Cyberattaques DDoS : toutes les collectivités sont ciblées

En 2024, plus de 4 incidents cyber visant les collectivités territoriales sont enregistrés chaque semaine en France. (1) Ces incidents représentent 14% de l’ensemble des incidents traités par l’ANSSI sur la période.

Au cours de la période étudiée, l’ANSSI a traité 44 incidents affectant des départements et 29 incidents affectant des régions. Ces chiffres se révèlent élevés en comparaison du nombre de départements (101) et de régions (18) sur le territoire français. (1)

Les collectivités semblent ciblées essentiellement parce qu’elles représentent l’administration française. Ces dernières détiennent une mine d'or de données personnelles, souvent géolocalisées, et sont interconnectées avec des opérateurs clés tels que l'énergie, l'eau, les transports et d'autres administrations.

Parmi les incidents ayant affecté les collectivités, on retrouve majoritairement des compromissions de comptes de messagerie (30% des événements signalés) puis les attaques en déni de service distribué (DDoS) (26% des événements signalés) (1).

Selon le dernier panorama publié par l’ANSSI, le nombre d’attaques DDoS en 2024 a doublé par rapport à 2023. Un constat alarmant qui souligne la montée en puissance des groupes hacktivistes et cybercriminels, souvent soutenus par des acteurs étatiques.

Des attaques visant à déstabiliser

Une attaque DDoS consiste, la plupart du temps, à exploiter des systèmes vulnérables compromis, qui vont simultanément saturer un serveur, un service ou une infrastructure, afin de priver les agents ou les utilisateurs légitimes de la collectivité. Ces attaques visent à décrédibiliser et déstabiliser les collectivités ciblées, semant le doute sur leur fiabilité et leur cybersécurité. Certaines opérations peuvent servir de levier pour des demandes de rançon, saturer les dispositifs de sécurité, voire aveugler les solutions de supervision (SIEM), pour faciliter d'autres attaques.

Les conséquences d’une attaque en déni de service peuvent être considérables pour une collectivité : interruption d’activité et de service, fuite de données à caractère personnelle, perte financière, engagement de responsabilité, atteinte à la réputation et plus encore.

Le DNS toujours très ciblé

Les attaques DDoS se présentent sous diverses formes, parmi lesquelles les attaques volumétriques classiques qui visent à congestionner les liens réseau pour produire de la perte et celles ciblant les capacités de traitement pour directement perturber la délivrance de services tels que DNS, web, LDAP, etc. Les attaques peuvent exploiter des failles structurelles des protocoles. Le service DNS, essentiel au fonctionnement d’Internet, est une cible privilégiée. Selon le rapport 2023 IDC Threat Report, 90 % des organisations subissent 7,5 attaques DNS par an. Le DNS est vulnérable en raison de l’absence de connexion préalable entre l’expéditeur et le destinataire, et de l’impossibilité de filtrage géographique. L’usurpation facile des demandes DNS peut entraîner des attaques par réflexion et amplification. Les attaquants peuvent ainsi augmenter, sans surcoût pour leur botnet, l’efficacité de leurs attaques. Les requêtes DNS peuvent être envoyées de manière aléatoire et dispersée, rendant ainsi plus complexe l’identification des botnets.

Les attaquants exploitent ces caractéristiques pour générer de fausses requêtes, usurper des sources et rediriger des flux massifs vers leurs cibles. Cela entraîne une saturation de la capacité de traitement des serveurs. Les attaques DNS ciblent généralement la couche applicative, rendant difficile la distinction entre le trafic légitime et malveillant. De plus, ces attaques nécessitent moins de ressources pour l'attaquant tout en rendant le service DNS indisponible de manière aussi efficace. Très souvent, par effet de bord, bien d’autres services sont impactés.

Botnets : la saturation fatale pour le Déni de Service

Les groupes responsables de ces attaques DDoS s’appuient sur des réseaux de machines infectées — des botnets — de plus en plus vastes. En septembre 2024, un botnet mondial a été démantelé après avoir ciblé des infrastructures critiques dans plusieurs pays. Ce type d’opération démontre l’ampleur et la coordination derrière les attaques DDoS actuelles.

Mieux se protéger

Les attaques volumétriques sont généralement repérables par une forte occupation des liens réseau. En revanche, les attaques plus fines, notamment celles qui ciblent le traitement applicatif ou le DNS, sont plus difficiles à détecter. Les attaquants peuvent aussi alterner des salves de quelques secondes avec des pauses, visant à contourner les mécanismes de protection traditionnels. Les pics engendrés par l’attaque sont rapides et courts mais peuvent suffire à saturer les capacités de traitement pour quelques minutes. Ces attaques sont appelées hit and run.

