Externalisation des données : de quoi s’agit-il ?
17 décembre , 2020
Qu’est-ce que le PaaS et pourquoi l’utiliser ?
22 décembre , 2020Externalisation des données : de quoi s’agit-il ?
17 décembre , 2020Qu’est-ce que le PaaS et pourquoi l’utiliser ?
22 décembre , 2020
De toutes les cybermenaces, les attaques DDoS sont l’une des plus simples et, en même temps, l’une des plus dommageables.
Ils font partie des pires cybermenaces de ces dernières années. Selon une étude menée par Kaspersky Lab et B2B International en janvier 2015, une seule attaque peut causer des dommages allant de 46 000 à 350 000 euros.
Les attaques DDoS sont de plus en plus répandues et sophistiquées et constituent une menace croissante pour les entreprises de tous secteurs et de toutes tailles. Au premier semestre 2023, les attaques DDoS ont augmenté de 314% par rapport à la première moitié de 2022.
Toutefois, les organisations disposent de divers outils pour les prévenir ou, du moins, limiter les dégâts. Tout responsable de la sécurité informatique doit activer un plan de défense préventif contre ces attaques, en adoptant des techniques bien connues, telles que le test d’intrusion, des systèmes avancés de surveillance des connexions et en gardant constamment à jour toutes les applications de défense informatique, installées dans le système d’information.
Au programme de cet article
Que signifie DDoS en informatique ?
L’acronyme DoS (Denial-of-Service) désigne couramment une famille d’attaques informatiques visant à affecter la disponibilité d’un ou plusieurs services en inhibant l’accès ; dans le cas où ce type d’attaque est effectué via l’utilisation de plusieurs sources distribuées, il est identifié comme Distributed Denial of Service, abrégé par l’acronyme DDoS.
Quand on parle de DDoS, ou d’attaque déni de service distribué, on fait référence à un type d’attaque aussi simple à mettre en œuvre ne nécessitant pas de grandes compétences ni de connaissances spécifiques.
Découvrez la fiche pratique sur le DDoS
Dans la plupart des cas, cela nécessite de connaître la localisation du service, son adresse IP par exemple, et une infrastructure suffisamment puissante pour lancer l’attaque. L’infrastructure d’attaque peut être constituée de serveurs cloud, mais les attaquants peuvent également tirer parti d’une gamme croissante d’appareils IoT grand public et prosommateurs tels que des caméras IP et des routeurs et les exploiter pour mener des attaques distribuées à grande échelle.
De nos jours, il est extrêmement important de se préparer aux dangers d’Internet. Sinon, les attaquants peuvent facilement pénétrer, manipuler ou paralyser les systèmes. Une forme classique d’attaque est le DDoS.
Essayons donc de comprendre de quoi il s’agit et comment la sécurité informatique doit évoluer.
Attaque DDoS definition
Les attaques DDoS sont un type d’attaque informatique qui vise à rendre indisponibles des sites Internet, des services Web et des infrastructures informatiques en exploitant la connexion de plusieurs ordinateurs en même temps. En d’autres termes, ils consistent à envoyer un grand nombre de requêtes aux adresses IP des victimes jusqu’à ce que les serveurs soient saturés et rendus inaccessibles.
Les attaques DDoS peuvent être lancées par un seul attaquant utilisant un ordinateur compromis, appelé « zombie », ou par un groupe d’attaquants coordonnant leurs actions via un canal de communication, appelé « botnet ». Les botnets sont des réseaux d’ordinateurs infectés par des logiciels malveillants et contrôlés à distance par des attaquants. Chaque ordinateur infecté devient un « zombie » qui peut être utilisé pour attaquer d’autres ordinateurs ou pour propager davantage de logiciels malveillants.
Au fil des années, grandes et petites entreprises, mais aussi banques, hôpitaux, aéroports et autres infrastructures publiques, ont été victimes de ce type de cyberattaque.
Un cas notable s’est produit en 2013, lorsqu’une attaque DDoS a frappé le site Web de Spamhaus , une organisation internationale qui s’occupe de lutter contre le spam sur Internet. À l’époque, Spamhaus a mis sur liste noire Cyberbunker, une société d’hébergement Web néerlandaise accusée d’héberger des spammeurs. En réponse, Cyberbunker a lancé une attaque qui est devenue « la plus grande attaque DDoS de l’histoire », impactant les services de messagerie du monde entier.
Qui fait des attaques DDoS ?
