En bref
- Le DoS est une attaque d’un système contre un autre, ce qui signifie qu’une attaque provient d’une seule source. Le DDoS implique plusieurs systèmes, ce qui signifie que l’attaque provient de plusieurs sources.
- Dans le cas d’un DoS, l’attaquant submerge la cible avec un trafic excessif et exploite des vulnérabilités pour provoquer des interruptions de service. Dans le cas d’un DDoS, l’attaquant distribue son attaque à plus grande échelle et la lance depuis différents emplacements géographiques.
- Les attaques DDoS sont bien plus puissantes que les attaques DoS et également beaucoup plus complexes. Tout DDoS est un DoS, mais toute attaque DoS n’est pas un DDoS. Les attaquants DDoS utilisent des botnets pour amplifier la puissance des attaques DoS.
- Les attaques DoS simples peuvent simplement faire tomber des serveurs DNS, mais le DDoS utilise la force brute, de sorte que vous ne pouvez pas vous en protéger avec un simple chiffrement ou une simple validation des entrées.
Ubuntu a récemment subi une panne après une attaque DDoS. L’infrastructure exposée au public a été complètement mise hors service. Bluesky a également attribué des pannes de serveur à des attaques DDoS. Et il ne s’agit pas seulement de ces grandes entreprises, même les startups et les petites entreprises ont du mal, partout dans le monde, à assurer la continuité de leurs activités. Les clients perdent leur confiance et s’éloignent dès que la réputation est touchée et que les services deviennent indisponibles. Il existe une bonne et une mauvaise manière d’aborder l’atténuation de ces menaces. Le DDoS présente également de nombreuses similitudes avec les attaques DoS et les personnes nouvelles dans ce domaine peuvent confondre ces deux méthodologies.
Si vous ne connaissez pas la différence entre les attaques DoS et DDoS, alors ce guide est fait pour vous. Nous abordons même leurs implications juridiques et tout ce que vous devez savoir à leur sujet.
Qu’est-ce qu’une attaque DoS ?
Une attaque par déni de service (DoS) est une cyberattaque menée pour rendre votre machine, votre réseau ou votre site web indisponible pour vos utilisateurs. Elle vous submerge avec un trafic et des requêtes excessifs, et entraîne le ralentissement, le plantage et l’absence de réponse de votre site et de vos systèmes.
Voici les principaux types d’attaques DoS que vous devez connaître.
Types d’attaques DoS
Une attaque DoS provient toujours d’un seul système. Cette source unique sature une cible avec un trafic malveillant ou exploite une faiblesse de protocole jusqu’à ce que le service cesse de répondre. Les attaquants utilisent une poignée de techniques pour y parvenir. Vous verrez le plus souvent ces quatre-là.
Attaques Teardrop
Les attaques Teardrop fragmentent les paquets IP puis envoient des fragments malformés qui se chevauchent et que la cible ne peut pas réassembler. Les anciens systèmes d’exploitation plantent ou redémarrent lorsqu’ils rencontrent ces paquets. Les systèmes modernes les rejettent généralement, mais les serveurs hérités non protégés au sein d’un réseau restent des cibles attrayantes.
Attaques par inondation
Les attaques par inondation dirigent un volume élevé de trafic vers un serveur, une liaison réseau ou une application. Les attaquants peuvent utiliser des requêtes ICMP echo (ping flood), des paquets UDP ou des requêtes HTTP. Le trafic consomme toute la bande passante disponible ou toutes les ressources du serveur. Une seule machine envoyant des requêtes HTTP GET soutenues peut épuiser un serveur web mal configuré en quelques minutes.
Attaques par fragmentation IP
Ces attaques exploitent la manière dont les équipements réseau réassemblent les paquets IP fragmentés. L’attaquant envoie des fragments contenant des offsets qui se chevauchent ou des séquences incomplètes. Les routeurs et pare-feu qui mettent en mémoire tampon les fragments pour les réassembler manquent de mémoire et bloquent le trafic légitime. Les attaques par fragmentation contournent souvent l’inspection des paquets, car les moteurs d’inspection ne voient que des données partielles.
