Attaques DDoS au titre de NIS2
Signaux de détection, couches d'atténuation et décision de déclaration au titre de l'article 23 de NIS2 et de l'article 11, paragraphe 6, du CIR 2024/2690.
Pourquoi le DDoS se situe pleinement dans l'article 23
Une attaque par déni de service distribué sature une cible de trafic provenant de nombreuses sources de sorte que les utilisateurs légitimes ne peuvent plus atteindre le service. Au titre de NIS2, la catégorie technique importe moins que l'effet. Dès qu'un DDoS dégrade ou interrompt de manière mesurable un service que l'entité fournit, l'article 23 de NIS2 en fait un événement à déclarer assorti d'une cascade fixe.
L'article 11, paragraphe 6, du règlement d'exécution (UE) 2024/2690 de la Commission (le CIR) nomme explicitement le déni de service comme l'une des catégories qui, pour les fournisseurs d'infrastructure numérique et de services TIC, comptent comme un incident important. Pour les autres entités essentielles et importantes, le test général d'importance de l'article 23, paragraphe 3, de NIS2 s'applique. L'impact sur la disponibilité du service est le déclencheur dominant dans les deux cas.
Une entité qui exploite un site web, une API, un portail en ligne, une passerelle de paiement, un résolveur DNS ou tout autre service exposé sur internet atteint généralement le seuil de déclaration plus vite qu'elle ne peut dimensionner ses défenses. La cascade juridique commence donc à courir en parallèle de l'atténuation, et non après.
Directive de l'UE (contraignante dans toute l'Union)
Les États membres veillent à ce que les entités essentielles et importantes transmettent au CSIRT ou, le cas échéant, à l'autorité compétente : (a) sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l'incident important, une alerte précoce ; (b) sans retard injustifié et en tout état de cause dans les 72 heures après avoir eu connaissance de l'incident important, une notification d'incident ; (c) un rapport intermédiaire sur les mises à jour pertinentes de la situation, à la demande d'un CSIRT ou, le cas échéant, de l'autorité compétente ; (d) un rapport final au plus tard un mois après la transmission de la notification d'incident visée au point b) ; (e) en cas d'incident en cours au moment de la transmission du rapport final visé au point d), les États membres veillent à ce que les entités concernées fournissent un rapport d'avancement à ce moment-là et un rapport final dans un délai d'un mois à compter du traitement de l'incident.
Article 23, paragraphe 4, de NIS2. Le compteur de déclaration démarre au moment où l'entité a connaissance de l'incident important, et non lorsque l'atténuation commence ou se termine. Un DDoS toujours en cours au seuil d'un mois déclenche la variante de rapport d'avancement du point e).
Règlement d'exécution de l'UE (détail technique contraignant)
Une attaque par déni de service ou une attaque par déni de service distribué est considérée comme un incident important pour les entités fournissant des services d'infrastructure numérique et les entités fournissant de la gestion de services TIC, lorsque l'attaque entraîne une indisponibilité complète du service ou une dégradation importante du service.
Article 11, paragraphe 6, du règlement d'exécution (UE) 2024/2690 de la Commission. Le CIR s'applique directement aux fournisseurs de services DNS, aux registres de noms de domaine de premier niveau, aux fournisseurs de services d'informatique en nuage, aux fournisseurs de services de centres de données, aux fournisseurs de réseaux de diffusion de contenu, aux fournisseurs de services gérés, aux fournisseurs de services de sécurité gérés, aux fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de services de réseaux sociaux. Pour ces types d'entités, un DoS ou un DDoS entraînant une indisponibilité complète ou une dégradation importante est, nommément, important.
Exemple national (Allemagne)
Wesentliche und wichtige Einrichtungen melden dem Bundesamt erhebliche Sicherheitsvorfälle. Die Meldung erfolgt unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme als Frühwarnung, innerhalb von 72 Stunden als Meldung mit erster Bewertung und innerhalb eines Monats als Abschlussbericht.
§ 32 BSIG (NIS2UmsuCG). La transposition allemande reflète la cascade de l'article 23, paragraphe 4, verbatim. Les rapports vont au BSI via le Meldeportal. D'autres États membres utilisent leur propre CSIRT national ou autorité compétente. La substance est identique.
