Les attaques DDoS sont devenues un risque banal pour tout site exposé. Les outils modernes permettent de s'en protéger efficacement, à condition de comprendre les enjeux et de faire les bons choix.
Qu'est-ce qu'une attaque DDoS
Distributed Denial of Service : inonder un serveur de requêtes pour le rendre inaccessible. Les requêtes proviennent de milliers voire millions de machines compromises (botnets). La plupart du temps, aucune donnée n'est volée, mais le service devient indisponible pendant la durée de l'attaque.
Les types d'attaques
Volumétriques : saturation de la bande passante (UDP flood, amplification DNS). Protocolaires : exploitation de faiblesses des protocoles (SYN flood, Ping of Death). Applicatives : requêtes HTTP légitimes mais massives qui consomment les ressources serveur (Slowloris, HTTP flood).
La mitigation par CDN
Les grands CDN (Cloudflare, Fastly, Akamai) disposent d'une capacité réseau énorme leur permettant d'absorber les attaques volumétriques. En plaçant son site derrière un CDN, on masque l'IP d'origine et on bénéficie d'une capacité de filtrage industrielle. Consultez notre article CDN et haute disponibilité mondiale.
Le scrubbing
Services spécialisés (Arbor, Radware, Imperva) qui analysent le trafic et ne laissent passer que les requêtes légitimes. Le trafic suspect est « scrubbé » (nettoyé) avant d'atteindre le serveur. Ces services sont facturés par mois ou par incident mitigé.
Les protections hébergeur
Les hébergeurs sérieux (OVH, AWS, Azure) intègrent en standard une protection DDoS de base. OVH revendique une capacité d'absorption de plusieurs Tbps. Pour des attaques plus sophistiquées (applicatives), une solution complémentaire est souvent nécessaire.
Le rate limiting
Limiter le nombre de requêtes par IP et par minute au niveau du serveur (Nginx, HAProxy, Cloudflare). Bloque efficacement les attaques applicatives simples. À ajuster finement pour ne pas bloquer les utilisateurs légitimes (notamment derrière un CGN mobile).
Les CAPTCHA et JavaScript challenges
Pour filtrer les bots, présenter un CAPTCHA ou un défi JavaScript aux requêtes suspectes. Cloudflare le fait automatiquement au besoin. Efficace contre les attaques de bots simples, mais pas contre les botnets sophistiqués qui résolvent les CAPTCHA.
Le plan de réponse
Même avec des protections, une attaque inhabituelle peut passer. Avoir un plan : qui contacter (hébergeur, prestataire de sécurité), quelles actions entreprendre (activer la protection renforcée, bloquer des plages IP), comment communiquer aux utilisateurs (page de maintenance).
Le coût vs risque
Protection DDoS basique : quelques euros par mois. Protection premium : 50 à 500 € par mois. Services scrubbing entreprise : plusieurs milliers par mois. À ajuster selon la criticité et l'exposition du service. Pour plus d'informations, consultez notre article sécurité d'hébergement, backup et DDoS et notre guide complet.
