Grégory Degueldre est Network Architect chez Belnet depuis 2016. Avant cela, il a travaillé de nombreuses années au sein de la Défense où il a participé au déploiement du nouveau réseau WAN/LAN. De par la nature des activités de la Défense, la sécurité du réseau informatique était une composante cruciale.
Avec son bagage et son intérêt pour la sécurité informatique, il a été naturel de l’impliquer, dès son arrivée chez Belnet, dans le déploiement de la première solution anti-DDoS. Il en est resté administrateur depuis lors et a été confronté à un bon nombre d’attaques DDoS visant aussi bien les institutions de recherche et d’éducation que les institutions fédérales. Au fil des années, il a développé une certaine expertise dans le domaine en étant régulièrement en contact avec différents vendeurs de solutions anti-DDoS.
Advanced DDoS Security, la nouvelle solution anti-DDoS de Belnet sera prochainement disponible. Peux-tu décrire dans les grandes lignes le processus qui a précédé l’arrivée de ce nouveau service?
L’ancienne solution anti-DDoS de Belnet avait atteint ses limites en termes de capacité et il était devenu impossible de protéger davantage de clients. Belnet devait trouver une nouvelle solution et a donc entamé une analyse de marché et pris contact avec les fournisseurs de solution les plus reconnus dans le secteur des ISP. Toutes les solutions identifiées fonctionnaient très différemment les unes des autres, ce qui rendait la comparaison difficile. Belnet a donc lancé une procédure de marché publique particulière : le dialogue compétitif.
Cette procédure a permis de sélectionner les partenaires potentiels capables de répondre à des exigences minimums. Par la suite, les solutions retenues ont dû être validées, sans tenir compte de leur mode de fonctionnement, mais en prenant en considération une longue liste d’exigences techniques en termes de fonctionnalités et capacités. Cette validation des solutions proposées s’est faite aussi bien sur papier, avec les fiches techniques des éléments, qu’en laboratoire avec une batterie de tests. Chaque fonctionnalité ou capacité a dû être démontrée. Seuls les candidats proposant une solution répondant à toutes les attentes se sont vus invités à remettre une offre pour celle-ci. Finalement, l’attribution s’est jouée sur le prix et les SLA offerts pour les différentes solutions.
Quel a été le facteur décisif dans le choix de la nouvelle solution?
Belnet suit la législation sur les marchés publics. Il n’est donc pas autorisé de faire des choix subjectifs. L’idée était d’identifier objectivement les besoins de Belnet pour les 4 ans à venir. Il a donc fallu faire preuve de vision. Pour se faire, les spécifications techniques, les fonctionnalités et la capacité ont servi d’exigence minimum. Au final, Belnet est satisfait de l’attribution, autant que du processus suivi. Ce dernier a permis d’apprendre beaucoup sur les différentes approches de mitigation.
Peux-tu expliquer concrètement comment fonctionne Advanced DDoS Security?
Le trafic entrant sur le réseau est monitoré en permanence. Lors d'une attaque, le volume du trafic vers une destination ou la proportion de certains types de paquets est différente de celle observée dans des circonstances normales. Le système détecte alors cette anomalie (et donc l'attaque) et en informe le système de gestion - le cerveau de la solution. Le système de management décide de ce fait de dévier le trafic à destination de la cible de l’attaque vers un centre de nettoyage et envoie une alerte au client sous attaque. Le centre de nettoyage se chargera de distinguer le trafic légitime du trafic malicieux. Seul le trafic légitime sera acheminé à sa véritable destination. Le trafic malicieux sera bloqué et éliminé.