SYN floods
Un SYN flood abuse de la poignée de main TCP en trois étapes. L’attaquant envoie un flux de paquets SYN, souvent avec des adresses IP source usurpées. La cible alloue des ressources pour chaque connexion semi-ouverte et attend un ACK qui n’arrive jamais. Lorsque la table des connexions est pleine, le serveur refuse toutes les nouvelles requêtes. Les SYN floods restent l’une des techniques DoS à source unique les plus courantes. Les attaquants s’appuient également sur le ping of death et sur le DoS de couche applicative, où ils abusent des fonctions gourmandes en ressources d’une application web pour tuer la disponibilité depuis un seul point de terminaison.
Qu’est-ce qu’une attaque DDoS ?
Une attaque par déni de service distribué (DDoS) poursuit le même objectif qu’un DoS, mais le multiplie à travers des centaines ou des milliers de systèmes compromis. Les attaquants construisent des botnets en infectant des appareils avec des malwares et en les utilisant comme agents de trafic. Ils amplifient également le trafic en faisant rebondir des requêtes sur des serveurs DNS, NTP ou Memcached mal configurés. Les réflecteurs et amplificateurs permettent à une petite requête de produire une réponse beaucoup plus importante dirigée vers la victime.
Le trafic multi-source rend la détection et l’atténuation plus difficiles. Lorsque le trafic entre dans votre réseau depuis une seule IP, vous la bloquez. Lorsqu’il arrive depuis 50 000 IP résidentielles et des adresses usurpées dans le monde entier, les filtres basés sur des signatures et les simples limitations de débit échouent.
Types d’attaques DDoS
Les attaques DDoS ciblent différentes couches de votre infrastructure et sont hautement évolutives. Voici les différents types d’attaques DDoS que vous devez connaître :
Attaques DDoS de couche applicative
Les attaques de couche applicative ciblent la couche 7. Les attaquants envoient des requêtes HTTP POST lentes, des appels API gourmands en ressources ou des floods HTTP qui imitent le comportement d’utilisateurs légitimes. Comme les requêtes semblent valides, ces attaques passent au travers de simples seuils volumétriques. Un seul serveur traitant des tentatives de connexion peut sembler occupé, et non attaqué.
Attaques volumétriques
Les attaques volumétriques visent à consommer toute la bande passante disponible. Les attaquants utilisent des botnets pour pousser d’énormes quantités de trafic UDP, des floods ICMP ou des réponses DNS amplifiées vers la périphérie de votre réseau. Si votre capacité de liaison est saturée, les paquets légitimes sont perdus avant d’atteindre votre centre de données. Ces attaques mesurent le trafic en gigabits ou en térabits par seconde.
Attaques de protocole
Les attaques de protocole exploitent des faiblesses dans les couches 3 et 4. Les SYN floods, les attaques Smurf et le ping of death entrent tous dans cette catégorie. Les attaquants consomment les tables de connexion des serveurs ou submergent les pare-feu à états et les équilibreurs de charge. Comme les attaques de protocole ciblent l’infrastructure réseau, vous devez les filtrer en amont ou avec des équipements de scrubbing dédiés.
DDoS vs. attaques DoS : exemples concrets
Vous comprendrez la différence entre les attaques DoS et DDoS en examinant des incidents réels. Voyons ci-dessous quelques exemples récents et concrets d’attaques DoS et DDoS :
- Vers le début de l’année 2026, une attaque de 31,4 Tbps a été rendue publique par le botnet Aisuru-Kimwolf. Ce super botnet avait infecté entre 1 et 4 millions d’appareils. Il ciblait des téléviseurs Android, des routeurs et des caméras IoT. Même de grands fournisseurs d’infrastructure comme Cloudflare et d’autres ont atteint des pics de 205 millions de requêtes par seconde (rps).
