Risques cyber
Nouvelles attaques DDoS : pourquoi les RSSI veulent en faire un sujet de gouvernance plutôt que de réseau
Comment faire évoluer la protection DDoS d'un sujet technique vers un véritable levier de continuité d'activité ? C'est la question qui a réuni, chez Alliancy, un peu plus d'une dizaine de responsables cybersécurité issus de secteurs régulés.

Début juillet, Alliancy organisait dans ses locaux une rencontre pour alimenter ses travaux menés sur la transformation des attaques par déni de service. Animée par Djilali Kies, Ecosystem Advisor Alliancy, cette session, en partenariat avec IMS Networks, a permis aux participants de confronter leurs retours d’expérience et leurs pratiques, quels que soient les niveaux de maturité des organisations représentées. Avec un constat à la clé : disposer d'une protection contractuelle ne suffit plus.
Les témoignages réunis ont mis en avant le fait que les grandes organisations disposent désormais, pour la plupart, d'une protection contre les attaques par déni de service distribué (DDoS). Pourtant, peu sont réellement capables de démontrer que ce dispositif résistera aux attaques les plus récentes. Plusieurs participants parlent même d'un « biais de protection » : le sentiment d'être couvert parce qu'un contrat existe, sans avoir réellement éprouvé les procédures, les responsabilités ou les capacités opérationnelles du dispositif.
Une menace qui ne cesse de se transformer
Pour certains RSSI présents lors du dîner-débat, le DDoS demeure un risque relativement maîtrisé, sur un périmètre précis pris en charge par des fournisseurs spécialisés. Mais les retours d'expérience partagés durant la soirée rappellent combien cette perception peut être parfois mise à mal.
Un responsable cybersécurité d'un grand groupe de services a ainsi expliqué que son organisation fait désormais face à un bruit de fond quasi permanent d'attaques DDoS, ponctué d'événements beaucoup plus massifs ayant provoqué des interruptions de service. Pour d'autres participants, le sujet semblait relativement stabilisé jusqu'à ce qu'un incident vienne remettre en question leurs certitudes.
Le RSSI d'un acteur des services financiers est ainsi revenu sur une attaque ayant paralysé son activité pendant plusieurs heures. Au-delà de l'indisponibilité des services numériques, l'incident a eu des répercussions très concrètes : certains clients se sont déplacés physiquement dans les agences, convaincus que l'entreprise avait cessé son activité.
Surtout, les participants rappellent unanimement que les attaques ne se résument plus à de simples vagues de trafic destinées à saturer les infrastructures. Elles ciblent désormais également les couches protocolaires et applicatives afin d'épuiser progressivement les ressources des systèmes. Plus inquiétant encore, plusieurs RSSI rappellent qu'une attaque DDoS peut servir d'écran de fumée pour masquer une tentative d'intrusion plus discrète. Pendant toute la durée d'un incident, la surveillance ne doit donc jamais se limiter à la seule disponibilité des services.
Faire du DDoS un sujet de gouvernance
Au fil des échanges de la soirée, un consensus s’est dessiné : le DDoS ne peut plus être considéré comme le seul problème des équipes réseau. Les participants défendent une approche d'abord pilotée par le risque métier. La première étape consiste à cartographier les services critiques, à mesurer les conséquences d'une indisponibilité et à définir, avec les métiers, les priorités de reprise.
Cette évolution conduit également à clarifier les responsabilités. Si la cybersécurité pilote l'analyse de la menace et la gestion de crise, la remédiation repose largement sur les équipes infrastructures et réseau. Les décisions doivent donc être prises conjointement, dans une gouvernance associant RSSI, DSI et métiers.
Plus largement, plusieurs intervenants rappellent qu'en situation de crise, les arbitrages sur les services à maintenir ou à rétablir relèvent du comité exécutif. Les équipes techniques doivent être en mesure de lui fournir rapidement les éléments nécessaires à une décision éclairée. Le DDoS devient alors un sujet de continuité d'activité bien plus qu'un simple incident d'exploitation.
Des principes d’action à mettre en œuvre
Si répondre aux exigences réglementaires ou disposer d'un contrat avec un prestataire ne garantit en rien la résilience opérationnelle, la véritable différence se joue dans la capacité à tester régulièrement les dispositifs. Les exercices de crise permettent notamment de vérifier que les procédures d'escalade fonctionnent réellement, que les contacts d'urgence sont joignables, y compris en horaires dégradés, et que les différents acteurs savent intervenir lorsque les canaux habituels deviennent eux-mêmes indisponibles. Autant d’exercices qui apparaissent finalement plus riches d'enseignements que de simples tests de charge. Ils permettent d'évaluer l'ensemble de la chaîne de décision et de coordination, bien au-delà de la seule performance technique de la solution retenue.
Sur le plan technique, les échanges confirment également qu'aucune solution unique ne permet aujourd'hui de répondre à toutes les formes d'attaques. Les protections opérateurs restent essentielles pour absorber les attaques volumétriques, mais elles doivent être complétées par des dispositifs capables d'analyser les couches applicatives, comme les WAF ou les CDN spécialisés. Plusieurs participants recommandent ainsi une architecture en profondeur, combinant plusieurs niveaux de protection et adaptée aux risques réellement identifiés. La réduction de la surface d'exposition, le cloisonnement des services accessibles depuis Internet ainsi que le recours à la Cyber Threat Intelligence pour anticiper les campagnes d'attaques figurent également parmi les leviers jugés les plus prometteurs.
Si plusieurs participants ont souligné l'intérêt de privilégier des solutions européennes lorsqu'elles existent, tous convergent sur un point : face à des attaques de très grande ampleur, l'efficacité opérationnelle reste le premier critère de choix. En revanche, cette efficacité ne dispense pas d'une analyse approfondie des dépendances créées tout au long de la chaîne de fournisseurs.