Signaux de détection au niveau du SOC
Les indicateurs types relevés par la supervision réseau ou un SOC comprennent un pic soudain du volume de trafic entrant, une chute du taux de requêtes réussies, des nombres de connexions anormaux sur les équipements de bordure, une vague d'agents utilisateurs ou de schémas de requêtes identiques, une latence ou une perte de paquets accrue sur les liens du périmètre, et des alertes de saturation provenant des fournisseurs en amont. Combinés à une baisse mesurable de la disponibilité du service, ces indicateurs transforment un événement en incident au sens de l'article 6, paragraphe 6, de NIS2.
Couches d'atténuation couramment utilisées
Les schémas d'atténuation courants comprennent le filtrage du trafic en amont chez le fournisseur d'accès à internet, le nettoyage via un service tiers de protection DDoS, la limitation de débit et l'étranglement des connexions en bordure, l'anycast et la distribution géographique, le blackholing ou le null-routing des sources d'attaque au niveau de l'opérateur, et des protections de la couche applicative telles que la gestion des bots. La défense en couches est décrite ici, et non recommandée ; la combinaison proportionnée dépend de l'évaluation des risques de l'entité au titre de l'article 21 de NIS2.
Décision de déclaration au titre de l'article 23
Dès que la disponibilité du service est affectée d'une manière qui satisfait l'article 23, paragraphe 3, de NIS2 ou, pour les entités d'infrastructure numérique, l'article 11, paragraphe 6, du CIR, la cascade commence : alerte précoce dans les 24 heures, notification d'incident dans les 72 heures, rapport intermédiaire sur demande, rapport final dans un délai d'un mois, rapport d'avancement si l'incident est toujours en cours au seuil d'un mois.
C'est l'impact sur le service, et non le volume de l'attaque, qui est le déclencheur
L'article 23, paragraphe 3, de NIS2 définit l'importance par l'effet sur le service : perturbation opérationnelle grave, perte financière, ou dommage matériel ou immatériel à d'autres personnes physiques ou morales. Une attaque de 500 Gbit/s entièrement absorbée n'est pas, en soi, un incident important. Une attaque de 5 Gbit/s qui met un portail hors ligne pendant une heure l'est généralement. Le test de l'article 11, paragraphe 6, du CIR pour les entités d'infrastructure numérique est encore plus direct : indisponibilité complète ou dégradation importante.
Le DDoS masque souvent un événement de second stade
Les attaques volumétriques servent parfois de couverture à du credential stuffing, à de l'exfiltration de données ou au déploiement d'un rançongiciel. L'examen postérieur à l'incident exigé par l'article 23, paragraphe 4, point d), de NIS2 dans le rapport final distingue généralement entre l'événement de disponibilité visible et tout événement secondaire d'accès ou d'intégrité détecté pendant ou après le flot.
Le BSI comme CSIRT national et point de réception des déclarations
En Allemagne, le BSI reçoit les rapports de l'article 23 via le Meldeportal au titre du § 32 BSIG. Le BSI publie également des orientations de traitement des incidents telles que le BSI-Standard 200-4 (BCM) et des notes techniques opérationnelles ; ce sont des orientations, et non des obligations de déclaration supplémentaires. D'autres États membres disposent de structures parallèles (NCSC-NL, ANSSI, NCSC-IE, etc.).
Coopération des FAI et filtrage en amont
Les fournisseurs d'accès à internet peuvent absorber ou filtrer le trafic d'attaque avant qu'il n'atteigne la bordure du client. En Allemagne, les fournisseurs de communications électroniques opèrent sous le TKG et coopèrent avec le BSI pour la réponse aux menaces ; le BSI TR-03103 couvre les interfaces techniques pour certaines catégories. Le point clé pour l'entité déclarante est que l'atténuation par le FAI ne supprime pas l'obligation de déclaration de l'article 23 si le service a déjà été affecté.
Orientations techniques et paysage des menaces de l'ENISA
L'ENISA publie le rapport annuel Threat Landscape et des orientations de réponse aux incidents au titre de l'article 18 de NIS2. Le Threat Landscape 2024 confirme le DDoS comme l'une des principales catégories de menaces observées dans les secteurs de l'UE. Les documents de l'ENISA sont des références ; ils ne modifient pas la cascade de l'article 23.