- Le premier trimestre 2026 nous a montré l’Operation Sindoor et les conflits au Moyen-Orient. Les tensions géopolitiques ont déclenché des vagues d’attaques DDoS alignées sur des États. Plus de 149 attaques DDoS hacktivistes ont touché 110 entreprises dans 16 pays en seulement 72 heures. Les attaquants ont utilisé la stratégie du carpet bombing pour viser des institutions financières. Une institution financière du Moyen-Orient a reçu plus de 1,25 billion de requêtes sur 6 jours, toutes semblant être du trafic légitime, contournant ainsi leurs filtres traditionnels.
- Les attaques DoS de faible intensité se produisent désormais toutes les 15 minutes. L’année dernière, les attaques DoS ont été multipliées par 4 en raison de menaces de sondage de reconnaissance. Les attaquants ont utilisé des instances VPN uniques pour lancer des SYN floods et ont ciblé des points de terminaison spécifiques d’authentification et de connexion. Ils ont épuisé les ressources des serveurs, provoqué des échecs d’authentification et des expirations de poignée de main TLS pour les utilisateurs légitimes. Lorsque l’IA est utilisée pour lancer des attaques DDoS ou DoS, les choses deviennent plus compliquées. Ces exemples concrets d’attaques DDoS et DoS ne sont que la partie émergée de l’iceberg de ce qui attend les organisations dans un avenir proche (si elles ne se préparent pas à s’en défendre et à les atténuer).
Principales différences entre les attaques DoS et DDoS
Lorsque vous comparez côte à côte les schémas et angles d’attaque DDoS et DoS, quatre facteurs ressortent : voici les principales différences entre les attaques DoS et DDoS :
Répartition des sources et volume de trafic
Le DoS n’implique qu’un seul appareil ou une seule IP. Avec le DDoS, en revanche, les attaquants déploient des bots, des amplificateurs et des réflecteurs pour produire un trafic géographiquement dispersé. Alors que le volume d’un DoS peut atteindre des gigabits par seconde, le DDoS peut impliquer plusieurs térabits.
Vitesse et impact
L’effet d’un DoS dépend de la rapidité avec laquelle les services sont dégradés ou du fait que l’attaque exploite une vulnérabilité, entraînant une interruption immédiate des services. Cependant, le DDoS est capable de mettre le service hors ligne en quelques minutes seulement, selon le volume massif de requêtes qui submerge instantanément les systèmes. Le DDoS provoque également des dommages collatéraux sur les réseaux des FAI, affectant aussi d’autres clients.
Traçabilité et traitement juridique
Une seule IP est impliquée dans les attaques DoS, laquelle peut être usurpée mais suivie par les forces de l’ordre. Il est difficile d’identifier le serveur de commande et de contrôle dans les attaques DDoS. Trouver l’IP puis remonter jusqu’à l’individu derrière les attaques DDoS est difficile, car cela nécessite des enquêtes transfrontalières et une analyse forensique de nombreux appareils. Ainsi, le processus prend plus de temps et est plus compliqué que dans le cas des attaques DoS.
Outils et exigences d’atténuation
La prévention du DoS consiste à bloquer ou rejeter l’IP de l’attaquant ou à corriger les bogues de l’application. La prévention du DDoS nécessite la mise en place de centres de scrubbing, l’utilisation d’outils de filtrage du trafic basés sur le cloud, de WAF et une collaboration avec le FAI. Cela implique également de rediriger le trafic via des réseaux de scrubbing scrubbing et de ne transférer que le trafic propre.
