COMMUNIQUÉ DE PRESSE

Éviter le charbon dans les stocks des détaillants en ligne : Defense.Net, pionnier de l'atténuation des attaques DDoS, donne sept conseils pour protéger les sites de commerce électronique contre les attaques du cyber lundi.

Publié le 25 novembre 2013

CONTACTS PRESSE

Nathan Misner
Sr. Directrice des communications mondiales
Réseaux F5
(206) 272-7494
n.misner@F5.com

Holly Lancaster
Communication WE
(415) 547-7054
hluka@waggeneredstrom.com

Mesures que les détaillants en ligne peuvent prendre pour éviter une panne catastrophique de leur site web pendant la période d'achat la plus critique de l'année

BELMONT, CALIFIQUE - Defense.Net, la seule société conçue pour atténuer l'ampleur et la sophistication croissantes des attaques modernes par déni de service distribué (DDoS), a publié aujourd'hui les sept principaux conseils permettant aux sites de commerce électronique de se protéger contre les cyber-attaques pendant la période d'achats la plus chargée de l'année. Ces conseils, prodigués par Barrett Lyon, pionnier de la cybersécurité et de l'atténuation des attaques DDoS, interviennent alors que les nouvelles attaques DDoS, qui peuvent mettre hors service les sites web d'entreprises même bien défendues, ont gagné en ampleur et en fréquence au cours des 12 derniers mois.

"Les détaillants en ligne et les autres entreprises qui dépendent de leur site web pour mener leurs activités n'ont qu'à se rappeler ce qui est arrivé à Burlington Coat Factory il y a deux ans, lorsqu'une attaque DDoS a bloqué leur site web pendant 45 heures", a déclaré Barrett Lyon, fondateur et directeur technique de Defense.Net, dont la poursuite de pirates informatiques opérant dans le cadre de la mafia russe a fait l'objet d'un livre à succès, Fatal System Error. "Alors que 2013 a vu une augmentation sans précédent des attaques DDoS, il existe quelques mesures simples que les détaillants en ligne peuvent prendre pour éviter les pertes financières dévastatrices d'une attaque DDoS pendant la période critique des achats de Noël ou le Cyber Monday, la journée d'achat en ligne la plus fréquentée de l'année."

Dans les attaques DDoS, les auteurs rassemblent une armée d'ordinateurs compromis (un botnet) pour inonder un site web d'un volume de requêtes qui le submerge et le fait tomber en panne. Récemment, la facilité d'accès à des outils d'attaque sophistiqués a atteint un niveau tel qu'un réseau de zombies capable de causer des millions de dollars de dégâts en quelques minutes peut être loué pour 7 dollars de l'heure. Cela a permis de diffuser une arme qui était auparavant l'apanage de cybercriminels sophistiqués à un large public dont les motivations pour attaquer un site web varient : concurrents commerciaux, clients ou anciens employés mécontents, extorqueurs ou "hacktivistes" qui s'opposent à la vente d'une marchandise. Selon Forrester, l'impact estimé peut être de l'ordre de 2,1 millions de dollars perdus par tranche de quatre heures d'inactivité d'un site web et de 27 millions de dollars pour une panne de 24 heures, en fonction de la taille de l'entreprise.

Trop d'entreprises pensent aujourd'hui qu'une attaque DDoS ne pourrait jamais leur arriver, mais lorsque j'ai récemment présenté l'événement "Retail Center of Innovation" dans la Silicon Valley et parlé avec les plus grandes marques participant à l'événement, plus d'un tiers d'entre elles ont déclaré que leurs marques avaient été attaquées par DDoS au cours de la semaine écoulée", a déclaré Chris Risley, PDG de Defense.Net. "Si un pirate informatique voulait attaquer un site de commerce électronique et obtenir le plus grand impact possible, le Cyber Monday serait une cible évidente. Il est plus important que jamais que les sites de vente au détail se préparent à l'avance et gardent une longueur d'avance sur les attaques potentielles".

