[EXCLUSIF] La migration vers le cloud est un sujet brûlant depuis plus de cinq ans. Chacun est au courant de la vaste adoption des services cloud par les entreprises de tous types et de toutes tailles.

La nature des services cloud utilisés pour la migration des applications et des données varie, tout comme l’envergure de leurs prestataires – allant de grands acteurs du cloud public ou hybride à des fournisseurs plus petits et plus spécialisés d’applications managées – mais ceux-ci ont généralement en commun à la fois une dépendance à une connexion Internet, pour l’accès au cloud, et une infrastructure mutualisée.

Malheureusement, les attaques par déni de service distribué (DDoS) toujours plus puissantes et plus fréquentes représentent un problème croissant pour les prestataires cloud et les hébergeurs. Une attaque donnée peut ne cibler qu’une application hébergée, mais si l’attaque est d’une intensité suffisante pour saturer la connexion Internet du site d’hébergement elle va impacter tous les autres services hébergés. C’est ce que met en lumière l’étude annuelle sur la sécurité des infrastructures IP mondiales[1], révélant notamment que :

• 61 % des opérateurs de datacenters ou cloud ont enregistré en 2016 des attaques ayant entièrement saturé leur bande passante ;
• 21 % de ces opérateurs ont subi plus de 50 attaques DDoS par mois.

En conséquence, la pression monte sur les prestataires cloud, et sur leurs clients, pour qu’ils mettent en place la protection appropriée contre les attaques DDoS.

Comment protéger les services cloud contre les attaques DDoS ?

Il existe principalement deux solutions pour protéger un service cloud, et son client, contre la menace DDoS :

1) Le client final peut se procurer une infrastructure virtualisée de protection DDoS auprès du fournisseur de son choix et associer celle-ci à un service de protection DDoS proposé par un spécialiste de la sécurité managée. C’est ce même modèle que de nombreuses entreprises utilisent pour protéger les données et applications hébergées dans leurs propres datacenters depuis des années, simplement transposé au cloud. Du point de vue du client final, cela présente l’avantage d’une solution commune, bien connue, employée aussi bien pour les services cloud que pour les autres.

2) L’autre solution consiste, pour le client final, à se procurer – ou à se voir proposer, dans le cadre de l’offre de services de base – une protection DDoS auprès du prestataire cloud. De nombreux FAI ont déployé une infrastructure de détection et de neutralisation des attaques DDoS pour protéger leur propre activité, puis cherché à tirer des revenus de cette capacité en offrant des services managés à leurs clients connectés. Les prestataires de services cloud suivent de plus en plus cet exemple : eux-mêmes doivent se protéger, aussi pourquoi ne pas mettre à profit les équipements et compétences qu’ils ont mis en place pour proposer à leurs clients des services permanents de sécurité à forte valeur ajoutée.

Si ces deux solutions peuvent apporter une protection, celle à privilégier dépendra des besoins du client final par rapport aux capacités de son prestataire de services cloud. Pour ce dernier, cependant, la seconde est manifestement préférable dans la mesure où les opérateurs sont de plus en plus nombreux à proposer explicitement des services de protection DDoS.

Un opérateur ne peut toutefois – généralement – pas offrir ces services tout seul. Les attaques DDoS volumétriques, pouvant dépasser 500 Gbit/s, pose aujourd’hui des problèmes à la plupart des opérateurs cloud (sauf peut-être les plus grands d’entre eux), qui doivent donc faire appel à un service de protection DDoS en amont pour faire face à des assauts de cette ampleur. Les prestataires de ce type de services sont, dans certains cas, les fournisseurs d’équipements pouvant être employés et intégrés au sein de l’environnement cloud afin d’assurer une protection locale, voire entièrement managés, ce qui facilite la mise en place des services.

Une chose est sûre : les opérateurs cloud et leurs utilisateurs ont besoin de mesures appropriées pour protéger la disponibilité de leurs services contre les attaques DDoS. L’étude fait apparaître un bond significatif de la proportion des opérateurs de datacenters ou cloud ayant enregistré un manque à gagner en 2016 en raison d’une attaque DDoS, or cela n’est pas une fatalité. Il est en effet possible de déployer des technologies et procédures de défense adaptées qui peuvent même générer de nouvelles sources de revenus pour les opérateurs cloud.

[1] (WISR, Worldwide Infrastructure Security Report)