Le 14 janvier 2026, plusieurs sites gouvernementaux français ont été paralysés pendant 6 heures par une attaque DDoS massive. Quelques semaines plus tard, c'est un grand site e-commerce qui a perdu une journée entière de ventes — soit environ 2 millions d'euros de manque à gagner. Les attaques par déni de service distribué (DDoS) ne sont plus un risque théorique. C'est une réalité quotidienne qui touche des entreprises de toutes tailles. Pour approfondir, consultez notre article sur Authentification à deux facteurs : pourquoi et comment la mettre en place. Pour approfondir, consultez notre article sur Comparatif des meilleurs antivirus pour entreprise en 2026. Pour approfondir, consultez notre article sur Conformité NIS2 : ce que les entreprises doivent savoir en 2026.
Qu'est-ce qu'une attaque DDoS ?
Une attaque DDoS (Distributed Denial of Service) consiste à submerger un serveur, un service ou un réseau avec un volume de trafic tellement massif qu'il devient incapable de répondre aux requêtes légitimes. C'est l'équivalent numérique d'envoyer des milliers de personnes bloquer l'entrée d'un magasin pour empêcher les vrais clients d'entrer.
Le "distribué" est la clé. Contrairement à un simple DoS (une seule source), une attaque DDoS provient de milliers, voire de millions de machines simultanément. Ces machines sont généralement des appareils infectés (ordinateurs, serveurs, objets connectés) qui forment un botnet — un réseau zombie contrôlé à distance par l'attaquant.
Pour approfondir, consultez notre article : Comparatif des meilleurs antivirus pour entreprise en 2026.
Les botnets modernes peuvent compter des centaines de milliers d'appareils. Les caméras de surveillance, les routeurs domestiques, les imprimantes réseau — n'importe quel appareil connecté mal sécurisé peut être recruté. Le botnet Mirai, qui a marqué les esprits en 2016, exploitait principalement des objets IoT avec des mots de passe par défaut.
- Mettre en place une protection anti-DDoS via un CDN comme Cloudflare
- Configurer le rate limiting sur votre serveur et vos API
- Préparer un plan de réponse à incident avec les contacts d'urgence
- Surveiller le trafic en temps réel avec des alertes automatiques
- Tester régulièrement votre résilience avec des simulations contrôlées
Les différents types d'attaques DDoS
Attaques volumétriques (couche 3-4)
L'objectif est simple : saturer la bande passante. L'attaquant envoie un volume colossal de données — parfois plusieurs térabits par seconde — pour noyer la connexion réseau de la cible.
Voir également : Conformité NIS2 : ce que les entreprises doivent savoir en 2026.
UDP Flood : envoi massif de paquets UDP vers des ports aléatoires. Le serveur tente de traiter chaque paquet, consomme ses ressources et devient indisponible.
DNS Amplification : l'attaquant envoie de petites requêtes DNS en usurpant l'adresse IP de la victime. Les serveurs DNS répondent avec des paquets beaucoup plus gros, créant un effet d'amplification pouvant atteindre un facteur 50. La victime reçoit un flot massif de réponses qu'elle n'a jamais demandées.
NTP Amplification : même principe avec les serveurs NTP (protocole de synchronisation horaire). Facteur d'amplification encore plus élevé.
Attaques protocolaires (couche 3-4)
Ces attaques exploitent les faiblesses des protocoles réseau pour épuiser les ressources des équipements intermédiaires (pare-feu, load balancers).
SYN Flood : l'attaquant initie des milliers de connexions TCP sans jamais les finaliser (le fameux three-way handshake). Le serveur garde des ressources allouées pour chaque connexion pendante jusqu'à saturation.
Ping of Death : envoi de paquets ICMP malformés ou surdimensionnés qui font crasher le système cible.
Attaques applicatives (couche 7)
Les plus insidieuses. Au lieu de saturer la bande passante, elles ciblent les applications elles-mêmes (serveur web, base de données, API) avec des requêtes qui semblent légitimes mais qui consomment énormément de ressources.
HTTP Flood : envoi massif de requêtes HTTP GET ou POST vers des pages gourmandes en ressources (recherche, filtres complexes, génération de PDF).
Slowloris : ouverture de nombreuses connexions HTTP en envoyant les headers très lentement, bloquant les connexions disponibles du serveur web.
Application-specific : exploitation de fonctionnalités coûteuses spécifiques à l'application (login, recherche full-text, APIs d'export).
Les attaques de couche 7 sont particulièrement difficiles à détecter parce que chaque requête individuelle ressemble à du trafic légitime. C'est le volume et le pattern qui trahissent l'attaque.
Pourquoi les attaques DDoS explosent en 2026
Plusieurs facteurs convergent pour faire de 2026 une année record en matière de DDoS :
Le DDoS-as-a-Service. On peut louer un botnet pour aussi peu que 20 dollars par heure sur le dark web. Les "booter" et "stresser" services rendent les attaques DDoS accessibles à n'importe qui, sans aucune compétence technique.
L'explosion de l'IoT. Des milliards d'appareils connectés, souvent avec une sécurité minimale, fournissent une réserve inépuisable de machines zombies pour les botnets.