DoS vs DDoS : principales différences
Consultez ce tableau comparatif des attaques DoS et DDoS pour obtenir un aperçu rapide des différences entre DoS et DDoS. Il couvre en un coup d’œil les facteurs des attaques DDoS par rapport aux attaques DoS :
| Facteur | Attaque DoS | Attaque DDoS | Exemple de scénario |
| Source | Machine ou IP unique | Botnet de milliers de machines ou amplification réfléchie | Botnet Mirai vs. script Slowloris unique |
| Volume de trafic | Faible à modéré (Mbps) | Élevé (Gbps à Tbps) | Amplification Memcached atteignant 1,35 Tbps |
| Technique d’attaque | SYN flood, ping of death, épuisement de la couche applicative | SYN flood, UDP flood, HTTP flood, amplification DNS | Requêtes de connexion répétées depuis une IP vs. assaut volumétrique multi-vecteur |
| Difficulté de détection | Plus facile ; une IP bruyante se distingue | Plus difficile ; les IP distribuées ressemblent à des schémas de trafic légitimes | Limiter le débit d’une IP vs. ajuster l’analyse comportementale entre régions |
| Atténuation | Bloquer l’IP, corriger la vulnérabilité, limiter le débit | Utiliser un centre de scrubbing, une distribution anycast, un filtrage FAI en amont | Null-routing d’une IP unique vs. redirection de tout le trafic via un service cloud de scrubbing |
| Traçabilité | Souvent traçable jusqu’à un individu | Masquée par les botnets et les adresses usurpées | Réquisition judiciaire auprès d’un FAI vs. enquête multi-pays |
| Potentiel d’indisponibilité | De quelques minutes à quelques heures sans atténuation | De quelques heures à plusieurs jours si les défenses sont insuffisantes | Crash d’un seul serveur vs. panne mondiale de service |
Impact des attaques DoS et DDoS
Toute indisponibilité signifie une perte de revenus. Un site e-commerce indisponible pendant une heure peut entraîner des centaines de milliers de dollars de pertes de revenus ainsi que des violations de SLA conduisant à des crédits obligatoires. Ces chiffres augmenteront à partir de cette année à mesure que les entreprises s’appuieront davantage sur leurs services numériques en temps réel. Toute indisponibilité affecte également la perception du public et entraîne des problèmes juridiques si les données clients sont indirectement compromises.
Outre les conséquences financières, une attaque DoS ou DDoS affecte tous les autres services. Toute attaque DDoS volumétrique de grande ampleur ne fait pas seulement tomber votre liaison Internet principale, elle coupe également toutes les connexions à votre site via un VPN ou des services d’API cloud, les rendant inutilisables. Vos employés ne peuvent accéder à aucune application interne et tout système de surveillance automatisé devient silencieux. Les attaques DDoS agissent comme un écran de fumée pour masquer les intrusions réelles.
Elles distraient et rendent difficile la restauration des réseaux. Les hackers créent le chaos pour aller plus loin et réaliser des violations de données de plus haut niveau. Ils peuvent finir par installer des malwares et provoquer également des pannes multi-régions. Tout cela entraîne une baisse durable de la confiance des clients. Toutes les infrastructures et tous les services d’entreprise et critiques, comme les portails gouvernementaux et les services et applications bancaires, sont affectés.
Bonnes pratiques pour prévenir et détecter les attaques DoS et DDoS en 2026
Une atténuation efficace des attaques DDoS et DoS commence par l’architecture réseau et une surveillance continue. Vous avez besoin de contrôles capables de détecter à la fois l’exploitation à source unique et les floods distribués. Voici une liste des bonnes pratiques à suivre pour prévenir et détecter à la fois les attaques DoS et DDoS cette année :
- Déployez une limitation de débit au niveau réseau sur les routeurs et les pare-feu afin de plafonner les connexions provenant d’une seule source.
- Utilisez une distribution réseau anycast afin que le trafic soit absorbé sur plusieurs points géographiques au lieu de frapper un seul serveur d’origine.
- Intégrez un service cloud de scrubbing capable de traiter et filtrer le trafic avant qu’il n’atteigne la périphérie de votre réseau.
- Placez un pare-feu applicatif web (WAF) devant les applications critiques afin de filtrer les requêtes malveillantes de couche 7.
- Configurez votre CDN pour absorber les pics et servir du contenu en cache lorsque les serveurs d’origine sont sous pression.
- Définissez des schémas de trafic de référence et utilisez une détection d’anomalies qui signale les pics soudains de requêtes, une répartition géographique inhabituelle ou des incohérences de protocole.