Les attaques DDOS sont choisies par les hacktivistes et les terroristes mais aussi par des petits pirates ou encore des groupes de cyberattaquants qui veulent faire du profit en utilisant des formes de chantage ou de destruction des activités d’un concurrent. Utiliser les attaques DDOS comme tactique de diversion, par exemple, est un phénomène en constante augmentation : on entend de plus en plus souvent parler de campagnes visant à lancer des attaques DDOS contre un réseau lors d’une exfiltration de données (qui sont ainsi volées sans que les auteurs n’en aient connaissance).
Aujourd’hui n’importe qui peut lancer une attaque DDOS : l’évolution de la communauté des hackers conduit à diversifier à la fois les outils d’attaque et les programmes qui les accompagnent dans leurs actions cybercriminelles (de plus en plus faciles à utiliser mais aussi à télécharger depuis le réseau) et même ceux qui n’ont pas de compétences particulières peuvent lancer une attaque DDOS.
Pourquoi les hackers lancent ces attaques ?
Les hackers utilisent des attaques DDoS pour différentes raisons, notamment :
- Vandalisme en ligne : Certains hackers mènent des attaques DDoS simplement pour causer des perturbations et des dommages. Ils considèrent cela comme une forme de vandalisme en ligne, où leur objectif principal est de perturber les services en ligne et de causer des inconvénients aux utilisateurs.
- Extorsion : Dans certains cas, les hackers peuvent lancer des attaques DDoS dans le but d'extorquer de l'argent aux victimes. Ils menacent de continuer les attaques DDoS à moins que les victimes ne paient une rançon pour arrêter l'attaque.
- Rivalité entre entreprises : Certaines sociétés peuvent engager des hackers pour mener des attaques DDoS contre leurs concurrents, dans le but de paralyser leurs services en ligne et de leur causer des dommages financiers.
- Concurrence déloyale : Des individus ou des entreprises malveillantes peuvent utiliser des attaques DDoS pour éliminer la concurrence en perturbant leurs services en ligne, afin de gagner un avantage concurrentiel.
- Activisme et protestation : Dans certains cas, des groupes activistes ou des hackers engagés politiquement peuvent utiliser des attaques DDoS comme un moyen de protestation ou de dissidence envers des organisations ou des gouvernements qu'ils désapprouvent.
Quelle est la différence entre DoS et DDoS ?
Acronyme de Denial-of-Service, une attaque déni de service est une action délibérée qui vise à saturer les ressources d’un système informatique qui fournit un service aux clients qui lui sont connectés. Dans l’environnement réseau, une attaque DoS cible des serveurs, des réseaux de distribution ou des centres de données et agit de telle sorte que leurs clients, qu’ils soient des sites Web ou des internautes, ont des difficultés ou sont incapables de les joindre. La différence entre attaque DoS et attaque DDoS réside dans l’origine de l’attaque.
Alors que dans le premier cas il faut se défendre contre une seule source de trafic informatique (par exemple un nombre très élevé d’emails en arrivée simultanée), dans le second cas l’attaque est menée par plusieurs botnets coordonnés sur plusieurs niveaux (par exemple un nombre très élevé d’accès web coordonnés avec un grand nombre de tentatives de connexion FTP). Par conséquent, une attaque DDoS aura besoin de moins de temps qu’une attaque DoS pour saturer les ressources informatiques du système attaqué et de plus ses effets délétères dureront généralement plus longtemps.
Comment fonctionne une attaque DDoS ?
Les attaques par déni de service ont de graves conséquences pour les entreprises et les organisations concernées. Premièrement, ils perturbent les services Web, rendant les sites, les applications et les réseaux informatiques indisponibles pendant un certain temps.
Ensuite, ils permettent aux cybercriminels de voler des données sensibles ou de compromettre le système informatique de la victime.
Tout cela produit deux types de dégâts :
- Les préjudices économiques et financiers, dus aux coûts du personnel employé pour réparer les dégâts, l'utilisation d'outils de défense et, surtout, la perte d'activité causée par l'indisponibilité des services web ;
- Atteinte à la réputation, car les clients/utilisateurs pourraient perdre confiance dans la capacité de l'entreprise à fournir un service de qualité et, plus encore, à protéger leurs données personnelles.
