Le Cybersecurity Maturity Model Certification (CMMC) est un framework conçu pour protéger les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI) telles que définies par l’Ordre Exécutif 13556, partagées avec les sous-traitants (ou fournisseurs) du Département de la Défense (DoD) dans le cadre de programmes d’acquisition.

La règle proposée pour le CMMC 2.0, publiée le 26 décembre 2023, représente la dernière évolution du modèle de cybersécurité CMMC.

Le 27 juin 2024, après avoir traité près de 2 000 commentaires suite à une période de consultation publique de 60 jours, le DoD a soumis un projet de la Règle Finale CMMC 2.0 (32 CFR) au Bureau de la gestion et du budget (OMB) à la Maison Blanche, suggérant qu’elle devrait entrer en vigueur à la fin du T3 ou début du T4.

Comme cela représente la dernière étape avant que la règle ne soit publiée dans le Federal Register, les regards se tournent vers la chronologie de l’entrée en vigueur de la réglementation.

Avant d’aborder cette question, il est essentiel de comprendre que les exigences de sécurité sur lesquelles le niveau 2 du CMMC 2.0 est fondé (NIST SP 800-171) sont obligatoires pour les sous-traitants du DoD manipulant des informations sensibles depuis décembre 2017, date à laquelle la clause DFARS 252.204-7012 a été incluse dans les contrats du DoD. Cependant, pendant cette période, la conformité reposait principalement sur l’auto-attestation sans mécanisme de contrôle robuste, empêchant ainsi le DoD de vérifier la conformité. En conséquence, de nombreux sous-traitants du DoD ont négligé de mettre en œuvre pleinement les contrôles requis.

Pour remédier à ce problème, le DoD a lancé le programme CMMC, qui sert essentiellement de mécanisme par lequel le DoD vérifiera la conformité avec les exigences énoncées dans la clause DFARS 252.204-7012 (NIST SP 800-171), mandatées dans les contrats depuis 2017.

Comme le dit le DoD : « Une différence clé entre les exigences de la clause DFARS 252.204-7012 et celles du niveau 2 du CMMC est que la conformité avec le NIST SP 800-171 sous DFARS 252.204-7012 n’a pas été systématiquement vérifiée. Avec le CMMC, la conformité sera vérifiée par des évaluateurs tiers indépendants certifiés par le DoD. »

Le changement significatif introduit par le CMMC est que les sous-traitants du DoD devront obtenir une certification par le biais d’évaluations menées par une Organisation d’Évaluation Tiers CMMC (C3PAO) pour démontrer leur conformité afin de conserver et de sécuriser les contrats du DoD.

Chronologie du processus réglementaire CMMC 

La chronologie réglementaire CMMC est résumé ci-dessous à partir des informations publiquement disponibles en date du 17 juillet 2024.

Comme pour toutes les réglementations fédérales, le CMMC nécessite une base légale pour sa mise en œuvre. Par conséquent, pour déterminer quand la réglementation CMMC 2.0 entrera en vigueur, nous devons comprendre le processus de réglementation derrière le CMMC 2.0, qui implique deux règles du Code des règlements fédéraux : 32 CFR et 48 CFR.

Pour que le CMMC 2.0 entre en vigueur, deux conditions doivent être remplies :

1. La règle finale du 32 CFR CMMC doit entrer en vigueur. Cela formalisera le programme CMMC et permettra le début des évaluations tierces du CMMC, connu sous le nom de « market rollout ».

La règle finale CMMC du 32 CFR devrait être publiée au plus tard le 26 octobre 2024, après un examen par l’OIRA pouvant durer jusqu’à 120 jours, et entrera en vigueur environ 60 jours plus tard, soit fin T3 ou début T4 2024.

2. La règle finale du 48 CFR CMMC doit entrer en vigueur. Cela révisera la clause DFARS 252.204-7021 pour pointer vers le programme CMMC (32 CFR), introduisant ainsi progressivement la conformité au CMMC comme clause contractuelle sur 3 ans, connu sous le nom de « phased rollout ».

La règle du 48 CFR a été soumise à l’OIRA (Office of Information and Regulatory Affairs) en mai 2024. Après une revue réglementaire de 90 à 120 jours et une période initiale de consultation de 60 jours, la règle proposée fera l’objet d’une autre période de consultation de 60 jours, suivie d’un processus de révision et d’adjudication de la règle finale, estimé entre 150 et 280 jours ouvrables. La règle finale devrait entrer en vigueur vers le T3 ou le T4 de 2025, mais elle pourrait être adoptée plus tôt, car elle révise une clause existante (la clause DFARS 252.204-7021).