- Renforcez l’infrastructure DNS avec des résolveurs redondants en anycast et activez la limitation du débit des réponses.
- Exécutez régulièrement des tests de charge et des exercices de red team qui simulent à la fois des scénarios DoS et DDoS multi-vecteurs.
- Élaborez des playbooks qui définissent quand basculer vers des services de scrubbing et comment communiquer avec votre FAI.
- Surveillez la télémétrie des endpoints et des workloads pour détecter les signes d’intrusion opportuniste pendant un événement DDoS actif, car les attaquants utilisent souvent le bruit comme couverture.
Comment répondre à des attaques DoS et DDoS actives
Si vous ne savez pas comment répondre à des attaques DoS et DDoS actives, alors nos conseils vous aideront. Faites ceci :
- Activez votre runbook de réponse aux incidents et déclarez immédiatement le niveau de gravité.
- Contactez votre FAI ou votre fournisseur cloud et partagez des échantillons de trafic afin qu’ils puissent commencer le filtrage en amont.
- Déviez le trafic entrant via votre centre de scrubbing ou votre service d’atténuation DDoS si vous en avez un en place.
- Pour un DoS à source unique, rejetez ou blackholez l’IP fautive à la périphérie de votre réseau.
- Conservez les journaux, les données de flux et les captures de paquets ; ils servent aux analyses forensiques post-incident et aux signalements aux forces de l’ordre.
- Informez les parties prenantes internes - SOC, réseau, propriétaires d’applications et communication ; afin qu’elles puissent préparer des mises à jour de statut ou décider de la suite à donner.
- Si les services orientés client sont affectés, publiez une mise à jour courte et factuelle sur la page de statut avec une estimation du délai de rétablissement.
- Bloquez les signatures d’attaque évidentes avec des règles WAF ou des ACL tout en surveillant les changements dans le vecteur d’attaque.
- Après l’attaque, rassemblez la chaîne de preuves et décidez s’il faut déposer un signalement auprès des forces de l’ordre ou du CERT national.
- Effectuez une revue post-incident dans les 48 heures. Mettez à jour les runbooks, resserrez les limites de débit et ajustez les seuils d’alerte en fonction de ce que vous observez.
Comment SentinelOne améliore-t-il la résilience face aux attaques DoS et DDoS ?
La Singularity Platform de SentinelOne est alimentée par Autonomous Security Intelligence (ASI) — le tissu d’intelligence intégré aux fondations de la plateforme qui identifie les comportements malveillants, automatise les tâches critiques et répond aux menaces à la vitesse de la machine. Sur les surfaces endpoint, cloud, identité et IA, ASI donne aux équipes de sécurité les outils nécessaires pour détecter et arrêter les menaces DoS et DDoS avant qu’elles ne s’aggravent. Singularity™ Endpoint inclut des pare-feu intégrés et des systèmes de prévention des intrusions (IPS) qui filtrent de manière autonome le trafic réseau et bloquent de façon proactive les schémas d’attaque DoS tels que les scans de ports.
Singularity™ XDR Platform utilise l’IA et le machine learning pour détecter des schémas de comportement inhabituels à la vitesse de la machine. Elle corrèle la télémétrie des endpoints, les données d’identité et la visibilité cloud pour identifier quels appareils se comportent comme des nœuds relais de botnet et à quel moment.
Si vos attaquants utilisent des outils d’IA pour lancer des attaques DDoS ou DoS, alors Prompt Security peut les écarter et les empêcher d’exécuter des actions agentiques d’IA non autorisées.
Singularity™ Network Discovery (formerly Ranger) peut surveiller le trafic réseau et identifier les appareils non autorisés ou rogue qui participent à des attaques distribuées. SentinelOne s’intègre également à des partenaires tiers comme Imperva pour vous offrir un scrubbing DDoS spécialisé et une protection API contre les attaques volumétriques à grande échelle.
