Les attaques DDoS reviennent en boucle dans l’actualité… et, sur le terrain, elles n’ont jamais vraiment disparu. Leur particularité ? Elles ne cherchent pas forcément à détruire, ni même à voler. Elles cherchent surtout à faire taire un service, rendre un site indisponible, provoquer de la congestion, installer du doute, et tester la solidité d’une organisation. Pour un opérateur public qui héberge des services d’intérêt général, l’enjeu est de tenir, même quand Internet se transforme en embouteillage volontaire.
Dans cet entretien, Arnaud Martin, directeur des Risques opérationnels au sein de la direction des Risques Groupe de la Caisse des Dépôts, décrypte l’état de la menace DDoS, ses déclencheurs parfois très “politiques”, et la réponse mise en place : sondes en amont des datacenters, partenariats opérateurs, scrubbing centers, surveillance continue… avec, en filigrane, une question qui monte : peut-on protéger des actifs numériques souverains avec des briques qui ne le sont pas toujours ?
Code Confiance : La Caisse des Dépôts est régulièrement citée lorsqu’on parle de DDoS sur des sites publics. Pourquoi êtes-vous une cible récurrente ?
Arnaud Martin : Parce que la Caisse des Dépôts opère et héberge des services très exposés, dont plusieurs sites en .gouv.fr et des plateformes d’intérêt public comme Mon Compte Formation. Ces services sont visibles, critiques, et symboliques. Une attaque DDoS vise d’abord l’indisponibilité : déstabiliser, tester, créer du désordre et fragiliser la confiance. Ce n’est pas forcément “destructeur” au sens classique, mais c’est perturbateur, et c’est précisément l’objectif.
Code Confiance : Vous dites que ces attaques sont parfois déclenchées par l’actualité non IT. Ce qui veut dire…
Arnaud Martin : Il existe, en effet, une corrélation entre certains événements politiques ou médiatiques et des vagues DDoS. Des prises de position de la France sur des sujets internationaux peuvent déclencher des représailles numériques. L’idée est simple : “vous vous exprimez, on vous congestionne”. Dans cette logique, l’attaque devient presque une manifestation.
Code Confiance : Les attaques DDoS sont des nuisances. Mais qu’est-ce qui les distinguent du bruit ?
Arnaud Martin : Sur Internet, il y a toujours du bruit. Et donc, il y a toujours du nettoyage à faire : filtrer en continu, distinguer le trafic légitime du trafic malveillant. Le sujet, c’est l’échelle. Pendant longtemps, on parlait d’attaques gérables à l’entrée d’un datacenter. Aujourd’hui, on voit des attaques qui passent à une autre dimension.
Code Confiance : Cette dimension change à ce point ?
Arnaud Martin : Oui, parce que les botnets grandissent. L’IoT a changé la donne : smart TV, objets connectés, équipements domestiques… Tout peut être enrôlé. Nous voyons donc émerger des botnets de plusieurs millions d’équipements. Et mécaniquement, la volumétrie augmente. Nous ne sommes plus sur quelques gigabits, mais des centaines de gigabits par seconde, voire des téra par seconde. C’est, dans certains cas, cent fois la volumétrie “habituelle”.
Code Confiance : Votre première ligne de défense, quelle est-elle ?
Arnaud Martin : Une approche multicouche, parce qu’aucune brique ne suffit seule. D’abord, des sondes anti-DDoS en amont de nos datacenters, capables de nettoyer jusqu’à une dizaine de gigabits par seconde. Ensuite, dès que l’attaque devient massive, nous devons basculer au niveau supérieur, avec des capacités de filtrage et d’intervention en cœur de réseau. Et en permanence, une surveillance continue des infrastructures critiques, parce que notre responsabilité est la disponibilité.
Code Confiance : D’où l’intérêt de nettoyer le trafic le plus en amont possible. Pourquoi est-ce si important ?
Arnaud Martin : Parce que plus l’attaque est volumineuse, plus vous avez intérêt à la stopper avant qu’elle ne sature vos tuyaux. Si vous attendez l’entrée du datacenter, c’est parfois déjà trop tard : la congestion a fait son travail. D’où l’idée de remonter le filtre au plus proche d’Internet, là où la capacité d’absorption et de tri est la plus forte.
Code Confiance : C’est là qu’interviennent les scrubbing centers ?
Arnaud Martin : Exactement. Un scrubbing center, c’est un centre de “nettoyage”. Tout le trafic passe par lui, des règles sont appliquées, et seul le flux légitime ressort vers le service. L’image la plus parlante, c’est celle d’un péage : quand tout est bloqué, vous créez une voie latérale contrôlée pour laisser passer les véhicules autorisés. Techniquement, cela passe par des tunnels spécifiques et par une ingénierie réseau exigeante.
Code Confiance : Vous vous appuyez sur qui pour ces capacités ?
Arnaud Martin : Sur des opérateurs télécoms et des spécialistes du DDoS. Il existe quelques grands acteurs mondiaux. Cela pose d’ailleurs une question légitime, celle de la dépendance technologique. Sur le sujet des scrubbing centers, il y a quelques acteurs français de référence (dont Orange Cyberdéfense et OVHCloud, NDLR) et il existe des services managés français qui s’intègrent à ces dispositifs. Le débat dépasse la technique. Il touche à la souveraineté et à la résilience.
Code Confiance : L’attaque DDoS sert-il parfois d’écran de fumée ?
Arnaud Martin : Oui. Une attaque DDoS peut être utilisé pour masquer autre chose. Pendant que tout le monde regarde l’indisponibilité, une autre tentative peut se produire ailleurs. C’est une des raisons pour lesquelles la réponse ne peut pas être seulement “réseau”. Il faut une lecture plus large : corrélation d’événements, supervision, et capacité à investiguer au-delà du symptôme.
Code Confiance : Beaucoup d’organisations pensent “assurance cyber” quand elles pensent protection. Ça marche pour les attaques DDoS ?
Arnaud Martin : Non, pas vraiment. Contrairement à une idée répandue, les assurances cyber ne couvrent pas ce type d’attaque de manière simple, parce qu’on n’est pas sur une perte individuelle directe ou une exploitation commerciale classique. Sur le déni de service, la protection, c’est d’abord l’anticipation et l’investissement dans des capacités robustes (sondes, scrubbing, partenariats opérateurs, procédures, entraînement…).
Code Confiance : Les Jeux Olympiques 2024 ont-ils changé vos standards ?
Arnaud Martin : Les grands événements renforcent toujours les exigences. Le niveau de préparation s’est amélioré, tout comme la coordination avec les partenaires, et les “réflexes” de crise. Ce type de contexte accélère la maturité, parce que l’acceptabilité de l’indisponibilité devient quasi nulle.
Code Confiance : Pour finir : les attaques DDoS sont-elles encore aujourd’hui la menace n°1 ?
Arnaud Martin : Les attaques DDoS sont très visibles, mais elles sont souvent temporaires. D’autres menaces prennent de plus en plus de place, notamment tout ce qui touche à la supply chain. L’enjeu consiste à traiter le DDoS comme un sujet de disponibilité et de résilience, tout en gardant une vision globale du risque.