Le 32 CFR est le coup de départ pour la course au CMMC

Alors que la date d’entrée en vigueur de la Règle Finale du 48 CFR (prévue au T3 ou T4 2025) déterminera quand la réglementation CMMC 2.0 sera obligatoirement intégrée dans les contrats, connue sous le nom « phased rollout », il est erroné de considérer que l’étape cruciale marquant le début de la course au CMMC est la date d’entrée en vigueur du 48 CFR.

En réalité, le coup d’envoi de la course au CMMC sera déterminé par la date d’entrée en vigueur de la Règle Finale du 32 CFR (prévue fin T3 ou début T4 2024), et non par la Règle Finale du 48 CFR.

En effet, la Règle Finale du 32 CFR déclenchera le « market rollout », ce qui permettra le début des évaluations CMMC. Une fois ces évaluations disponibles, les « prime contractors » (ex : Lockheed Martin, Boeing, Raytheon) exigeront probablement que les sous-traitants obtiennent la certification CMMC dès que possible, bien avant que le DoD ne le fasse par le biais du « phased rollout », pour maintenir leur avantage concurrentiel et réduire le risque que des fournisseurs non certifiés compromettent leur statut de certification.

Le phénomène de « Midnight Rulemaking » et CMMC 2.0

Au cours des 6 derniers mois, il y a eu une accélération notable dans le processus réglementaire CMMC. Cela est évident à travers plusieurs jalons importants, notamment la proposition d’un CFR CMMC en décembre 2023, la soumission d’une proposition de règle 48 CFR à l’OIRA en mai 2024, et plus récemment, la soumission de la règle finale 32 CFR à l’OIRA en juin 2024. Ce phénomène est souvent désigné sous le nom de « Midnight Rulemaking », qui décrit la précipitation pour finaliser les réglementations dans les derniers mois avant la fin d’une administration présidentielle.

Ainsi, si nous anticipons que la règle finale 32 CFR sera finalisée et entrera en vigueur à la fin du T3 ou au début du T4 2024, étant donné la forte motivation du Département de la Défense à achever les réglementations CMMC avant les élections américaines de 2024, il y a une très forte possibilité qu’elle entre en vigueur avant le 5 novembre 2024.

Pourquoi ne faut-il pas attendre le coup d’envoi pour commencer votre parcours de conformité CMMC ?

Le DoD anticipe qu’il faudra deux ans pour que les entreprises ayant des contrats existants deviennent certifiées CMMC, en supposant qu’elles aient déjà mis en œuvre les exigences du NIST SP 800-171 Rev. 2, comme mandaté par la clause DFARS 252.204-7012. Cette chronologie prolongée est due à plusieurs facteurs :

1. Une fois le 32 CFR en vigueur, les évaluations tierces du CMMC pour le niveau 2 du CMMC commenceront. Les organisations devront atteindre un résultat de 100% à l’auto-attestation avant de subir une évaluation. Cette phase préparatoire demandera un temps et des efforts significatifs.
2. En moyenne, les organisations nécessitent entre 12 et 18 mois à se préparer pour une évaluation de niveau 2 du CMMC.
3. En raison d’une pénurie d’évaluateurs CMMC, les organisations peuvent s’attendre à devoir patienter environ 9 à 15 mois (3 à 5 trimestres) pour une évaluation du CMMC.

Par conséquent, pour être prêtes aux futures opportunités de contrat du DoD et maintenir un avantage concurrentiel, il est recommandé aux organisations de commencer dès aujourd’hui leur processus de conformité au CMMC.

N’hésitez pas à nous contacter pour discuter de votre parcours CMMC avec nous et découvrir comment #Wavestone peut vous aider à naviguer dans le paysage complexe de la conformité au CMMC 2.0, soutenant votre chemin vers la certification et transformant votre posture cybersécurité en un avantage stratégique.

