La pandémie de coronavirus qui sévit actuellement a entraîné une croissance du trafic web de près de 40 %, en raison de l'essor du télétravail et de l'augmentation du volume des activités en ligne. Cette hausse s'est accompagnée d'une prolifération simultanée des cyberattaques de toutes tailles, car les services de sécurité ne disposaient pas des outils, des ressources et de la visibilité nécessaires pour détecter et pallier les lacunes des infrastructures de protection. Ce phénomène a laissé les entreprises vulnérables à diverses menaces visant la couche applicative et la couche réseau.
Deux tendances principales ont émergé au cours de cette période.
Les vecteurs d'attaque s'avèrent plus diversifiés. Outre les attaques courantes (comme les attaques DDoS, les injections SQL, le Cross-Site Scripting et le bourrage d'identifiants), les acteurs malveillants ont rapidement trouvé d'autres vulnérabilités à exploiter. Ils s'en sont pris aux entreprises vulnérables en employant diverses tactiques, parmi lesquelles les attaques DDoS avec demande de rançon (RDDoS), les attaques de bots IdO, les attaques par amplification QUIC et d'autres techniques d'attaques innovantes, dont la popularité s'est accrue avec l'intensification des efforts visant à mettre hors service les sites web des entreprises, à leur faire payer des rançons exorbitantes et à nuire à la réputation de leurs marques.
L'essor de l'Internet des objets (IdO) s'est accompagné d'une hausse subséquente des attaques par botnets IdO. Contraints de lancer leurs produits les plus populaires en ligne, les revendeurs se sont retrouvés confrontés à un déferlement de bots qui leur ont soutiré des informations concernant leur inventaire ou ont effectué des achats frauduleux en prenant la place des vrais acheteurs. D'autres attaques ont été lancées par l'intermédiaire de protocoles fondés sur UDP, par exemple lorsque des pirates se sont attaqués aux utilisateurs de TeamSpeak (un logiciel de communication vocale sur Internet par VoIP permettant aux joueurs de discuter entre eux) afin de faire baisser leurs scores.
Les attaques se révèlent désormais plus complexes. La fréquence des cyberattaques a augmenté l'année passée, tout comme le nombre d'attaques à vecteurs multiples. Les attaques les plus sophistiquées ne sont pas nécessairement les plus longues ou les plus volumineuses, mais celles qui s'appuient sur la répétition, font appel à des bots perfectionnés ou multiplient les tactiques et les points d'entrée (souvent sur plusieurs couches différentes du modèle OSI) afin d'échapper aux systèmes de détection et de protection contre les menaces. Ce constat implique ainsi que les services de sécurité des entreprises peuvent mettre plus de temps à découvrir les attaques et à y remédier, avec pour résultat immédiat des pertes de données, une dégradation de l'expérience client et une augmentation des coûts.
Selon le Data Breach Investigations Report (rapport d'enquête sur les violations de données) publié par Verizon, les applications web demeurent l'un des principaux vecteurs d'attaques exploitant les vulnérabilités, mais aussi les identifiants volés, les backdoors et les fonctionnalités C² (Command-and-Control). Cette tendance devrait d'ailleurs se poursuivre dans la mesure où les entreprises migrent de plus en plus leurs applications et leurs données vers le cloud, disposent d'effectifs en télétravail plus importants et connaissent des pics de trafic web plus fréquents.
Une stratégie de sécurité web efficace et proactive doit s'adapter aux évolutions du paysage des menaces visant les applications afin de permettre aux entreprises d'anticiper et d'atténuer les attaques dès leur apparition.
L'approche traditionnelle en matière de sécurité des applications web repose sur plusieurs solutions dédiées, reconnues comme les plus performantes. On retrouve généralement parmi ces dernières l'atténuation des attaques DDoS, l'atténuation des attaques par bots malveillants, la protection des API et les pare-feu d'applications web (WAF), chacune de ces solutions étant, par ailleurs, conçue spécifiquement pour combattre les vecteurs d'attaque qui croisent son chemin.
Toutefois, plutôt que de superposer les solutions afin d'obtenir une meilleure défense, la mise en œuvre de solutions de sécurité isolées pose souvent des problèmes de visibilité et génère des tensions au sein de services de sécurité déjà très sollicités :
Visibilité : le recours à des solutions dédiées issues de différents fournisseurs nuit souvent à la visibilité et peut engendrer des failles de sécurité. Les attaques lancées contre les applications web et les API peuvent nécessiter la protection cumulative offerte par plusieurs produits dédiés, quand un produit unique serait dépassé. Ainsi, pour détecter et atténuer une attaque reposant sur le bourrage d'identifiants, il peut s'avérer nécessaire de recourir à la fois à un pare-feu WAF, à une solution d'atténuation des bots et à un dispositif de sécurité des API. Sans la possibilité de gérer facilement les solutions de sécurité et de surveiller l'ensemble du trafic, des points de terminaison et des activités de navigation à partir d'un panneau de contrôle unique, les services de protection ne se révèlent pas toujours capables de détecter les anomalies à l'avance ou de lutter contre les attaques de type zero day.