Les attaques par déni de service se déroulent en trois étapes :
Phase d'identification et de préparation
Au début d’une attaque DDoS, les attaquants se concentrent sur la reconnaissance et la préparation. Cette phase cruciale implique la collecte d’informations sur la cible, souvent en identifiant les vulnérabilités du système informatique qui peuvent être exploitées. Les attaquants peuvent utiliser diverses techniques, telles que l’envoi de phishing ou l’exploitation directe des failles de sécurité, pour infiltrer le réseau de la cible et préparer le terrain pour l’attaque. Pendant cette phase, les attaquants créent ou prennent le contrôle de botnets, qui sont des réseaux d’ordinateurs infectés (appelés « zombies ») contrôlés à distance. Ces machines zombies seront utilisées ultérieurement pour lancer l’attaque coordonnée.
Lancement de l'attaque
Une fois la phase de préparation terminée, les attaquants déclenchent l’attaque DDoS proprement dite. Ils mobilisent le botnet pour inonder le serveur visé d’un volume massif de trafic. Cela peut se manifester sous forme de requêtes apparemment légitimes ou de requêtes malformées, créant ainsi une surcharge sur le système visé. Le but est de saturer les capacités du serveur, entraînant son incapacité à répondre aux requêtes légitimes. Ces attaques peuvent cibler différentes couches de l’infrastructure de réseau, allant des attaques de niveau application aux attaques réseau.
Phase de nettoyage et de rétablissement
La dernière étape de l’attaque DDoS est la phase de nettoyage, où les attaquants tentent de masquer leur implication et de récupérer les données potentiellement volées. Ils effacent les traces de leur activité, laissant derrière eux un réseau affaibli ou parfois irréparable. Pour les organisations visées, cette phase implique l’identification et la réparation des dommages causés par l’attaque. Il est crucial d’agir rapidement pour rétablir les services, renforcer les mesures de sécurité et prévenir les futures attaques. Cela peut inclure la mise en place de protections anti-DDoS plus robustes, la mise à jour des systèmes de sécurité et la formation du personnel pour améliorer la réponse aux incidents.
Se défendre d’une attaque DDoS est très difficile et il vaut donc mieux s’équiper au préalable en s’appuyant sur des sociétés capables de fournir un service de sauvegarde externalisée, avec des protections anti-DDoS puissantes et efficaces.
Quelles sont les différents types d’attaque ?
Un obstacle majeur à la lutte contre les attaques DDoS est qu’elles sont hétérogènes et englobent une variété de tactiques différentes. Fondamentalement, Les attaques DDoS peuvent être divisées en plusieurs catégories en fonction de leur objectif ou de leur fonctionnement.
Parmi les plus courants, on peut citer :
- Les attaques basées sur le volume (volumétriques) sont les attaques "classiques" qui encombrent la bande passante d'un réseau cible avec une quantité importante de paquets de trafic.
- Les attaques de protocole visent à épuiser les ressources du serveur ou du pare-feu.
- Les attaques d'applications (DDoS de couche 7) visent des applications Web spécifiques plutôt que l'ensemble du réseau. Celles-ci sont particulièrement difficiles à prévenir et à atténuer tout en étant relativement faciles à orchestrer.
Les attaques DDoS volumétriques
Il s’agit du type d’attaque DDoS le plus utilisé, car ils peuvent rendre un site, un serveur ou une page Web inutilisable pendant des jours. La cible reçoit de grandes quantités de données en utilisant diverses méthodes pour créer un trafic massif, comme l’utilisation d’un botnet.
Par exemple, il est possible d’utiliser une attaque par amplification DNS pour désactiver même un serveur très performant : les requêtes DNS de nombreux utilisateurs peuvent rapidement saturer l’upload et le download de la ligne Internet sur lequel repose le serveur, le rendant inutilisable.
Les attaques par déni de service distribué de protocole
Les attaques DDoS de protocole sont menées pour provoquer une consommation excessive des ressources du serveur et également saturer les ressources des équipements réseaux tels que les pare-feux et les systèmes anti-DDoS.
La plus courante des attaques est le SYN Flood : Cette attaque envoie un grand nombre de paquets TCP Initial Connection Request (SYN), mais en utilisant des adresses IP source usurpées inexistantes. Pour achever la livraison des paquets, le serveur envoie un paquet de réponse, qui ne sera cependant jamais utilisé ni traité : l’accumulation de requêtes « non satisfaites » va rapidement saturer le CPU et la RAM du serveur, le rendant inutilisable.