Nous proposons les services d’accompagnement à la conformité CMMC 2.0 suivants :

1. Identification des CUI :
   • Nous vous aidons à identifier les Informations Non Classifiées Contrôlées (CUI) au sein de votre organisation pour garantir la conformité aux exigences du CMMC.
2. Identification du périmètre CMMC :
   • Nous vous aidons à définir et à minimiser votre périmètre CMMC pour rester rentable et pragmatique. En identifiant clairement le périmètre, nous nous assurons que tous les systèmes et processus nécessaires sont inclus tout en évitant la complexité et les coûts inutiles.
3. Analyse des écarts CMMC Niveau 1 et Niveau 2 :
   • Nos experts réalisent des analyses des écarts pour les niveaux CMMC 1 et 2, évaluant votre état actuel par rapport aux objectifs d’évaluation respectifs (NIST SP 800-171A) afin de vous fournir des recommandations pragmatiques.
4. Définition de la feuille de route de conformité CMMC :
   • Nous travaillons avec vous pour définir une feuille de route claire pour atteindre la conformité CMMC, adaptée à vos besoins, que ce soit pour les scénarios de « clusters CMMC » ou « full-in ».
5. Support à la mise en œuvre CMMC :
   • Nous vous fournissons des conseils et un soutien tout au long de la phase de mise en œuvre, vous aidant à intégrer efficacement les contrôles requis pour atteindre la conformité CMMC.

Cet article Mise à jour : Chronologie de la Réglementation CMMC 2.0 et le Phénomène du « Midnight Rulemaking » est apparu en premier sur RiskInsight.

Ces incidents, communément appelés « attaques de la chaîne d’approvisionnement« , impliquent de cibler les tiers en aval d’une organisation (par exemple, les partenaires, les fournisseurs) pour accéder à des systèmes précieux. Dans le cas de la Bank of America, le tiers compromis responsable de cette violation était Infosys McCamish Systems (IMS), un fournisseur de services de gestion des processus d’assurance.

Cette violation de données fait écho à la tristement célèbre cyberattaque SolarWinds, où les pirates informatiques de Nobelium ont inséré un code malveillant dans la plateforme SolarWinds Orion. Cela leur avait ainsi permis de s’infiltrer dans de nombreux systèmes gouvernementaux, y compris ceux du Département de la sécurité intérieure des États-Unis, du Département d’État, du Commerce et du Trésor, ainsi que des systèmes privés dans le monde entier.

Les architectures informatiques des entreprises n’étant que le reflet de leur réseau complexe de relations commerciales, ces événements nous rappellent brutalement que les organisations ne sont pas des entités isolées, mais plutôt des nœuds de partenaires et de tiers interconnectés et interdépendants. L’atteinte d’une posture de cybersécurité robuste nécessite plus que des efforts individuels ; elle nécessite de cultiver un écosystème sécurisé de partenaires de confiance soigneusement vérifiés pour protéger efficacement toute la chaîne d’approvisionnement nécessaire à la livraison des produits #TPRM.

Cependant, la construction d’un tel écosystème pose des défis. De nombreuses entreprises manquent de ressources pour choisir exclusivement des tiers de premier plan, à la pointe et de confiance ou peuvent manquer de levier pour exiger la transparence de la part des partenaires existants.

Tirant des leçons de la cyberattaque SolarWinds, et dans un contexte de tensions géopolitiques accrues (voir les cyberattaques chinoises sur l’infrastructure américaine à une échelle sans précédent), le Département Américain de la Défense (DoD) a reconnu ce défi et a répondu en développant une solution pour sécuriser l’écosystème de la chaîne d’approvisionnement de la Base Industrielle de Défense (DIB), appelée CMMC.

Le modèle de certification de maturité en cybersécurité (#CMMC) est un cadre exhaustif conçu pour protéger les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI), partagées avec les entrepreneurs et sous-traitants du Département de la Défense (DoD) via des programmes d’acquisition.

La publication de la proposition de règlement CMMC 2.0, le 26 décembre 2023, représente la dernière évolution du modèle de cybersécurité CMMC, destiné à remplacer le précédent CMMC 1.0 par une approche plus pragmatique. Suite à sa publication, la réglementation proposée a fait l’objet d’une période de consultation de 60 jours, qui s’est achevée le 26 février 2024. La nouvelle réglementation devrait être finalisée d’ici fin 2024 ou début 2025.

Le CMMC 2.0 vise à protéger les informations sensibles de sécurité nationale en protégeant les informations non classifiées sensibles de la base industrielle de défense (DIB) contre des cyberattaques fréquentes et de plus en plus complexes. Il rationalise les exigences en trois niveaux de conformité et aligne les exigences à chaque niveau sur les normes de cybersécurité du NIST bien connues et largement acceptées. Les exigences de sécurité spécifiques et les types d’évaluation (auto-évaluation, évaluation par un tiers ou évaluation par le DoD) varient en fonction du niveau.