Les techniques employées pour se faire dépendent de l’attaque et peuvent être mises en action séparément ou conjointement pour arriver à un nettoyage fin du trafic affluant. Si l’attaque devient très volumétrique, la solution implémentera un premier filtre sur les routeurs connectés à nos connexions externes avec l’Internet. Ceci permet à Belnet d’être capable de mitiger des attaques allant jusqu’à sa propre capacité externe. Ce n’est que si cette capacité externe est mise en danger que le trafic en direction de la cible de l’attaque sera redirigé vers le Cloud Scrubbing Center. À ce moment, le trafic de l’attaque n’atteint plus le réseau de Belnet. Le trafic en direction de la cible est en effet nettoyé avant d’être acheminé vers sa véritable destination.
Une fois l’attaque terminée, la protection reste encore active un moment dans le cas où l’attaque reprendrait. Finalement, si tout reste normal, la protection sera désactivée. Un rapport d’incident sera généré et envoyé au client qui était visé. Ce rapport donnera les détails de l’attaque tels que la cible, les sources les plus actives, les vecteurs employés et le nombre de paquets ayant été filtrés.
Quels sont les principaux atouts pour les utilisateurs? Quels avantages supplémentaires cette solution offre-t-elle en comparaison avec la précédente?
- La nouvelle solution n’est plus en permanence dans le flux de trafic. Ceci réduit fortement les risques de faux positifs ou le filtrage de paquets légitimes. Les bugs ou les maintenances de la solution n’impacteront plus le client puisque la solution ne sera utilisée que lors d’attaques en cours.
- Bien que le fait d’être en dehors de l’acheminement normal du trafic induit un temps de mitigation plus important, ceci permet de protéger la totalité des clients Belnet avec une infrastructure plus réduite. Tous les clients ne sont en effet pas simultanément attaqués. Belnet ne sera donc pas limité dans le nombre de clients à protéger, que ce soit en termes de capacité ou de ressources internes.
- La capacité de mitigation est désormais beaucoup plus importante aussi bien sur le réseau de Belnet qu’en faisant appel au Cloud Scrubbing Center.
- Le nombre de techniques mises à disposition pour réaliser la mitigation est beaucoup plus grand. La mitigation est plus intelligente, en comparaison avec de simples limitations volumétriques (rate-limit). Il est désormais possible d’identifier des membres de botnet ou de comparer les caractéristiques des paquets de l’attaque vis-à-vis du trafic légitime (analyse du comportement).
- La nouvelle solution est composée de plusieurs couches de protection : les équipements de scrubbing intelligent, les filtres au périmètre du réseau de Belnet pour les attaques plus volumétriques et le Cloud Scrubbing Center pour les attaques de très grosse ampleur.
- Désormais, lorsqu’un client est sous attaque, il est notifié dès la mise en place de la mitigation.
Quelles sont les principales raisons pour lesquelles une organisation opte pour une protection contre les DDoS ?
De nos jours, il est devenu impensable de travailler sans une connexion Internet. De plus en plus, les organisations emploient des applications qui tournent dans le Cloud. Lors d’une attaque DDoS, c’est donc toute une organisation et tous ses collaborateurs qui se retrouvent dans l’incapacité de travailler, ou du moins sont très impactés dans leur fonctionnement. Ceci va également souvent de pair avec des articles dans la presse qui sonnent souvent comme une démonstration d’impuissance et donnent une mauvaise image en termes de fiabilité.
Cependant les solutions de protection contre les DDoS restent encore souvent considérées comme chères et inutiles quand on n’a pas encore été victime d’une attaque. C’est d’ailleurs aussi le cas avec les assurances. Le discours change complètement lorsqu’un client est sous attaque à un moment critique. À ce moment-là, la mise en place d’une protection devient toujours une priorité. Même si l’activation de la protection est techniquement possible en très peu de temps, il faut comprendre qu’une série de mesures de mitigation ne seront pas fonctionnelles à 100%. En effet, les protections ont besoin d’apprendre ce qui est légitime afin de se construire un point de comparaison et ainsi mieux identifier ce qui est malicieux. À défaut, la solution sera privée de ses mécanismes et risque d’être moins efficace et laisser passer un peu trop du trafic malicieux ou pire affecter le trafic légitime.