Les attaques DDoS de UDP flood
Les cybercriminels s’appuient sur le « User Datagram Protocol » (UDP) sans connexion pour cette attaque. Contrairement à une transmission via TCP, les données peuvent également être transmises via UDP sans établir de connexion. Dans le cadre d’attaques DoS et DDoS, des paquets UDP sont alors envoyés en grande quantité vers des ports choisis au hasard du système cible, qui tente en vain d’identifier quelle application attend les données transmises et renvoie donc un paquet ICMP avec le message en retour à l’expéditeur « Adresse de destination non accessible ». Si un système est surchargé avec de nombreuses requêtes de ce type, il en résulte une exploitation des ressources, ce qui se traduit par une disponibilité limitée pour les utilisateurs normaux.
Les attaques DDoS ICMP flood
Ces attaques DDoS exploitent le « Internet Control Message Protocol » (ICMP) , qui est utilisé pour échanger des informations et des messages d’erreur dans les réseaux de serveurs. Dans ce cas, un pirate envoie un faux paquet ICMP d’une requête d’écho (ping) à l’adresse de diffusion d’un réseau informatique et utilise l’IP de la cible comme expéditeur. En partant du routeur du réseau, la requête de diffusion est transmise à tous les appareils connectés, pour pousser chacun d’eux à envoyer une réponse à l’adresse de l’expéditeur. Un grand réseau avec de nombreux périphériques connectés peut gravement endommager la bande passante de l’ordinateur cible.
Les attaques DDoS Smurf
Ce modèle d’attaque vise à faire planter le système affecté. Les pirates profitent ainsi d’une erreur d’implémentation du protocole Internet (IP), où les paquets IP sont généralement envoyés sous forme de fragments. Si des informations de reconstruction de paquet incorrectes sont également envoyées, certains systèmes d’exploitation sont amenés à générer des paquets IP dont la taille est supérieure à la taille maximale autorisée de 64 Ko. Cela peut conduire à un « buffer overflow » car une trop grande quantité de données a été créée, qui dépasse la taille autorisée par l’espace rendu disponible par le système attaqué.
Les attaques au niveau de la couche application (L7)
Ce type d’attaque est effectué directement dans la couche de l’application, c’est-à-dire directement sur la page web qui fait office de cible (HTTP Flood) : pour donner un exemple pratique, le pirate prépare tous ses ordinateurs (ou machines zombies) pour accéder à la page web et appuyez plusieurs fois sur une même touche en prenant soin de recharger automatiquement la page à chaque fois.
L’attaque provoque un grand nombre de requêtes HTTP qui submergent efficacement le serveur, ce qui empêche les utilisateurs légitimes d’accéder au service et de charger la page. Ces types d’attaques sont faciles à planifier et sont tout aussi faciles à atténuer, notamment en construisant des sites avec des limites précises sur les requêtes HTTP qui peuvent être traitées simultanément.
Comment savoir si l’on est victime de DDoS ?
La meilleure des défenses, c'est l'attaque !
Les attaques DDoS sont devenues une menace sérieuse dans le monde numérique. Elles visent à paralyser les services en ligne en submergeant un serveur, un réseau ou une application avec une quantité massive de trafic, rendant ainsi les services indisponibles pour les utilisateurs légitimes. Mais comment savoir si l’on est victime d’une attaque DDoS ?
Dans cette partie nous explorerons les signes révélateurs d’une attaque DDoS et les mesures de protection que vous pouvez prendre pour garantir la disponibilité de vos services en ligne.
Détection d’une attaque
La détection d’une attaque DDoS est essentielle pour réagir rapidement et atténuer les effets néfastes sur vos services en ligne. Voici quelques méthodes de détection couramment utilisées :
- Surveillance du trafic réseau : En surveillant attentivement le trafic réseau, vous pouvez détecter des schémas de trafic anormaux, tels qu'une augmentation soudaine et significative du volume de données ou une concentration inhabituelle de requêtes provenant d'adresses IP spécifiques. Des outils de surveillance réseau peuvent vous aider à identifier ces signaux d'alerte.
- Analyse des journaux système : L'examen des journaux système de vos serveurs et de votre infrastructure peut révéler des comportements suspects, tels que des connexions excessives, des requêtes répétitives ou des anomalies dans les schémas de trafic. Les outils d'analyse de journaux peuvent vous aider à extraire et à analyser ces informations cruciales.
- Utilisation d'outils de détection d'intrusion : Les systèmes de détection d'intrusion (IDS) sont conçus pour identifier les activités malveillantes sur un réseau. En configurant des règles spécifiques pour détecter les modèles de trafic associés aux attaques DDoS, vous pouvez être alerté en cas d'anomalies.