Barrett Lyon, de Defense.Net, donne sept conseils aux sites de commerce électronique pour se protéger d'une attaque DDoS :

1. Évaluez vos risques et évitez le syndrome du "ça ne pourrait jamais m'arriver".

Évaluez vos risques et évitez le syndrome du "ça ne pourrait jamais m'arriver". Y a-t-il des clients mécontents, des partenaires, d'anciens employés, etc. qui pourraient être suffisamment convaincus pour lancer une attaque contre vous ? Vendez-vous des articles qui pourraient être considérés comme répréhensibles par quiconque, tels que des manteaux de fourrure, des articles fabriqués dans des "ateliers de misère" réels ou perçus comme tels, etc. Gardez à l'esprit que même si vous pensez que personne n'en veut à votre entreprise, vous pouvez à tout moment recevoir une "note de rançon" d'un extorqueur qui exige un paiement pour empêcher une attaque DDoS imminente sur votre site web.

2. Écouter les conversations

De nombreux pirates le font pour la reconnaissance, en particulier dans le cas des attaques DDoS qui sont souvent utilisées à des fins punitives par rapport à d'autres formes de cybercriminalité où l'auteur cherche à obtenir un gain financier. Tenez-vous au courant des nouvelles, des blogs et des forums tels que Pastebin, que les pirates utilisent pour se vanter de leurs exploits, afin de vous préparer au mieux avant qu'une attaque ne soit lancée. Surveillez de près votre marque sur les médias sociaux, car il est probable que vous entendiez parler d'une attaque d'abord sur Twitter.

3. Parlez-en à votre fournisseur de services

La plupart des fournisseurs de services proposent des services d'atténuation des attaques DDoS à un coût nominal. Toutefois, il est important de vérifier les ressources en bande passante de votre fournisseur de services. Notez qu'une attaque DDoS de grande ampleur contre l'un des autres clients de votre fournisseur de services pourrait réduire la capacité de ce dernier à protéger d'autres clients, ce qui rendrait votre site vulnérable. Autre élément à prendre en compte : l'atténuation des attaques étant coûteuse et accessoire par rapport à leur activité principale, la plupart des fournisseurs de services annuleront votre protection si vous êtes régulièrement victime d'attaques.

4. Envisager des ressources d'atténuation supplémentaires

Recherchez les options disponibles pour une défense plus agressive contre les attaques DDoS. Les options vont de la construction de votre propre réseau à l'installation de matériel d'atténuation des attaques DDoS, en passant par l'utilisation des services d'un fournisseur de services d'atténuation des attaques DDoS basés sur l'informatique en nuage. Ces options varient en termes de coût et de complexité, mais elles constituent la meilleure police d'assurance contre une panne catastrophique du site. Il est à noter que si ces systèmes sont installés avant qu'une attaque ne se produise, les mesures d'atténuation seront nettement plus efficaces et moins coûteuses que si elles sont mises en place une fois que l'attaque a commencé.

5. Comprendre les signes avant-coureurs d'une attaque contre votre site

Les attaques DDoS sont souvent diagnostiquées à tort comme des niveaux de trafic légitime supérieurs à la normale. Les détaillants sont particulièrement vulnérables à ce phénomène pendant la période des fêtes de fin d'année, lorsque l'on s'attend à une augmentation du trafic, mais que l'ampleur de cette augmentation est imprévisible. En collaborant avec votre fournisseur de services ou en développant des capacités internes pour examiner les adresses IP du trafic entrant sur votre site web, vous pouvez évaluer la légitimité des visiteurs de votre site et déployer des contre-mesures avant qu'une attaque ne submerge vos défenses.

6. En dernier recours, savoir qui appeler en cas d'urgence

Préparez une liste des meilleurs services d'atténuation auxquels vous pouvez faire appel pour rétablir votre site s'il a été mis hors service par une attaque DDoS. Comme indiqué plus haut, cette solution sera plus coûteuse et laissera des "dommages collatéraux", à l'instar des pompiers qui brisent les fenêtres et les murs, laissent des dégâts d'eau, mais éteignent l'incendie.

