L’utilité d’un service de protection et de neutralisation des attaques DDoS managé n’est plus à démontrer.
Confier la supervision du fonctionnement du système à un partenaire soulage l’entreprise d’un problème informatique majeur, augmente vos ressources en personnel et vous donne accès à une expertise DDoS spécialisée. Cependant, tous les services DDoS managés ne se valent pas. Et comment distinguer un service exceptionnel d’un service juste suffisant ? Voici les caractéristiques que vous devez rechercher.
Une souplesse permettant de gérer des workflows personnalisés
Peut-être avez-vous déjà mis en place des procédures et des processus opérationnels pour gérer les menaces DDoS. Un fournisseur de services managés devrait être capable de s’adapter et de s’aligner sur vos besoins, plutôt que de vous imposer de modifier vos processus. Par exemple, quel protocole de contact et de communication utilisez-vous ? Dans quelles situations voulez-vous que le fournisseur de services prenne l’initiative de mesures de neutralisation, ou demande votre autorisation ? Le fournisseur peut-il prendre différentes mesures basées sur différents types d’alerte ou niveaux d’événement ? Un excellent fournisseur prendra le temps de comprendre vos processus et sera suffisamment souple pour s’y adapter. De nombreux fournisseurs, même les bons, imposent leur façon de travailler.
Des rapports et des renseignements axés sur le client
Un bon fournisseur de services contre les attaques DDoS fournira des rapports détaillant les incidents les plus récents et les mesures prises pour répondre aux événements menaçant la sécurité. Un excellent fournisseur adoptera une démarche plus proactive et consultative s’appuyant sur une source mondiale de renseignements sur les menaces afin de formuler des recommandations pour améliorer votre politique sécuritaire. Un fournisseur de services managés devrait aussi être en mesure de fournir des rapports vous permettant, face aux dirigeants de votre entreprise, de démontrer le retour sur investissement et de présenter des indicateurs clés.
La taille du réseau
La taille des attaques DDoS augmente et se rapproche rapidement de la barre du téraoctet, ce qui s’explique en grande partie par les techniques d’amplification et l’émergence des botnets IoT (Internet des objets). La capacité d’absorber et de neutraliser les attaques de plus grande ampleur est tout simplement une nécessité. Et il est tout aussi important de disposer d’une infrastructure distribuée, plusieurs emplacements permettant de mettre en place des mesures de neutralisation aussi près que possible de la source d’une attaque. Cela évite les goulots d’étranglement et accélère les cycles de neutralisation.
Si la taille absolue du réseau est une considération importante, la capacité dédiée à la neutralisation des attaques l’est tout autant. Par exemple, certains réseaux de distribution de contenu et fournisseurs de services Web, qui revendiquent une énorme capacité réseau, peuvent proposer une protection contre les attaques DDoS en tant qu’activité secondaire. Mais bien évidemment, ils affecteront l’essentiel de cette capacité à leur seule activité principale, laissant leurs clients DDoS exposés au risque.
C’est pourquoi un fournisseur dédié est essentiel pour neutraliser des attaques massives. Cela dit, les fournisseurs de services managés desservent de nombreux clients, et le risque que plusieurs d’entre eux soient touchés simultanément ne peut jamais être écarté. Il n’est donc pas suffisant de disposer de niveaux de capacité équivalents, voire deux fois supérieurs, à ceux d’une attaque potentielle. En effet, la taille du réseau doit être plusieurs fois supérieure à celle des plus grandes attaques connues. Une capacité de dix téraoctets s’impose rapidement comme la norme qui définira le prestataire de services DDoS managés moderne.
L’expérience d’une équipe
Un bon fournisseur s’appuiera beaucoup sur l’automatisation. Celle-ci joue certainement un rôle important pour une protection efficace contre les attaques DDoS mais n’est pas toujours capable de faire la distinction entre bon et mauvais trafic. Faute de contrôles, elle est susceptible de bloquer le trafic légitime et d’engendrer un nombre élevé de faux positifs. Contrecarrer les instigateurs d’attaques malveillantes suppose une intelligence humaine – la capacité de reconnaître et d’analyser une attaque réelle, de comprendre ses origines et d’identifier rapidement ses objectifs. Un excellent fournisseur disposera d’équipes de recherche dédiées fortes de dizaines d’années d’expérience de l’étude, de l’analyse et de la supervision de la neutralisation réussie d’attaques DDoS. Il possédera également une vaste expertise en matière de sécurité, fondée sur des profils professionnels et des compétences complémentaires diversifiés.
Une solution hybride basée sur les meilleures pratiques
Beaucoup d’offres de services managés sont entièrement basées dans le Cloud. Cela veut dire que 100 % des mesures de neutralisation sont mises en place à partir d’un système basé dans le Cloud actif en permanence, qui peut s’avérer rapidement très onéreux. Les experts de la sécurité s’accordent de plus en plus à reconnaître qu’une solution hybride combinant des fonctionnalités sur site et dans le Cloud constitue la meilleure défense contre les attaques DDoS. Généralement, le composant sur site est en mesure de gérer l’essentiel du trafic malveillant. Si une attaque menace d’épuiser la capacité d’une appliance sur site, la fonctionnalité Cloud peut être activée automatiquement.
De surcroît, une solution hybride est moins onéreuse et présente un meilleur rapport qualité-prix qu’on pourrait le penser. À l’heure actuelle, les défenses sur site peuvent être virtualisées. Avec un service totalement géré, les coûts sont compensés par une réduction des besoins en personnel. Et vous ne payez que la capacité Cloud que vous consommez. Bref, pourquoi vous contenter du bon si vous pouvez prétendre à l’excellent ?