- Surveillance des performances : Une attaque DDoS peut entraîner une dégradation des performances de votre infrastructure. En surveillant les indicateurs de performances clés, tels que le temps de réponse du serveur ou l'utilisation de la bande passante, vous pouvez détecter les signes de surcharge ou de saturation dus à une attaque en cours.
Il est important d’avoir une combinaison de ces méthodes de détection pour obtenir une vue d’ensemble de l’activité sur votre réseau et réagir rapidement en cas d’attaque DDoS. Une fois détectée, il est crucial de prendre des mesures pour atténuer les effets de l’attaque et protéger vos services en ligne.
Réaction immédiate en cas de suspicion d'attaque DDoS
Si vous suspectez une attaque DDoS, une réaction rapide et coordonnée est essentielle pour minimiser l’impact et rétablir rapidement les services normaux. Voici les étapes à suivre :
Alertez votre équipe IT
La première étape consiste à informer immédiatement votre équipe de sécurité informatique. Fournissez-leur autant de détails que possible sur les anomalies observées. Cela peut inclure des informations telles que l’heure de début de l’anomalie, les services affectés, et toute autre observation pertinente. Votre équipe IT devra commencer par analyser le trafic réseau pour confirmer s’il s’agit d’une attaque DDoS et identifier la source du trafic malveillant. Ensuite, ils devront mettre en œuvre des mesures d’atténuation, telles que le filtrage du trafic ou la redirection vers des serveurs de secours.
Contactez votre fournisseur d'accès Internet (FAI)
Informez votre FAI de la situation. Beaucoup de FAI ont des protocoles spéciaux pour gérer les attaques DDoS et peuvent prendre des mesures pour aider à atténuer l’attaque. Cela peut inclure le blocage de trafic en amont ou la fourniture de capacités de bande passante supplémentaires pour gérer l’excès de trafic. Leur assistance peut être cruciale, en particulier pour les attaques de grande ampleur.
Activez vos protocoles de réponse aux incidents
Mettez en œuvre votre plan de réponse aux incidents DDoS, s’il en existe un. Ce plan doit inclure des procédures spécifiques pour réagir à une attaque, y compris des mesures techniques d’atténuation, la gestion de la communication interne et externe, et des stratégies de reprise d’activité. Assurez-vous de communiquer clairement avec toutes les parties prenantes, y compris les employés, les clients et les partenaires, pour les informer de l’état du système et des mesures prises. Une communication efficace peut aider à maintenir la confiance et à réduire la confusion pendant la gestion de l’incident.
Documentez l'incident
Pendant et après l’attaque, documentez toutes les actions prises et les observations faites. Cette documentation sera essentielle pour les analyses post-incident, permettant d’améliorer les stratégies de réponse futures et de mieux se préparer contre les attaques similaires.
Comment s'en protéger ?
Les organisations non protégées subissent en moyenne un coût de 200 000 $ par attaque DDoS, d’après Zayo. Pour sécuriser votre infrastructure contre les attaques par déni de service distribué, vous pouvez prendre plusieurs mesures en même temps. Ce sont surtout les routeurs qui doivent être configurés correctement et protégés par des mots de passe forts. En introduisant des mesures de blocage sur ces nœuds, de nombreuses attaques DoS peuvent déjà être évitées. Les paquets d’attaque correspondants ne sont donc pas acceptés dans l’infrastructure interne. Un bon pare-feu offre une sécurité supplémentaire.
Si vous êtes certain d’être visé par une attaque, vous pouvez déployer des ressources supplémentaires. Grâce à la répartition de la charge, par exemple, des capacités supplémentaires peuvent être demandées au fournisseur d’hébergement même à court terme pour empêcher l’attaque de réussir.
Découvrez la fiche pratique sur le DDoS
Voici un aperçu détaillé des mesures de protection contre les attaques DDoS :
Le filtrage en bordure du réseau comme moyen de se protéger contre les attaques DDoS
Le filtrage en bordure du réseau est l’une des mesures de protection essentielles pour se prémunir contre les attaques DDoS. Ce mécanisme de défense consiste à mettre en place des filtres et des règles de trafic auprès des routeurs et des pare-feu situés à la périphérie de votre réseau. En utilisant des techniques de filtrage appropriées, vous pouvez réduire l’impact des attaques DDoS sur votre infrastructure.