Cette situation problématique est amplifiée par le développement des botnets, évoqué précédemment. En effet, il faut bien comprendre que des botnets puissants permettent de lancer des attaques massives, mais aussi des attaques de plus en plus malignes (par exemple attaques hyper-distribuées avec des bots très nombreux et très peu de flux par bot). C’est le nombre et la diversité des bots dans lesquels l’attaquant peut puiser, pour une plus grande variété d’attaques, qui constituent la dangerosité.

Face à cette évolution, certains boîtiers de filtrage, notamment souverains, affichent un temps de réaction pour le blocage des attaques de quelques secondes, empêchant toute coordination d’attaques ultra-courtes à l’échelle mondiale. Ce niveau de performance rend la tâche très difficile aux assaillants, pour qui il est compliqué de synchroniser avec autant de précision les membres d’un botnet.

Dans ce contexte d’attaques DDoS toujours plus sophistiquées, la réactivité n’est plus un luxe, c’est une nécessité. C’est particulièrement vrai pour les attaques multi vectorielles, qui changent sans cesse de méthode et d’origine, rendant la défense statique faillible.

L’importance de s’appuyer sur des SOC de nouvelle génération

Le SOC (Security Operations Center) incarne la première ligne de défense contre les attaques DDoS. Son rôle va bien au-delà de la simple surveillance : il orchestre une stratégie proactive et adaptative, essentielle dans un paysage de menaces en constante évolution.

1. Compréhension fine des services critiques et configuration préventive améliorée en continu

Tout commence par un dialogue étroit avec les responsables métiers et techniques pour identifier les services à protéger, comprendre leur fonctionnement, leur criticité et les flux qui y transitent. Cette cartographie précise permet de prioriser la défense sur les actifs réellement stratégiques.

Avant même qu’une attaque ne survienne, le SOC définit des profils de protection personnalisés, en calibrant les seuils d’alerte et les règles de filtrage selon le contexte. Ces paramètres sont pré-intégrés dans les boîtiers anti-DDoS, prêts à être activés immédiatement en cas d’alerte. Cette préparation en amont permet un gain de temps décisif au moment critique. Dans une approche d’amélioration continue, le SOC analyse les graphiques et statistiques régulièrement, même en dehors des périodes d’attaque, pour ajuster les seuils et les profils de protection, garantissant ainsi une défense toujours plus efficace et adaptée aux nouvelles menaces.

Plusieurs modes de protection existent et permettent de s’adapter à différents contextes des services à protéger. La protection peut être plus ou moins stricte et activée en permanence ou bien seulement activée en cas d’attaque. La bascule dans le mode protection peut alors se faire manuellement ou automatiquement en fonction de la politique retenue.

2. Une analyse et une adaptation en temps réel

Lorsqu’une attaque est détectée, le SOC entre dans une phase d’analyse dynamique. Les équipes observent le comportement du trafic, identifient les vecteurs d’attaque et adaptent les seuils ou les règles de filtrage en conséquence. Face à des attaques qui changent d’intensité, de technique et d’origine en quelques secondes, les SOC de nouvelle génération se distinguent par leur capacité d’adaptation immédiate. En lien direct avec les systèmes de détection, ils affinent leur réponse en permanence. Cette réactivité humaine et technologique combinée est un point central qui permet une adaptation en temps réel, indispensable face à des attaques toujours plus agiles et ciblées.

3. Filtrage intelligent et sélectif

L’objectif : bloquer l’attaque sans perturber l’activité légitime. Grâce à des modules avancés capables d’identifier des patterns malveillants, le SOC ajuste dynamiquement les filtres pour bloquer la menace et ainsi préserver les ressources tout en évitant les faux positifs. Ce travail de précision est crucial pour garantir la continuité de service tout en neutralisant la menace sans impacter l’activité légitime.

Par Aurélien BOUZON chez IMS Networks et Fabrice CLERC chez 6cure.

(1) https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-002.pdf

De janvier à décembre 2024, l’ANSSI a traité 218 incidents cyber affectant les collectivités territoriales, soit une moyenne de 18 incidents par mois. Le périmètre étudié prend en compte les communes, les établissements publics de coopération intercommunales (EPCI), les départements, les régions, les collectivités territoriales uniques et collectivités d’outre-mer. Ces incidents représentent 14% de l’ensemble des incidents traités par l’ANSSI sur la période.

Pour plus d’information retrouvez notre webinaire à la demande ici :