• Fondamental (Niveau 1) : cible les organisations manipulant des FCI (par exemple, des rapports de performance de contrat, des organigrammes). La conformité exige le respect strict des 15 exigences de sécurité énoncées dans la clause FAR 52.204-21, via une auto-évaluation annuelle.
• Avancé (Niveau 2) : cible les organisations manipulant des CUI, y compris des informations techniques contrôlées, des informations de sécurité d’infrastructure critique du DoD, des informations sur la propulsion nucléaire navale, et des informations personnellement identifiables (PII). La conformité exige le respect de 110 exigences de sécurité basées sur le NIST SP 800-171 Rev. 2. Les évaluations sont effectuées par des organisations tierces connues sous le nom d’Organisations d’Évaluation Tierce Partie CMMC (C3PAO) tri-annuellement ou via une auto-évaluation annuelle, en fonction de la sensibilité des CUI sous-jacentes.
• Expert (Niveau 3) : cible les organisations manipulant des CUI pour les programmes du DoD avec la plus haute priorité. La conformité implique le respect des 110 exigences de sécurité basées sur le NIST SP 800-171 Rev 2 et 24 exigences de sécurité supplémentaires basées sur le NIST SP 800-172. Ces organisations subissent des évaluations tri-annuelles menées par le Centre d’Évaluation de la Cybersécurité de la Base Industrielle de la Défense du DoD (DIBCAC).

Les organisations doivent obtenir une certification finale de niveau 2 du CMMC avant de planifier une évaluation de niveau 3 par le DIBCAC.

Les résultats de toutes les évaluations menées sur les organisations de la DIB sont consolidés au sein du Système de Risque de Performance des Fournisseurs (SPRS). Le SPRS (prononcé « Spurs ») est la plateforme web du Département de la Défense qui collecte, traite et récupère les données sur la performance des fournisseurs au sein de la Base Industrielle de Défense, permettant au DoD de cartographier la maturité cyber du réseau d’affaires de la DIB, d’évaluer la performance des fournisseurs et d’évaluer les risques liés aux obligations contractuelles.

En déployant ce modèle de certification obligatoire, le DoD est à l’avant-garde de l’établissement d’un cadre de chaîne d’approvisionnement complet et sécurisé de bout en bout au sein de la DIB, espérant ainsi renforcer la sécurité nationale à long terme des États-Unis. Simultanément, le DoD souligne que la sécurité n’est plus optionnelle ; c’est un aspect intégral des opérations commerciales. Les évaluations CMMC 2.0 devraient être disponibles pour Q4 2024 (une fois que le 32 CFR sera finalisé). Les « prime contractors » attendront des sous-traitants qu’ils soient conformes au CMMC avant Q3 2025, date à laquelle le CMMC 2.0 entrera en vigueur. À partir du 1er octobre 2025, la certification CMMC sera obligatoire au moment de l’attribution du contrat.

Si vous avez besoin d’aide pour naviguer dans le paysage complexe de la conformité au CMMC 2.0 ou si vous avez besoin de soutien dans votre parcours vers la certification, Wavestone est prêt à vous accompagner dans votre parcours. Contactez-nous dès aujourd’hui et transformez votre préparation à la cybersécurité en un avantage stratégique.

Cet article Le DoD Contre-attaque : Comment Renforcer la Cybersécurité de la Chaîne d’Approvisionnement avec le CMMC 2.0 est apparu en premier sur RiskInsight.

Face à ce constat, les entreprises se sont rapidement interrogées sur les moyens de protection possibles.  Le marché s’est adapté. Aujourd’hui, deux stratégies se dessinent, entre solutions historiques manuelles et solutions novatrices hybrides (Cloud et/ou on-premise).

Une question se pose toutefois : la mise en œuvre d’une telle solution de protection, certes adaptée aux besoins, suffit-elle pour s’assurer d’une efficacité solide en cas d’attaque avérée ? La réponse est non !

Imaginez, vous avez subi pendant plusieurs jours les effets d’une attaque DDoS, avec des conséquences inacceptables pour le maintien de vos activités. Vous décidez de mettre en place une solution de protection ad hoc. Le projet démarre, vous choisissez une solution, elle est installée et fonctionne. Vous voilà enfin équipé d’une solution d’une efficacité prometteuse. Avec un simple ordre de bascule à donner à votre équipe de production ou à un fournisseur, la solution sera mise en route. Vous êtes confiant.

Activation, surveillance, désactivation : les 3 piliers d’une stratégie de protection anti DDoS

Pour autant, vous pourriez avoir oublié de répondre à un certain nombre de questions clés.

