Les coûts et les conséquences d’une attaque DDoS

Mon premier billet de cette série portait sur les éléments de base des attaques par déni de service distribué (DDoS) : leur fonctionnement, les différents types d’attaques et les secteurs de votre infrastructure TI pouvant être ciblés.

Et pourtant, même lorsque les chefs d’entreprise savent de quoi elles retournent, ils ne sont pas toujours conscients du lourd impact que ces attaques peuvent avoir sur leurs activités. Les attaques DDoS n’ont peut-être pas les mêmes conséquences que le vol de millions de numéros de carte de crédit, mais elles peuvent tout de même être dévastatrices pour les entreprises de toutes tailles.

Un effet immédiat sur votre rentabilité

Le but des attaques DDoS est d’affecter l’expérience client des utilisateurs finaux d’une entreprise. Ou bien votre site Web devient complètement hors ligne de sorte qu’aucun trafic légitime ne peut passer, ou bien votre serveur devient si lent et léthargique que, même s’ils pouvaient accéder à votre site, vos clients ne pourraient rien faire avec.

Si vous exécutez des applications de commerce électronique et que votre site Web cesse de fonctionner, les clients désirant acheter vos produits pourraient aller voir ailleurs. Autrement dit, votre capacité de vendre est immédiatement compromise.

Même si vous ne vendez pas de produits en ligne, votre site Web peut néanmoins être une source essentielle de renseignements ou de services. Lorsque votre réseau ou vos serveurs sont ciblés par une attaque, les clients actuels ne peuvent plus accéder au soutien dont ils ont besoin. Cela peut engendrer une hausse marquée des appels ou des courriels reçus, ce qui surchargerait les lignes de communication, qui pourraient autrement servir à des fins plus productives.

Le coût élevé des mesures correctives

Contrer une attaque DDoS pourrait s’avérer très coûteux. Combien de personnes devront consacrer leurs efforts à lutter contre l’attaque au lieu de s’occuper des activités informatiques essentielles de votre entreprise? Combien de temps faudra-t-il pour redémarrer vos applications ou vos serveurs, puis les tester afin d’en vérifier le bon fonctionnement? Et si des données sont perdues? Si, par exemple, votre serveur plante pendant qu’une transaction est en cours, tout le disque pourrait être corrompu en raison d’une erreur de lecture et d’écriture, ce qui pourrait vous obliger à recréer toutes les transactions effectuées depuis votre dernière sauvegarde.

Selon la nature et le moment de l’attaque, remettre sur pied votre site Web ou votre serveur pourrait prendre des heures, voire des jours. D’après un sondage mené par Forrester Research auprès des décideurs canadiens directement impliqués dans les systèmes accessibles aux clients, 35 % disent qu’il leur en coûterait entre 10 000 $ et 100 000 $ pour résoudre une attaque DDoS, tandis que 25 % ont répondu qu’il leur en coûterait de 100 000 $ à 1 million $. De plus, une étude mondiale menée cette année a révélé que les attaques DDoS faisaient partie des attaques qui coûtaient le plus cher aux entreprises (elles sont dépassées uniquement par les cybercrimes commis par des initiés malveillants) – selon le Ponemon Institute, le coût moyen s’élève à 126 545 $ par incident.

Une atteinte directe à votre réputation

Les chiffres indiqués ci-dessus ne tiennent pas compte des coûts associés à la perte de réputation ni à la fidélisation ou à l’acquisition de clients. Si votre site Web est votre produit, ou si le rendement de votre produit dépend de la disponibilité de votre serveur, vos clients pourraient ne pas avoir accès à des services pour lesquels ils ont déjà payé. Cela peut susciter de la colère et de la frustration, ce qui pourrait avoir un effet négatif sur votre image de marque. Les clients qui ont une mauvaise expérience peuvent aussi en faire part à d’autres, notamment dans les médias sociaux. Ainsi, même une fois l’attaque DDoS résolue, l’effet sur votre réputation peut affecter vos ventes des semaines, voire des mois durant.

Revenons au sondage de Forrester Research. Voici comment les entreprises ont classé en général les effets indirects de l’indisponibilité de leur site Web pendant une heure ou plus :

Les grandes entreprises ne sont pas les seules touchées

Selon le rapport Global Application and Network Security Report 2014–2015 de Radware, aucun secteur d’activité n’est à l’abri d’une éventuelle attaque DDoS. Certaines organisations sont plus susceptibles d’être la cible d’une attaque, comme les ministères gouvernementaux, les entreprises de jeux vidéo et de jeux de hasard en ligne et les fournisseurs de services Internet. Cependant, de nombreuses autres entreprises sont tout de même exposées à d’importants risques, notamment dans les secteurs suivants : finances, vente au détail, éducation, soins de santé, énergie et services publics, et services juridiques.

Même si nous n’entendons habituellement parler des attaques DDoS que lorsque des gouvernements, des banques et des multinationales sont ciblés, en fait les entreprises de toutes tailles sont touchées par ce fléau. Dans le secteur financier, par exemple, des caisses d’économie et des maisons de courtage de petite taille ont été la cible d’attaques DDoS. Pourtant, de nombreuses PME croient qu’elles ne sont pas suffisamment importantes pour être la cible de telles attaques. Par conséquent, elles choisissent de ne pas investir dans une forme quelconque de protection contre les attaques DDoS, ce qui les rend vulnérables.

En conclusion

Une grande entreprise multinationale peut avoir les ressources TI et les réserves financières voulues pour se remettre rapidement d’une attaque DDoS. Mais pour les petites et moyennes entreprises, une seule panne prolongée pourrait se traduire par des pertes irréversibles au chapitre des ventes et de la confiance des consommateurs.

La bonne nouvelle, c’est qu’il n’est pas nécessaire d’être une entreprise d’envergure mondiale dotée d’une équipe TI gigantesque pour se protéger. Dans mon prochain billet, je me pencherai sur certaines des options qui s’offrent à vous pour vous défendre contre les attaques DDoS, ainsi que sur les failles de votre actuelle stratégie de sécurité TI qui pourraient vous exposer à des risques.

Corey Still est professionnel en réseau et en cybersécurité chez Bell.