uses to deny access for legitimate users of an online service. This service could be a bank website, e-commerce site, SaaS application or any other type of network service. (Some attacks even target the VoIP infrastructure.) An attacker uses a non-trivial amount of computing resources (either that they have built themselves or more commonly have obtained by compromising vulnerable PCs around the world) to send “bogus” traffic to a site. If the attacker sends enough traffic, legitimate users of a site can’t be serviced (APPROACHES TO DDoS PROTECTION)