Les motivations multiples. Extorsion ("payez ou on vous coupe"), hacktivisme, concurrence déloyale, diversion (le DDoS masque une attaque plus ciblée), ou simplement le vandalisme numérique.
L'IA au service des attaquants. Les botnets alimentés par l'IA adaptent leur comportement en temps réel pour contourner les protections, imitant le trafic légitime de manière de plus en plus convaincante.
Comment se protéger
L'architecture réseau
Surdimensionner la bande passante. Avoir une capacité réseau bien supérieure à vos besoins habituels offre un tampon contre les attaques volumétriques de petite envergure. Ce n'est pas suffisant contre les grosses attaques, mais ça achète du temps.
CDN (Content Delivery Network). Distribuer votre contenu sur des centaines de serveurs dans le monde (Cloudflare, Akamai, Fastly) absorbe naturellement une partie du trafic DDoS. L'attaque est dispersée sur de nombreux points de présence au lieu de se concentrer sur votre serveur unique.
Anycast routing. Distribuer votre IP sur plusieurs data centers géographiques. Le trafic d'attaque est automatiquement réparti entre eux, réduisant l'impact sur chaque point.
Les solutions de mitigation DDoS
Cloudflare est la solution la plus populaire pour les petites et moyennes entreprises. Leur plan gratuit inclut une protection DDoS illimitée sur les couches 3, 4 et 7. Les plans payants ajoutent un WAF avancé, du rate limiting et des règles personnalisées. Cloudflare a atténué des attaques dépassant les 71 millions de requêtes par seconde.
AWS Shield protège les infrastructures hébergées sur AWS. Shield Standard est gratuit et protège contre les attaques volumétriques courantes. Shield Advanced (3 000 dollars par mois) offre une protection DDoS managée avec un SLA de temps de réponse.
Akamai Prolexic est la solution enterprise de référence, capable d'absorber les plus grandes attaques mondiales grâce à son réseau de scrubbing centers.
Les bonnes pratiques applicatives
Rate limiting. Limiter le nombre de requêtes qu'une même IP peut envoyer par minute. Ça ne bloque pas un DDoS distribué, mais ça réduit l'impact de chaque source individuelle.
CAPTCHA et challenges. Interposer un challenge JavaScript ou un CAPTCHA devant les pages critiques pendant une attaque. Les bots simples ne peuvent pas les résoudre.
Géo-blocking. Si votre business est français, bloquer le trafic des pays d'où provient l'attaque peut être efficace — mais attention à ne pas bloquer des clients légitimes.
Web Application Firewall (WAF). Filtrer les requêtes malveillantes au niveau applicatif. Un WAF bien configuré bloque les patterns d'attaque connus sans affecter le trafic légitime.
Comment réagir pendant une attaque
1. Détecter. Monitoring des métriques réseau (bande passante, connexions, requêtes par seconde). Des alertes automatiques doivent se déclencher en cas d'anomalie. Des outils comme Datadog, Grafana ou Zabbix permettent de visualiser les pics de trafic en temps réel.
2. Activer les protections. Si vous avez un service de mitigation DDoS, activez le mode "Under Attack" (chez Cloudflare, par exemple). Augmentez les niveaux de rate limiting. Activez les challenges JavaScript.
3. Communiquer. Informez vos utilisateurs via les réseaux sociaux ou un canal alternatif. Prévenez votre hébergeur — il peut vous aider ou, au minimum, protéger ses autres clients.
4. Documenter. Collectez les logs, les patterns d'attaque, les IPs sources. Ces informations sont utiles pour l'analyse post-mortem et peuvent être communiquées aux autorités (ANSSI en France).
5. Post-mortem. Après l'attaque, analysez ce qui a fonctionné et ce qui n'a pas fonctionné dans votre réponse. Renforcez les failles identifiées. Mettez à jour votre plan de réponse aux incidents.
Les aspects légaux
En France, les attaques DDoS sont un délit pénal. L'article 323-2 du Code pénal sanctionne "le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données" de 5 ans d'emprisonnement et 150 000 euros d'amende. Si vous êtes victime, portez plainte — même si l'identification des attaquants est souvent complexe.
L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) peut être contactée pour assistance technique en cas d'attaque majeure, notamment si vous êtes un Opérateur d'Importance Vitale (OIV) ou un opérateur de services essentiels au sens de la directive NIS2.
| Type d'attaque | Couche OSI | Volume typique | Protection |
|---|---|---|---|
| Volumétrique (UDP flood) | 3-4 | 100+ Gbps | CDN / Scrubbing |
| Protocole (SYN flood) | 3-4 | Millions pps | Pare-feu |
| Application (HTTP flood) | 7 | 10k+ req/s | WAF / Rate limit |
| Amplification DNS | 3 | 500+ Gbps | Filtrage DNS |
Se préparer, pas réagir
La meilleure protection contre les DDoS, c'est la préparation. Rédigez un plan de réponse aux incidents DDoS avant d'en avoir besoin. Testez votre infrastructure avec des tests de charge contrôlés. Vérifiez que vos solutions de mitigation fonctionnent réellement. Et surtout, partez du principe que ce n'est pas une question de "si" mais de "quand" — parce que les statistiques sont formelles : la probabilité d'être ciblé augmente chaque année.