Anti-DDoS — protection volumétrique
Capacité documentée à filtrer les attaques en déni de service distribué (volumétriques, applicatives) sur l'infrastructure cliente.
Définition
Une protection anti-DDoS (Distributed Denial of Service) est un dispositif technique et organisationnel destiné à absorber, filtrer ou détourner un trafic illégitime à très haut débit ou volume, dont l'objectif est de rendre un service indisponible pour ses utilisateurs légitimes. Les attaques DDoS modernes se déclinent en trois grandes familles, normées par les bonnes pratiques de l'ENISA et de l'ANSSI :
- Volumétriques — saturation de la bande passante d'entrée par flooding UDP, ICMP, amplification DNS/NTP/Memcached. Mesurées en gigabits/seconde (Gbps) ou térabits/seconde (Tbps). Records publics : > 3 Tbps (Cloudflare 2023, AWS 2020).
- Protocolaires — épuisement des tables d'état des firewalls, routeurs, load-balancers. Attaques type SYN flood, fragmentation, slowloris. Mesurées en paquets/seconde (pps).
- Applicatives — attaques L7 ciblant les ressources serveur (CPU, mémoire, base de données) avec des requêtes HTTP/S apparemment légitimes. Plus difficiles à détecter. Souvent associées à des attaques par bot (HTTP flood, Layer 7 amplification).
Les architectures de protection se déclinent en deux modèles principaux :
- Scrubbing local en datacenter — la capacité de filtrage est dimensionnée pour absorber les attaques au point d'entrée du datacenter de l'hébergeur. Modèle privilégié par les hyperscalers et les opérateurs cloud souverains.
- Scrubbing distribué via CDN — le trafic transite par un réseau anycast mondial avec capacité de filtrage cumulée. Modèle des CDN globaux (Cloudflare, Akamai, Fastly).
Pourquoi c'est important pour un hébergeur HDS
Une attaque DDoS contre un hébergeur de données de santé peut avoir des conséquences directes :
- Continuité des soins compromise. Indisponibilité d'un Dossier Patient Informatisé (DPI), d'un PACS d'imagerie, d'un logiciel métier critique de bloc opératoire ou de réanimation. Cas documentés en France et à l'étranger.
- Rançongiciel + DDoS combiné. Plusieurs campagnes 2022-2025 ciblent les établissements de santé avec double extorsion : chiffrement des données + DDoS persistant tant que la rançon n'est pas payée.
- Hacktivisme géopolitique. Des collectifs revendiquent régulièrement des attaques contre des hôpitaux européens en lien avec des tensions internationales.
- DDoS de diversion. Saturation visible déclenchée pour masquer une intrusion réelle plus discrète.
Pour un hébergeur HDS, l'absence de protection anti-DDoS documentée est un risque opérationnel direct : une attaque volumétrique de 100 Gbps suffit aujourd'hui à saturer un lien d'entrée non protégé (la plupart des liens commerciaux sont entre 10 et 100 Gbps).
L'ANSSI a publié plusieurs notes d'information sur les attaques DDoS visant le secteur santé et recommande aux hébergeurs critiques de disposer d'une capacité de mitigation dimensionnée au-delà de leur capacité d'accès normale, avec un plan de bascule documenté.
Comment ce critère est attribué dans le comparateur
- ✓ Vérifié — l'acteur documente publiquement sa protection anti-DDoS : capacité de mitigation, type de scrubbing (local ou via CDN tiers), procédure de bascule en cas d'attaque.
- ◆ Revendiqué — mention « protection anti-DDoS » sans précisions techniques ni capacité.
- — Non documenté — pas de mention publique.
Pour quel profil c'est critique
| Profil | Niveau d'exigence |
|---|---|
| CHU avec DPI et PACS critiques (continuité des soins) | Critique |
| Plateforme de téléconsultation à fort trafic | Critique |
| Établissement public exposé géopolitiquement | Critique |
| Éditeur SaaS santé multi-tenant | Important |
| Hôpital local avec SI critique mais faible exposition Internet | Important |
| Cabinet médical libéral (SI peu exposé) | Non critique |
Question de la souveraineté de la solution
Une dimension structurante pour un hébergeur HDS est l'origine de la solution anti-DDoS utilisée :
- Souveraine française / européenne — anti-DDoS développé par l'opérateur lui-même (capacité de scrubbing en propre dans son datacenter), ou solution éditée par un acteur français (OVHcloud propose son anti-DDoS en propre pour ses clients, intégré à son réseau ; certains opérateurs régionaux mutualisés). Garantit l'absence d'extraterritorialité sur le filtrage du trafic.