7. En cas d'attaque, ne perdez pas de vue le magasin

Récemment, des attaques DDoS ont été lancées pour permettre aux cybercriminels de voler des informations sur les cartes de crédit ou des mots de passe, ou de commettre d'autres actes de cybercriminalité au-delà de la fermeture de votre site web. Dans d'autres cas, les cybercriminels recherchent un site victime d'une attaque DDoS et tentent opportunément de voler des données lorsque l'attention de l'entreprise est concentrée sur l'attaque DDoS et le rétablissement du site web. Veillez à faire preuve de la même vigilance à l'égard des attaques en cascade lorsque vous atténuez les effets d'une attaque DDoS.

Pour plus d'informations, lisez le livre blanc de Barrett Lyon, fondateur et directeur technique de Defense.Net, sur le paysage des menaces DDos.

A propos de Defense.Net

Fondée par Barrett Lyon, qui a créé le secteur de l'atténuation des attaques par déni de service distribué (DDoS) il y a plus de 10 ans, Defense.Net a réuni les plus grands esprits de l'espace DDoS avec de nouvelles technologies révolutionnaires conçues pour répondre efficacement aux défis d'atténuation des DDoS d'aujourd'hui et de demain. C'est la seule entreprise à défendre les entreprises et les organisations contre cette nouvelle génération d'attaques DDoS massives et sophistiquées tout en offrant les plus hauts niveaux de performance des applications Internet - deux domaines dans lesquels les anciens services d'atténuation des attaques DDoS n'ont pas été en mesure de faire face aux stratégies modernes des cyberattaquants d'aujourd'hui. Face aux menaces croissantes liées à l'ampleur et à la complexité grandissantes des attaques DDoS et au nombre croissant d'antagonistes prêts à les utiliser, Defense.Net protège les organisations contre les attaques modernes en offrant aux utilisateurs finaux une expérience transparente, comme si aucune attaque n'était en cours. L'entreprise a levé plus de 9,5 millions de dollars en financement par emprunt et par actions auprès d'investisseurs qui comprennent Bessemer Venture Partners (BVP), un investisseur visionnaire dans le domaine de la sécurité et de l'internet.

Addendum : F5 Networks a acquis Defense.Net en mai 2014

À propos de F5

F5 (NASDAQ: FFIV) rend les applications plus rapides, plus intelligentes et plus sûres pour les plus grandes entreprises, fournisseurs de services, gouvernements et marques grand public du monde. F5 fournit des solutions cloud et de sécurité qui permettent aux organisations d'adopter l'infrastructure applicative de leur choix sans sacrifier la vitesse et le contrôle. Pour plus d'informations, rendez-vous sur f5.com. Vous pouvez également suivre @f5networks sur Twitter ou nous rendre visite sur LinkedIn et Facebook pour plus d'informations sur F5, ses partenaires et ses technologies.

F5 est une marque commerciale ou une marque de service de F5 Networks, Inc., aux États-Unis et dans d'autres pays. Tous les autres noms de produits et d'entreprises mentionnés ici peuvent être des marques commerciales de leurs propriétaires respectifs.

# # #

Ce communiqué de presse peut contenir des déclarations prospectives relatives à des événements futurs ou à des performances financières futures qui impliquent des risques et des incertitudes. De telles déclarations peuvent être identifiées par une terminologie telle que « peut », « va », « devrait », « s'attend à », « planifie », « anticipe », « croit », « estime », « prédit », « potentiel » ou « continue », ou la forme négative de ces termes ou de termes comparables. Ces déclarations ne sont que des prédictions et les résultats réels pourraient différer sensiblement de ceux anticipés dans ces déclarations en fonction d'un certain nombre de facteurs, y compris ceux identifiés dans les documents déposés par la société auprès de la SEC.