Pour une investigation plus approfondie, Purple AI permet aux analystes de poser des requêtes en langage naturel sur l’ensemble de leur pile de sécurité — faisant remonter les schémas d’attaque, les signaux comportementaux et les workflows de réponse sans avoir besoin de connaître des langages de requête complexes. Selon une étude IDC, Purple AI aide les organisations à identifier les menaces de sécurité 63 % plus rapidement, à réduire le temps de remédiation jusqu’à 55 % et à générer jusqu’à 338 % de ROI sur trois ans (IDC, juillet ‘25). Il offre également aux équipes la visibilité la plus large sur leur pile de sécurité d’entreprise grâce à des capacités intégrées de threat hunting.
Détection et réponse sur les endpoints alimentées par l’IA.
Conclusion
Les attaques DoS proviennent d’un seul système tandis que les attaques DDoS utilisent des milliers d’appareils compromis, ce qui les rend bien plus puissantes et plus difficiles à tracer. Les arrêter nécessite des défenses qui fonctionnent plus vite que les attaques elles-mêmes — une protection autonome couvrant le réseau, les endpoints, le cloud et l’identité sans laisser de lacunes entre les outils. SentinelOne combine une détection native IA, une réponse à la vitesse de la machine et une visibilité unifiée au sein d’une plateforme unique afin que votre équipe puisse réagir avant qu’une attaque ne cause des dommages durables. Réservez une démonstration en direct pour voir comment SentinelOne protège contre les menaces DoS et DDoS.
FAQ
Une attaque DDoS est plus dangereuse qu’une attaque DoS. Une attaque DoS utilise une seule source, vous pouvez donc la bloquer après avoir identifié l’IP. Une attaque DDoS inonde votre réseau depuis de nombreux appareils compromis, ce qui la rend beaucoup plus difficile à arrêter. Le trafic peut submerger vos serveurs, sans source unique à mettre sur liste noire. Vous pouvez subir des heures d’interruption sans protection.
Pas toujours, mais presque toutes les attaques DDoS sérieuses utilisent des botnets. Un botnet est un réseau d’appareils infectés que les attaquants contrôlent à distance. Ils peuvent lancer d’énormes vagues de trafic depuis des milliers de endpoints sans que les propriétaires le sachent. Vous pourriez techniquement lancer une attaque DDoS manuellement depuis quelques serveurs, mais ce n’est pas courant. Pour une attaque réelle et soutenue qui vous met hors ligne, un botnet est l’outil qu’ils utiliseront.
Oui, les petites entreprises sont des cibles fréquentes. Les attaquants savent que les petites entreprises ne disposent souvent pas des défenses des grandes entreprises. Vous pourriez être touché par une attaque DDoS dans le cadre d’une demande de rançon, ou simplement pour perturber vos opérations. Si votre site web tombe en panne, vous perdez de l’argent et des clients. Un bon plan de protection est important, même si vous pensez être trop petit pour être remarqué.
Les FAI et les fournisseurs cloud peuvent filtrer le trafic malveillant en amont avant qu’il n’atteigne votre réseau. Ils disposent d’une bande passante plus importante et de centres de scrubbing pour absorber le trafic parasite. Un service cloud de protection DDoS redirige votre trafic via des filtres. Votre FAI peut blackholer votre IP pendant une attaque pour protéger son infrastructure, mais cela vous met hors ligne. Vous avez besoin d’un service qui nettoie le trafic sans interrompre votre connexion.
Les outils de détection et réponse sur les endpoints ne sont pas conçus pour arrêter les attaques DDoS. Ils surveillent les menaces sur des appareils comme les ordinateurs portables et les serveurs, pas les inondations au niveau réseau. Une attaque DoS ou DDoS sature votre liaison internet, ce qu’un EDR ne peut pas contrôler. Un bon EDR peut détecter si un trojan infecte votre machine et l’utilise pour rejoindre un botnet. Mais pour l’atténuation des attaques, vous avez besoin de défenses au niveau réseau, de pare-feu et de services cloud de scrubbing.

