DDoS

Un DDoS, ou attaque par déni de service distribué, est une cyberattaque visant à rendre un système numérique indisponible. L’attaquant s’appuie sur un très grand nombre d’ordinateurs ou d’objets connectés infectés (regroupés en réseau, qu’on appelle botnet) pour inonder un site web ou un serveur. Saturé, le système ne parvient plus à répondre aux demandes légitimes : il “plante”, ralentit ou devient inaccessible.
Dans le secteur public, ce type d’attaque touche particulièrement les collectivités territoriales. Sites internet de mairies, plateformes d’état civil, guichets de démarches en ligne : tous peuvent être visés, notamment en période électorale ou lors de la publication de données sensibles. Ce que les collectivités vivent comme un simple problème technique peut donc parfois être une attaque par déni de service. À la différence d’une défaillance technique, un DDoS relève d’une action malveillante, souvent coordonnée. Et tout acteur exposé en ligne, même une petite commune, peut en être la cible.

Comment fonctionne un DDoS ?

Une attaque de déni de service distribué (DDoS) exploite la multiplication artificielle de requêtes par de nombreuses adresses IP pour submerger un service en ligne. L’attaquant prend le contrôle d’un grand nombre de machines connectées à l’insu de leurs propriétaires. Ces machines zombifiées forment un botnet, activé à distance pour envoyer massivement des demandes à la cible. Selon le protocole utilisé (HTTP, DNS, TCP, etc.), les requêtes peuvent viser à saturer la bande passante, à épuiser les ressources serveur, ou à provoquer des comportements anormaux dans les applications web.
Certaines attaques cherchent la puissance brute (attaques volumétriques), d’autres exploitent les failles de configuration ou des mécanismes de réponse automatiques (attaques par amplification). Les collectivités doivent donc anticiper plusieurs vecteurs, en mettant en place des protections réseau (pare-feu applicatif, limitation de débit, détection comportementale) et des mécanismes de résilience avec leur prestataire ou opérateur.

Existe-t-il des anti-DDoS ?

Les collectivités doivent se préparer à plusieurs types d’attaques DDoS, qui ne ciblent pas toutes les mêmes points faibles. Certaines submergent la bande passante, d’autres visent le serveur ou exploitent des failles applicatives. Pour y faire face, plusieurs dispositifs complémentaires peuvent être activés.
-Le filtrage applicatif (ou pare-feu applicatif) surveille et bloque les requêtes anormales en amont, par exemple celles qui reproduisent sans arrêt la même action ou qui contiennent des structures suspectes. Cette technique distingue les requêtes légitimes des attaques en se basant sur des règles précises.
-La limitation de débit (rate limiting) agit comme un robinet : elle limite le nombre de requêtes autorisées par adresse IP sur une période donnée, ce qui ralentit ou bloque les flux massifs issus d’un botnet.
-La détection comportementale analyse le trafic en temps réel pour identifier les anomalies : pics soudains, volumes inhabituels, ou comportements de navigation irréalistes. Cette technique s’appuie souvent sur des algorithmes d’analyse statistique ou d’intelligence artificielle.
-Enfin, des services de mitigation DDoS proposés par certains hébergeurs filtrent le trafic avant qu’il n’atteigne le serveur web de la collectivité. Ces services redirigent les requêtes vers des centres de nettoyage capables d’absorber l’attaque sans impacter l’infrastructure cible.

Cadre juridique et réglementaire lié au DDoS

Selon le code pénal, les attaques de type DDoS constituent un délit. L'auteur encourt jusqu'à cinq ans d’emprisonnement et 150 000 € d’amende. Si l’infraction est commise en bande organisée, la peine peut atteindre dix ans.
Pour les collectivités territoriales, la gestion de ce risque s’inscrit dans les obligations liées à la cybersécurité des systèmes d’information. En cas d’incident, les communes doivent documenter le problème, alerter leur prestataire et, si besoin, déclarer l’attaque à l’ANSSI. Lorsque des données personnelles sont potentiellement exposées ou inaccessibles, une notification à la CNIL peut également s’imposer.