- Tiers européen — solutions éditées dans l'UE par des acteurs hors hyperscaler.
- CDN américain — Cloudflare, Akamai, Fastly. Très efficace techniquement, mais le trafic chiffré transite par les nœuds anycast du CDN, sous juridiction américaine (CLOUD Act applicable). Pour un acteur HDS, cette dimension est à arbitrer : les flux médicaux passant par un CDN US peuvent poser question selon les classifications de données.
Pour les acteurs santé sensibles (cf. /criteres/secnumcloud/ et /criteres/immunite-cloud-act/), une solution anti-DDoS souveraine — c'est-à-dire dont le scrubbing est opéré en France/UE par un acteur hors juridiction extraterritoriale — est cohérente avec le positionnement.
Comment un hébergeur peut se conformer
- Capacité interne — dimensionnement du lien d'accès et déploiement de scrubbers dédiés (FPGA, ASIC) au point d'entrée du datacenter. Investissement matériel de l'ordre de 100 k€ à plusieurs millions selon capacité.
- Partenariat opérateur — souscription à l'offre anti-DDoS du transitaire (la plupart des opérateurs Tier-1 et Tier-2 français en proposent). Le filtrage s'effectue en amont, en limite de réseau opérateur.
- CDN tiers — placement du site et des APIs publiques derrière un CDN avec capacité anti-DDoS intégrée. Solution rapide à déployer, mais arbitrer la juridiction du CDN.
- Solution hybride — combinaison des trois selon les services protégés.
Plus-value vs coût
L'anti-DDoS est désormais un standard d'exploitation pour tout acteur public exposé sur Internet. Le coût marginal d'inclure une protection de base (10-50 Gbps) dans une offre d'hébergement est faible. La capacité de mitigation au-delà (100+ Gbps avec garantie SLA) reste un service premium facturé.
Pour un hébergeur HDS, un dimensionnement de plusieurs centaines de Gbps avec bascule automatique est aujourd'hui considéré comme un standard professionnel attendu.
Sources officielles
- ANSSI — Notes techniques sur les attaques DDoS : cyber.gouv.fr.
- ENISA — Threat Landscape annuel, section DDoS : enisa.europa.eu/topics/threat-risk-management/threats-and-trends.
- CERT-FR — Bulletins d'alerte DDoS : cert.ssi.gouv.fr.
- IETF — RFC 4732 (Internet Denial-of-Service Considerations), RFC 8499 (DNS Terminology), RFC 5358 (preventing UDP amplification) : ietf.org.
- CISA (États-Unis, en référence internationale) — Guides DDoS : cisa.gov.
Limites connues
Le critère reflète strictement la communication publique. Plusieurs hébergeurs HDS disposent d'une protection anti-DDoS solide qu'ils ne mettent pas en avant sur leur page d'accueil — l'information se trouve dans les annexes contractuelles ou les fiches sécurité accessibles aux clients. Le statut « Non documenté » est une absence de mention publique, pas une absence de capacité. Pour un projet HDS critique, demander la fiche technique anti-DDoS de l'hébergeur retenu (capacité, type de scrubbing, juridiction, SLA de bascule).
Hébergeurs satisfaisant ce critère
Aucun hébergeur n'est marqué comme satisfaisant ce critère sur les sources publiques consultées. Ce critère est documenté pour permettre une comparaison future quand les sources publiques l'attesteront.
Lecture des trois états. ✓ Vérifié = source publique citée (page officielle, registre ANS / ANSSI / Pappers / RIPE / PeeringDB). ◐ Revendiqué = mention publique partielle, sans verbatim ferme à la date de cet audit. ◔ Démarche en cours = engagement public daté. L'absence de mention n'implique pas l'absence du service — voir notre méthodologie d'équité.