Sur quels critères de détection et à quels seuils serez-vous en mesure de passer l’ordre d’activation de la solution ? Serez-vous assez réactif pour qu’il ne soit pas trop tard vis-à-vis des impacts business ? L’échelle du temps DDoS est proche du ¼ d’heure… Une fois la solution activée, quelles seront les premières actions à entreprendre ? Avez-vous identifié ou contrôlerez-vous les effets de bord qu’elles pourront engendrer sur votre environnement de production ? Faudra-il communiquer aux clients, au réseau commercial ? Durant l’attaque, êtes-vous certain d’être apte à communiquer efficacement avec votre prestataire en charge de la solution ? Pourrez-vous aisément constater l’efficacité de ses services ? Connait-il votre contexte, votre infrastructure ? Est-il à jour des derniers changements pour éviter une protection partielle ? Par analogie avec l’ordre d’activation, saurez-vous quand et comment décider du retour à la normale ? Enfin, avez-vous suffisamment de visibilité pour déterminer si l’attaque continue ou non en amont des barrières défensives ?

Les retours d’expérience montrent que la mise en place d’une solution protectrice seule, sans réponse à l’ensemble de ces questions, ne suffit pas.

Aussi ne faut-il pas se cantonner à la simple souscription d’un service de protection : des moyens et des processus de détection, d’activation, de communication, d’arbitrage et retour à la normale devront être élaborés et régulièrement expérimentés. Les actions majeures devront être rigoureusement formalisées : le déclenchement de la solution de protection et le retour à la normale (qui décide, qui réalise, sur quelles informations, avec quelle réactivité…). Par ailleurs, le volet surveillance et gestion de crise pendant l’attaque ne doit pas être négligé (quels moyens pour vérifier que l’attaque a toujours lieu, avec quel effet, quels seuils/indicateurs pour déclencher les escalades).

Tests et exercices : les garant de la bonne gestion d’une attaque DDoS

Au-delà de la formalisation, trois types de tests s’avèrent indispensables.

Les plus simples sont les tests de « bascule à vide » : sans contrainte de temps particulière, il s’agit de mettre en action les différents modes opératoires liés à l’activation, au maintien ou à la désactivation de la solution de protection. Au-delà de permettre la formation des équipes concernées, ces tests permettent de juger la qualité des procédures techniques ; ils permettront également leur amélioration continue afin d’assurer au mieux leur efficacité en cas d’attaque.

Des tests de « bascule en conditions réelles » sont ensuite requis : à l’opposé de la « bascule à vide », une attaque simulée sera ici commanditée auprès d’un organisme tiers afin que les équipes techniques puissent s’exercer en conditions réelles. Les mêmes modes opératoires techniques seront mis à l’épreuve, dans un objectif cependant différent : le respect des échéances théoriques.

Des exercices de « gestion de crise » sont également à prévoir. Complémentaires des deux premières séries ci-dessus, il s’agit là de se focaliser sur l’expérimentation de la gestion de crise et non sur les aspects techniques. Ces tests permettront de juger la qualité de la gestion en répondant notamment aux bonnes questions en dehors de la sphère technique et en intégrant la communication, le juridique ou encore la relation clients. Chaque tâche trouve-t-elle rapidement son porteur ? L’ordonnancement prévu est-il respecté ? Les moyens nécessaires sont-ils accessibles (matériels, salles, interlocuteurs, etc.) ? Les rôles prédéfinis de chacun sont-ils connus de tous et à l’avance ? La remontée des informations au Responsable de crise est-elle correctement réalisée ?

Les solutions techniques ne peuvent suffire à gérer toutes les composantes d’une attaque DDos. Nécessaire et complémentaire, la mise en place d’une organisation interne apte à gérer l’attaque et la crise doit être considérée par les entreprises pour se protéger correctement et efficacement.

Cet article Lutte anti-DDoS : la technique ne suffit pas, organisons-nous ! est apparu en premier sur RiskInsight.

Une faille de sécurité critique Heartbleed a été identifiée dans les bibliothèques OpenSSL. Elle permet à un attaquant externe, non authentifié, de récupérer le contenu de la mémoire du serveur.

Les tests que nous avons menés ont montré qu’il était possible de récupérer les données échangées avec le serveur (dont les logins / mots de passe des utilisateurs), ainsi que des fichiers de configuration.

