Les collectivités territoriales sont devenues des cibles privilégiées des cyberattaques par déni de service distribué (DDoS).

Un phénomène en augmentation

En 2024, plus de 4 incidents cyber visant les collectivités territoriales ont été enregistrés chaque semaine en France. Ces incidents représentent 14% de l’ensemble des incidents traités par l’ANSSI sur la période. Au cours de l’année, l’ANSSI a traité 44 incidents affectant des départements et 29 incidents affectant des régions. Ces chiffres sont élevés par rapport au nombre de départements (101) et de régions (18) sur le territoire français.

Des cibles stratégiques

Les collectivités sont ciblées car elles représentent l’administration française et détiennent une mine d’or de données personnelles, souvent géolocalisées. Elles sont également interconnectées avec des opérateurs clés tels que l’énergie, l’eau, les transports et d’autres administrations. Parmi les incidents, on retrouve majoritairement des compromissions de comptes de messagerie (30% des événements signalés) et des attaques DDoS (26% des événements signalés).

Une menace croissante

Selon le dernier panorama publié par l’ANSSI, le nombre d’attaques DDoS en 2024 a doublé par rapport à 2023. Cette augmentation est alarmante et souligne la montée en puissance des groupes hacktivistes et cybercriminels, souvent soutenus par des acteurs étatiques.

Des attaques déstabilisantes

Une attaque DDoS consiste à exploiter des systèmes vulnérables compromis pour saturer un serveur, un service ou une infrastructure. Ces attaques visent à décrédibiliser et déstabiliser les collectivités ciblées, semant le doute sur leur fiabilité et leur cybersécurité. Les conséquences peuvent être considérables : interruption d’activité et de service, fuite de données à caractère personnel, perte financière, engagement de responsabilité, atteinte à la réputation et plus encore.

Le DNS, une cible privilégiée

Les attaques DDoS se présentent sous diverses formes, notamment les attaques volumétriques classiques et celles ciblant les capacités de traitement pour perturber la délivrance de services tels que DNS, web, LDAP, etc. Le service DNS, essentiel au fonctionnement d’Internet, est une cible privilégiée. Selon le rapport 2023 IDC Threat Report, 90% des organisations subissent 7,5 attaques DNS par an. L’usurpation facile des demandes DNS peut entraîner des attaques par réflexion et amplification, augmentant l’efficacité des attaques sans surcoût pour le botnet.

Les botnets, une menace majeure

Les groupes responsables de ces attaques DDoS s’appuient sur des réseaux de machines infectées — des botnets — de plus en plus vastes. En septembre 2024, un botnet mondial a été démantelé après avoir ciblé des infrastructures critiques dans plusieurs pays. Cette opération démontre l’ampleur et la coordination derrière les attaques DDoS actuelles.

Mieux se protéger

Les attaques volumétriques sont généralement repérables par une forte occupation des liens réseau. En revanche, les attaques plus fines, notamment celles qui ciblent le traitement applicatif ou le DNS, sont plus difficiles à détecter. Les attaquants peuvent alterner des salves de quelques secondes avec des pauses, visant à contourner les mécanismes de protection traditionnels. Ces attaques sont appelées hit and run.

L’importance des SOC de nouvelle génération

Le SOC (Security Operations Center) incarne la première ligne de défense contre les attaques DDoS. Son rôle va bien au-delà de la simple surveillance : il orchestre une stratégie proactive et adaptative, essentielle dans un paysage de menaces en constante évolution.

Compréhension fine des services critiques et configuration préventive améliorée en continu

Tout commence par un dialogue étroit avec les responsables métiers et techniques pour identifier les services à protéger, comprendre leur fonctionnement, leur criticité et les flux qui y transitent. Cette cartographie précise permet de prioriser la défense sur les actifs réellement stratégiques. Avant même qu’une attaque ne survienne, le SOC définit des profils de protection personnalisés, en calibrant les seuils d’alerte et les règles de filtrage selon le contexte. Ces paramètres sont pré-intégrés dans les boîtiers anti-DDoS, prêts à être activés immédiatement en cas d’alerte. Cette préparation en amont permet un gain de temps décisif au moment critique. Dans une approche d’amélioration continue, le SOC analyse les graphiques et statistiques régulièrement, même en dehors des périodes d’attaque, pour ajuster les seuils et les profils de protection, garantissant ainsi une défense toujours plus efficace et adaptée aux nouvelles menaces.

Une analyse et une adaptation en temps réel

Lorsqu’une attaque est détectée, le SOC entre dans une phase d’analyse dynamique. Les équipes observent le comportement du trafic, identifient les vecteurs d’attaque et adaptent les seuils ou les règles de filtrage en conséquence. Face à des attaques qui changent d’intensité, de technique et d’origine en quelques secondes, les SOC de nouvelle génération se distinguent par leur capacité d’adaptation immédiate. En lien direct avec les systèmes de détection, ils affinent leur réponse en permanence. Cette réactivité humaine et technologique combinée est un point central qui permet une adaptation en temps réel, indispensable face à des attaques toujours plus agiles et ciblées.

Filtrage intelligent et sélectif

L’objectif : bloquer l’attaque sans perturber l’activité légitime. Grâce à des modules avancés capables d’identifier des patterns malveillants, le SOC ajuste dynamiquement les filtres pour bloquer la menace et ainsi préserver les ressources tout en évitant les faux positifs. Ce travail de précision est crucial pour garantir la continuité de service tout en neutralisant la menace sans impacter l’activité légitime.

Rapport ANSSI