Contraintes supplémentaires : face au contexte d'accroissement constant des attaques en termes de volume et de complexité, la lutte contre ces dernières nécessite de recourir à une liste toujours plus longue de solutions dédiées, dont beaucoup ne pourront pas être intégrées. En outre, le cumul de plusieurs services s'avère coûteux en temps et en argent. L'entretien d'une multitude de solutions de sécurité différentes peut donc faire peser des contraintes inutiles sur les entreprises, surtout si leurs fonctionnalités se recoupent.
Le patchwork de solutions ponctuelles ne répond plus aux besoins des entreprises modernes. Face à l'émergence de nouveaux vecteurs et à l'augmentation de la fréquence et de la sophistication des attaques, les entreprises ont besoin d'une plateforme de protection des applications web à la fois fiable et intégrée, qui regroupe les principaux mécanismes des solutions d'atténuation des attaques DDoS, de pare-feu d'applications web (WAF), de protection des API et de gestion des bots.
Mais que signifie véritablement cette notion d'intégration et quels sont les avantages de ce type de stratégie face à la complexité et à l'évolution du paysage des menaces ?
Correctement mise en œuvre, une plateforme de sécurité intégrée superpose des solutions qui se complètent et se renforcent mutuellement, au lieu d'engendrer des failles susceptibles de laisser les points de terminaison vulnérables aux attaques. Les fournisseurs doivent s'assurer de la compatibilité de chaque outil avec les autres afin de leur permettre de détecter et de contrer facilement les divers vecteurs d'attaque, tout en partageant des informations permettant d'améliorer les mécanismes de prévention des menaces. Chaque menace rencontrée participe donc au renforcement des capacités de blocage du système dans son ensemble.
Les plateformes intégrées présentent plusieurs autres avantages par rapport aux empilements de solutions dédiées, même lorsque ces dernières sont considérées comme les meilleures de leur catégorie :
Une sécurité exhaustive, sans faille. Les solutions intégrées de sécurisation des applications web doivent fonctionner de concert afin de couvrir l'intégralité des surfaces d'attaque, quelles que soient les tactiques employées par les acteurs malveillants.
Une meilleure visibilité. Une solution de sécurisation des applications web véritablement intégrée regroupe plusieurs solutions en une seule. Les services de sécurité bénéficient ainsi d'un contrôle intégral et d'une visibilité totale sur chaque aspect de leur niveau de sécurité.
Une gestion simplifiée. Les opérations de gestion et de modification des outils de génération de rapports, des règles de pare-feu, des alertes d'attaque et des journaux doivent s'effectuer au même endroit, afin de permettre aux équipes de sécurité de détecter et de neutraliser les menaces dès leur apparition.
La firme Frost & Sullivan a récemment réalisé l'évaluation des solutions de sécurité de 10 fournisseurs de services cloud afin d'aider les entreprises à mieux choisir leurs plateformes intégrées de sécurisation des applications web. Chaque fournisseur a ainsi été évalué en fonction de la qualité de son offre de « protection web holistique », qui regroupe des services d'atténuation des attaques DDoS, de gestion des bots et des pare-feu d'applications web (WAF). Ces solutions travaillent ensuite de concert afin de garantir la disponibilité, la confidentialité et la sécurité des applications web et des données qu'elles acheminent.
Cloudflare a été reconnue comme entreprise leader en matière d'innovation pour sa capacité à sécuriser les applications web à l'aide de son réseau périphérique mondial composé de plus de 330 datacenters.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Cet article vous permettra de comprendre les points suivants :
Les facteurs menant aux soudaines explosions du nombre de cyberattaques
Les deux tendances émergentes en matière d'attaques
Les défis liés à une approche traditionnelle de la sécurité des applications web
Les raisons pour lesquelles la protection web holistique constitue la nouvelle norme
Livre blanc : cinq bonnes pratiques en matière d'atténuation des attaques DDoS
La plateforme de sécurité des applications web de Cloudflare
Découvrez ces résultats plus en détail dans le rapport Frost Radar: Global Holistic Web Protection Market (rapport Frost Radar sur le marché de la protection web holistique mondiale).