Recommandations

1- Nous recommandons dans un premier  temps de réaliser un inventaire des équipements utilisant ces bibliothèques, et de procéder à un test de vulnérabilité : soit par l’analyse de la version installée , soit via l’utilisation d’un script ;

2- Ensuite, d’appliquer les correctifs de sécurité ;

3- Il est également recommandé de considérer comme compromises les informations ayant transité par ces équipements, et de forcer un renouvellement des mots de passe (utilisateurs, serveurs, etc) ;

4- La clé privée du serveur pouvant également être impactée, il est recommandé de considérer la révocation et le renouvellement des certificats concernés, à minima sur les systèmes sensibles.

Produits concernés

•  OpenSSL 1.0.1 à 1.0.1f et OpenSSL 1.0.2-beta

•  Les branches 0.9.8 et 1.0.0 ne sont pas vulnérables

Attention, de nombreuses solutions packagées et appliances reposent sur ces bibliothèques et sont vulnérables : reverse proxy, passerelle VPN, etc.

Cet article sera complété dans les prochaines heures ; pour plus de précisions, vous pouvez contacter le CERT-Solucom.

Cet article Faille critique Heartbleed : recommandations du CERT-Solucom est apparu en premier sur RiskInsight.

Il est aujourd’hui nécessaire d’allier des mesures à la fois techniques et organisationnelles permettant de répondre à deux enjeux cruciaux : la détection (avant l’attaque) et la réaction (après l’attaque).

Un choix technologique et stratégique

Les mesures techniques visent à mettre en place une protection physique par le biais d’équipements de sécurité, pouvant s’opérer à deux niveaux : en amont du SI (au niveau des réseaux de l’opérateur) et directement en frontal (sur le site à protéger).

Plusieurs stratégies sont alors possibles :

• Une protection exclusivement manuelle : il s’agit de la mise en place de filtrages spécifiques par l’opérateur et de la configuration d’équipements de sécurité du SI. Cette stratégie à faible coût, pouvant être qualifiée de « protection par défaut », est aujourd’hui la plus communément utilisée.
• Un « boîtier anti-DDoS » en frontal : proche du SI, ce boîtier sert de « bouclier » et permet une protection immédiate, avec réinjection du trafic légitime. Il nécessite en revanche une expertise interne conséquente etpeut ainsi entraîner d’importants coûts récurrents, en plus des coûts liés à l’investissement . De plus, sans protection en amont du SI, le niveau de protection offert par le boîtier face aux attaques volumétriques est limité à la capacité du lien réseau qui le précède. Utilisé seul, un tel boîtier montre rapidement ses limites.

• Une protection Cloud, en amont : située dans le Cloud ou le réseau opérateur, cette protection permet de bénéficier d’un service et d’une expertise externalisés. Grâce à ses mécanismes de redirection ponctuelle ou permanente, de nettoyage du trafic et de réinjection, elle permet la gestion d’attaques à forte volumétrie. Cette solution entraîne en revanche des coûts élevés et ne permet pas de se protéger contre l’ensemble des différents types d’attaques.

• Une stratégie hybride : il s’agit ici d’allier deux des trois premières stratégies, à savoir une protection distante dite « Cloud » et un boîtier physique, en frontal du SI. Malgré un coût logiquement le plus élevé, les avantages viennent s’additionner et permettent de faire face à l’évolution de la menace. Les attaques à la fois volumétriques et par saturation de table d’état, aux niveaux réseau ou applicatif peuvent ici être maîtrisées et la continuité du service est assurée.

Ce choix de stratégie reste complexe et diffèrera évidemment d’une entreprise à l’autre en fonction des besoins en matière de sécurité. Il dépendra en effet de son niveau d’exposition à la menace et de la gravité des impacts en cas d’attaque.

Des réponses également organisationnelles

Au-delà de la protection physique, il est important d’acquérir un certain nombre de bonnes pratiques permettant une gestion de crise optimale en cas d’attaque.

Ces mesures organisationnelles peuvent être classées en trois étapes chronologiques :

Bien qu’elles soient aujourd’hui démocratisées, inévitables pour la plupart et parfois ravageuses, les attaques par déni de service distribué engendrent des impacts pouvant être relativement maîtrisés, pourvu que la question de la protection ait été traitée à temps par l’entreprise.

Malheureusement, force est de constater que peu d’entreprises ont aujourd’hui procédé à l’acquisition d’une protection adaptée à la menace cybercriminelle actuelle.

L’actualité forte dans ce domaine les sensibilise néanmoins et sera sans doute un catalyseur de la mise en place de ces mesures

Cet article DDoS, quelle stratégie de protection ? est apparu en premier sur RiskInsight.