Un nouveau modèle de sécurisation des infrastructures réseau accessibles au public
Mettre en œuvre une défense en profondeur grâce à une solution de sécurité dans le cloud
Les acteurs malveillants s'attaquent de plus en plus fréquemment aux infrastructures réseau accessibles au public. Début 2024, les attaques par déni de service distribué (DDoS) basées sur DNS, qui constituent une menace de longue date pour cette infrastructure, ont augmenté de 80 % par rapport à l'année précédente. Pendant un an, les attaques DDoS avec demande de rançon ont également connu des augmentations consécutives d'un trimestre à un autre. Globalement, au milieu de l'année 2024, on constate une augmentation de 20 % du nombre d'attaques DDoS par rapport à l'année précédente.
Ces attaques constituent un risque pour une multitude d'applications et de services essentiels, qu'il s'agisse d'applications mobiles ou de portails partenaires accessibles aux clients, de services VPN ou de plateformes de messagerie. Au-delà de leur capacité à perturber les activités des entreprises, les différents types d'attaques DDoS peuvent entraîner d'importantes violations de données.
Les pare-feu physiques traditionnels et les autres applications sur site peinent à suivre le rythme de l'évolution des menaces. Ces systèmes présentent des limitations critiques, susceptibles de rendre les entreprises vulnérables, tout en compliquant la gestion de la sécurité.
Pour protéger les infrastructures réseau accessibles au public, les entreprises doivent évoluer au-delà de ces systèmes traditionnels. Les entreprises qui ont adopté des stratégies de sécurité modernes, dans le cloud, parviennent plus efficacement à arrêter les attaques et à préserver le bon fonctionnement de cette infrastructure vitale.
Les limites des équipements de sécurité matériels
Les entreprises doivent aujourd'hui protéger leur infrastructure réseau accessible au public contre une multitude de menaces variées. Des acteurs malveillants peuvent exécuter des opérations de reconnaissance et des analyses de ports afin de tenter d'identifier des vulnérabilités, qu'ils peuvent ensuite exploiter avant qu'un correctif ne soit développé ou installé.
De nombreuses entreprises sont également confrontées à différents types d'attaques DDoS. Les attaques DDoS volumétriques, par exemple, acheminent un volume écrasant de trafic à traiter. Les attaques DDoS protocolaires utilisent des techniques telles que les attaques SYN Flood pour submerger le nombre de sessions. Enfin, les attaques DDoS sur la couche application utilisent la communication avec les protocoles de la couche application pour provoquer un déni de service.
Les solutions matérielles, à l'image des pare-feu traditionnels, ne peuvent offrir une défense adéquate contre ces menaces. Premièrement, elles disposent d'une visibilité limitée : elles ne permettent pas de visualiser l'ensemble du trafic de l'entreprise.
Deuxièmement, leur capacité est limitée et inélastique ; elles ne peuvent donc pas évoluer facilement pour faire face aux menaces volumétriques. Pour prendre un exemple, en février 2023, Cloudflare a détecté des dizaines d'attaques DDoS hyper-volumétriques. L'attaque la plus volumineuse a dépassé de 71 millions de requêtes par seconde ; il s'agissait, à l'époque, de l'attaque la plus vaste jamais enregistrée. Les attaques ciblaient un célèbre fournisseur de jeux vidéo, des sociétés spécialistes des cryptomonnaies, des fournisseurs d'hébergement et des plateformes d'informatique cloud. La plupart des attaques volumétriques ne sont pas aussi massives, mais les solutions matérielles traditionnelles ne sont pas en mesure de faire face à des attaques volumétriques d'ampleur bien moindre.
Pour compenser les limitations de leurs pare-feu, les entreprises font souvent le choix d'ajouter des « contrôles auxiliaires pour pare-feu ». Elles peuvent notamment déployer des équipements sur site afin de protéger les applications, par exemple, un pare-feu d'applications web (Web Application Firewall, WAF). Elles peuvent également ajouter des centres de nettoyage permettant de filtrer le trafic avant qu'il n'atteigne l'entreprise, ou utiliser le filtrage par le FAI pour absorber le trafic lié à une attaque.
Cependant, ces contrôles auxiliaires introduisent d'autres problèmes spécifiques. Ils peuvent notamment dégrader les expériences des utilisateurs et ajouter davantage de complexités liées à la gestion. Si les contrôles auxiliaires sont mis en œuvre sous la forme d'équipements physiques, ils sont également susceptibles de présenter le même problème que les pare-feu physiques : ils sont incapables d'évoluer de manière adéquate pour arrêter les attaques de grande ampleur.