Le FAI s'en occupe, donc rien n'a à être déclaré
Le filtrage côté FAI réduit l'impact mais ne modifie pas le déclencheur juridique. Si le service a été indisponible ou notablement dégradé entre le début de l'attaque et l'atténuation par le FAI, l'article 23, paragraphe 3, de NIS2 ou l'article 11, paragraphe 6, du CIR est engagé. La cascade de déclaration s'exécute en parallèle de la réponse au niveau de l'opérateur.
Traiter uniquement le symptôme suffit
La limitation de débit et le nettoyage arrêtent le flot mais identifient rarement si le DDoS était une diversion. Un examen postérieur à l'incident qui ne vérifie pas les journaux d'authentification, les anomalies de trafic sortant et les modifications de configuration pendant la fenêtre d'attaque laisse l'événement secondaire non détecté. Le rapport final au titre de l'article 23, paragraphe 4, point d), est le point de contrôle documenté à cet effet.
Une fois le trafic normalisé, l'incident est clos
L'article 23, paragraphe 4, point d), de NIS2 exige un rapport final dans un délai d'un mois à compter de la notification d'incident. Ce rapport couvre la cause racine, l'atténuation entreprise et les enseignements tirés. Une entité qui clôt le ticket à l'instant où le trafic chute n'a généralement rien à soumettre, ce qui constitue en soi une non-conformité documentée.
Deux habitudes opérationnelles séparent les entités qui gèrent un DDoS proprement de celles qui s'agitent dans l'urgence. Premièrement, le compteur de déclaration et le compteur d'atténuation sont suivis séparément. L'atténuation peut prendre des heures ; l'alerte précoce de 24 heures a son propre responsable et son propre modèle prêts avant l'événement. Deuxièmement, l'examen postérieur à l'incident est programmé au moment de la détection, et non à la fin du flot. Un créneau d'agenda 25 jours après la détection force la rédaction du rapport final, même sur un incident calme.
La configuration du DNS et de la bordure compte davantage que les décisions prises au moment de l'attaque. Le routage anycast, des fournisseurs DNS autoritaires distincts, un dispositif de filtrage en amont testé avec le FAI et un chemin de contact documenté vers le NOC de l'opérateur sont généralement en place bien avant l'arrivée du premier paquet d'une attaque. Il en va de même pour les modèles de rapport : les champs de l'alerte précoce et de la notification exigés au titre du § 32 BSIG et des portails nationaux équivalents sont suffisamment stables pour être préremplis.
Le module incidents de nisd2.eu porte la cascade de l'article 23, paragraphe 4, sous forme de flux structuré : alerte précoce à 24 h, notification d'incident à 72 h, rapport intermédiaire sur demande, rapport final à un mois, variante de rapport d'avancement si l'incident est toujours en cours. La plateforme horodate chaque étape par rapport au moment de la connaissance plutôt qu'au moment de l'attaque, ce qui est ce que mesure la directive.
Les références d'actifs sur l'incident relient le service affecté aux entrées de l'inventaire des actifs construit au titre de RSK 2.2, de sorte que l'examen postérieur à l'incident peut retracer quels actifs, fournisseurs et processus ont été impliqués sans reconstituer le contexte à partir de zéro.
- Directive (UE) 2022/2555 (NIS2), article 6, paragraphe 6 (définition de l'incident), article 21 (mesures de gestion des risques), article 23 (déclaration). EUR-Lex : eur-lex.europa.eu/eli/dir/2022/2555/oj
- Règlement d'exécution (UE) 2024/2690 de la Commission, article 11, paragraphe 6 (déni de service nommé comme incident important pour l'infrastructure numérique et les fournisseurs de services TIC). EUR-Lex : eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSIG (NIS2UmsuCG), § 32 (obligations de déclaration au BSI). gesetze-im-internet.de
- Meldeportal du BSI et orientations opérationnelles sur la déclaration des incidents. bsi.bund.de
- ENISA Threat Landscape 2024, chapitre DDoS. enisa.europa.eu
- BSI-Standard 200-4 (Business Continuity Management). bsi.bund.de
- BSI TR-03103 (série de directives techniques). bsi.bund.de