Le filtrage en bordure du réseau permet de bloquer le trafic malveillant dès qu’il atteint votre réseau, avant qu’il n’atteigne les serveurs ou les ressources vulnérables. Cela peut être réalisé en utilisant des listes de contrôle d’accès (ACL) pour bloquer les adresses IP suspectes, en configurant des règles de trafic pour limiter le nombre de connexions simultanées ou en utilisant des mécanismes de détection de comportement anormal.
En filtrant le trafic en amont, vous réduisez la charge qui pèse sur votre infrastructure, permettant ainsi de préserver la disponibilité de vos services en ligne pour les utilisateurs légitimes. Cette approche peut aider à atténuer les attaques DDoS volumétriques en éliminant le trafic malveillant avant qu’il ne consomme des ressources internes.
Cependant, il est important de noter que le filtrage en bordure du réseau peut également présenter des défis. Des erreurs de configuration ou une mauvaise gestion des règles de filtrage peuvent entraîner de faux positifs, bloquant ainsi le trafic légitime. Par conséquent, il est recommandé de mettre en place une stratégie de filtrage solide, régulièrement mise à jour et testée pour garantir une protection efficace contre les attaques DDoS sans perturber les utilisateurs légitimes.
La protection externalisée
La protection externalisée contre les attaques DDoS est une approche de défense populaire qui consiste à faire appel à des fournisseurs de services spécialisés dans la détection et l’atténuation des attaques DDoS. Ces fournisseurs disposent d’une infrastructure et de ressources dédiées pour analyser le trafic entrant, identifier les schémas malveillants et filtrer le trafic indésirable.
En optant pour une protection externalisée, vous déchargez votre infrastructure interne des attaques DDoS, permettant ainsi à votre réseau et à vos serveurs de fonctionner de manière plus efficace. Les fournisseurs de services de protection contre les attaques DDoS sont équipés de solutions de filtrage avancées, telles que des systèmes de prévention d’intrusion (IPS) ou des dispositifs de mitigation du trafic, capables de détecter et d’atténuer les attaques DDoS en temps réel.
En redirigeant votre trafic à travers les infrastructures de protection externalisée, vous bénéficiez d’une expertise spécialisée et d’une surveillance proactive 24h/24 et 7j/7 pour détecter et bloquer les attaques avant qu’elles n’impactent votre infrastructure. De plus, ces services peuvent également fournir des rapports détaillés sur les attaques détectées et les mesures prises pour les contrer, vous permettant ainsi d’analyser et d’améliorer votre stratégie de sécurité.
Les autres mesures de sécurité contre les attaques par déni de service distribué
Afin d’anticiper les coups, vous devez avoir, avant tout, un pra informatique bien établi et un plan d’intervention préparé en temps utile afin que l’impact puisse être minimisé. Il doit inclure une liste de contrôle des outils, une équipe prête, avec des rôles et des responsabilités clairement définis à assumer une fois l’attaque détectée ; des règles claires sur qui avertir et impliquer en cas de danger ; un plan de communication pour alerter rapidement tout le monde en cas d’attaque.
Pour pallier une attaque DDoS, il est indispensable de prévenir l’attaque en masquant notre adresse IP publique : si notre IP personnelle est masquée (par exemple derrière une bonne connexion VPN) l’attaque peut être interrompue très facilement, puisqu’il suffit de changer de VPN serveur et en choisir un autre pour annuler l’attaque (l’attaque se poursuivra sur un serveur VPN désormais complètement dissocié de notre serveur personnel).
Pour rendre la protection sur notre ordinateur ou sur notre réseau encore plus efficace, il est conseillé d’utiliser des routeurs performants prenant en charge les connexions VPN et de les combiner avec un pare-feu logiciel de qualité, en ignorant le pare-feu intégré à Windows : à cet effet, il est conseillé d’utiliser un pare-feu multicouche tel que celui intégré dans une suite de sécurité forte comme Norton 360 Deluxe.
Il faut également s’assurer que les infrastructures informatiques sont toujours à jour et corrigés, afin de minimiser les vulnérabilités. Les correctifs de sécurité doivent être installés non seulement sur le serveur, mais également sur tous les appareils et applications utilisés dans l’entreprise.
Enfin, il est aussi important de former le personnel sur la sécurité informatique et sur les procédures à suivre en cas de cyberattaque.
La prévention doit plus porter sur le renforcement du niveau de sécurité des machines connectées au réseau [pour éviter qu'une machine puisse être compromise] que sur la protection des machines cibles [les serveurs Web].