Mettre en œuvre une défense en profondeur grâce à une solution de sécurité dans le cloud
La protection des infrastructures réseau accessibles au public devient plus performante lorsqu'elle est fondée sur une stratégie de sécurité multicouche ou de défense en profondeur. L'une de ces couches doit assurer le filtrage du trafic entrant avant qu'il n'atteigne l'infrastructure réseau de l'entreprise. Toutefois, ce filtrage ne doit pas être assuré par un équipement matériel statique ; Il doit être capable d'évoluer dynamiquement, afin de pouvoir absorber même les attaques d'ampleur mondiale les plus vastes.
Une solution de sécurité dans le cloud peut fournir des ressources plus élastiques et évolutives, et ainsi, offrir une protection contre ces menaces. Plus précisément, un cloud de connectivité, réunissant des services cloud-native de sécurité et de connectivité réseau sur une plateforme unifiée, peut fournir une combinaison de fonctionnalités pertinente, permettant la mise en œuvre d'une stratégie multicouche moderne.
Le réseau mondial sur lequel repose un cloud de connectivité constitue la première ligne de défense d'une infrastructure réseau accessible au public. Le réseau peut diffuser et absorber le trafic lié aux menaces, tout en offrant aux entreprises une meilleure visibilité des menaces auxquelles elles sont confrontées. À titre d'exemple, Cloudflare dispose d'une capacité réseau de 321 Tbps, considérablement supérieure aux attaques DDoS les plus vastes jamais observées.
Cloudflare a également atténué des attaques DDoS caractérisées par des débits de paquets et taux de requêtes HTTP extrêmement élevés. Au mois de septembre 2024, par exemple, Cloudflare a atténué plus d'une centaine d'attaques DDoS hyper-volumétriques, dont beaucoup se caractérisaient par des débits dépassant 2 milliards de paquets par seconde et 3 térabits par seconde (Tb/s). L'attaque la plus volumineuse a atteint un pic de 3,8 Tb/s.
Un cloud de connectivité peut également proposer des services de sécurité supplémentaires, disponibles à la périphérie, permettant de déployer une défense en profondeur. Les pare-feu et les services de filtrage des attaques DDoS offrent une protection contre les menaces connues et émergentes, et notamment contre les attaques volumétriques. Les services de sécurité des applications protègent les applications et les API contre les attaques DDoS, les exploitations de vulnérabilités, les attaques contre la chaîne logistique, les bots et la fraude.
La nature composable des services du cloud de connectivité procure une agilité et une flexibilité indispensables. Les entreprises peuvent ajouter ou ajuster des services de sécurité, selon les besoins, afin de se défendre contre les nouvelles menaces et d'étendre leur stratégie Zero Trust.
Poursuivre les transformations des réseaux et de la sécurité
Une infrastructure réseau accessible au public est essentielle pour les entreprises modernes ; elle reste cependant vulnérable à des menaces auxquelles les solutions matérielles, basées sur des équipements physiques, ne peuvent pas répondre de manière adéquate. L'adoption d'un cloud de connectivité en tant que fondation d'une stratégie multicouche, reposant sur le cloud, peut aider votre entreprise à surmonter les limites des solutions traditionnelles. Cette approche vous permet de filtrer et bloquer une multitude de menaces, et ainsi, de protéger efficacement l'infrastructure réseau, tout en satisfaisant aux exigences spécifiques à un réseau accessible au public.
La migration de votre réseau accessible au public depuis des équipements de sécurité traditionnels vers une solution de sécurité dans le cloud peut également vous aider à mettre en œuvre des transformations plus importantes de votre réseau et votre sécurité. La migration d'une part croissante de fonctionnalités de connectivité réseau et de sécurité dans le cloud vous permet de bénéficier d'une plus grande flexibilité pour connecter votre personnel, vos applications et vos réseaux. Elle vous permet également d'intégrer plus facilement de nouvelles fonctionnalités de sécurité, afin de protéger votre réseau contre des menaces toujours changeantes. Au final, ces transformations peuvent contribuer à renforcer l'agilité opérationnelle et encourager l'innovation, tout en maîtrisant la complexité informatique.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Pour découvrir comment un cloud de connectivité peut protéger les infrastructures réseau accessibles au public, consultez le livre blanc Comprendre le rôle de la protection des réseaux mise en œuvre depuis le cloud.
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
Les principales menaces pesant sur les infrastructures réseau accessibles au public
Les limites des pare-feu matériels
Pourquoi une solution de sécurité dans le cloud peut offrir une protection plus efficace des réseaux accessibles au public