Protéger les passerelles VPN contre les attaques DDoS en télétravail.

Le recours massif aux technologies d’accès distants tels que les VPN, pendant la crise sanitaire, nécessite un encadrement strict et l’application de mesures de sécurité pour faire face au développement des attaques DDoS. 

Selon une étude réalisée par NortonLifeLock, 21 % des Français ont déclaré avoir détecté un accès non autorisé à l’un de leurs comptes ou à un appareil depuis le début du premier confinement en mars 2020. Avec le développement du télétravail pendant la pandémie de COVID-19, les entreprises s’appuient aujourd’hui fortement sur la connectivité de leur réseau, et les réseaux privés virtuels (VPN) sont désormais largement utilisés pour mener à bien les activités à distance. Cette situation expose pourtant les organisations à des menaces d’attaques par déni de service distribué (DDoS) et la protection des réseaux informatiques prend une importance majeure.

L’adoption du télétravail pendant la crise sanitaire a favorisé l’exploitation par les cybercriminels des vulnérabilités induites par les changements dans les usages numériques, de nombreux utilisateurs n’étant alors plus protégés par une sécurité d’entreprise. Dans la plupart des organisations, les réseaux privés virtuels (VPN) sécurisés constituent de précieux outils pour connecter les employés en télétravail. Ils permettent en effet d’établir un tunnel entre un utilisateur et le réseau d’entreprise, mais également de protéger ce dernier, essentiellement à travers le chiffrement.

Cependant, ces pratiques étaient alors ponctuelles, mais, en raison des confinements imposés par la pandémie, les VPN sont devenus des cibles de choix pour les cybercriminels, qui recourent notamment aux attaques par déni de service distribué (DDoS), plus insidieuses et moins évidentes que des attaques de phishing ou de ransomware pour des non-initiés. Les hackers perturbent ainsi ces points de connectivité et empêchent les employés d’accéder aux applications métier essentielles. D’après nos recherches, 839 083 attaques DDoS par mois ont été référencées en 2020, pour une augmentation de près de 130 000 attaques par rapport à 2019. Nous avons également pu constater que l’utilisation accrue des VPN pendant la pandémie a été à l’origine des interruptions de service subies par 83 % des entreprises victimes d’attaques DDoS en 2020, soit une augmentation de 21 % par rapport à l’année précédente.

Dans ce contexte, différentes mesures sont recommandées afin de défendre plus efficacement ces points d’accès vulnérables contre les cybercriminels. Tout d’abord, la plupart des fournisseurs de logiciels en tant que service (SaaS) utilisent la protection DDoS pour garantir la disponibilité de leurs services. C’est la raison pour laquelle il est judicieux de recourir aux services SaaS pour les applications métier courantes, le partage de contenu, la collaboration et les communications, car ces connexions bénéficient déjà d’une bonne protection. De plus, déployer des systèmes intelligents d’atténuation des attaques DDoS permettra de protéger l’ensemble des ressources des organisations, ainsi que l’infrastructure d’appui telle que la technologie d’accès à distance, contre les attaques DDoS.

Par ailleurs, l’utilisation de liens de transit internet dédiés aux VPN permet de lutter efficacement contre les attaques DDoS. En effet, si ceux-ci ne sont pas associés à des composants, tels que les serveurs DNS ou les sites Web accessibles au public, il sera plus difficile pour les cybercriminels d’empêcher les services IT de réagir au moment où leurs compétences en sécurité sont requises. De plus, il convient de s’assurer que les mécanismes d’accès à distance sont intégrés aux systèmes d’authentification, d’autorisation et de comptabilité de l’organisation, et qu’ils imposent l’utilisation de technologies d’authentification multi-facteurs (MFA) pour l’accès des utilisateurs. Cette vérification des utilisateurs renforcera la protection des accès.

Sachant que les cybercriminels se renseignent sérieusement avant de lancer des attaques DDoS ciblées, il est essentiel de ne pas leur faciliter la tâche. Pour ce faire, il est préférable d’éviter des noms DNS tels que « vpn » pour les concentrateurs, et plutôt se baser sur une convention contenant des informations pratiques pour le personnel opérationnel mais ne divulguant aucun renseignement clé aux malfaiteurs, retardant ainsi leur méfait. Ils perdent donc du temps, et les équipes IT peuvent alors identifier leur activité sur le réseau et les bloquer plus efficacement. Cela garantit par conséquent un environnement de travail serein pour les télétravailleurs, ainsi qu’une productivité sans perturbation pour les organisations.
___________________