Par Xavier GRUSELLE et Grégory ALLAIN (Site optimisé pour Firefox 1.5)

Liens conseillés

• Détection d'intrusion Systèmes de détection d'intrusion: vocabulaire, terminologie, critère de choix, positionnement, utilité...
• La sécurité "by-design"Une vue d'ensemble sur la sécurité informatique par la société TWD Industries
• Présentation sur les IDSUne présentation simple mais efficace des systèmes IDS par la societe HSC
• Serveur-proxy type FirewallComme son nom l'indique : Qu'est ce qu'un serveur proxy de type Firewall
• HIDS/NIDSUn site trés complet sur les IDS et la sécurité informatique en général
• FAQ IDS (Anglais)Un FAQ complet sur les IDS et autres, malheureusement en anglais
• Définitions IDSUn rapide rappel sur les définitions liées aux IDS
• Site officiel de SquidComme son nom l'indique, le site officiel du célébre serveur proxy
• Wiki sur SquidUn court aperçu du logiciel avec quelques liens
• CCM - les IDSLe célébre site 'Comment ça marche' s'intéresse ici aux IDS
• Un tutorial sur les ACLsQu'est ce qu'une ACL, comment la modifier...Un paranorama sur les listes de contrôles d'accès
• Tenable Network SecurityLe site de la société Tenable Network Security Inc.
• Internet Security SystemsLe site de la société Internet Security Systems (ISS)
• Solution IPS CiscoUn apercu des solutions IPS proposées par la société Cisco
• Solution IDS EnteraSysUn apercu des solutions IDS proposées par la société EnteraSys Security

Systèmes de détection des intrusions (IDS)

A la question « qu’est ce qu’un système de détection des intrusions ? », il est étonnant de noter que l’on obtient autant de réponses différentes que de personnes à qui on a posé cette question.

Pour certains, il s’agit d’une boîte magique qui détecte, devine et éradique automatiquement toute activité illicite au sein d’un système, alors que pour d’autres une telle tâche ne peut être effectuée que par l’être humain. La réalité doit probablement se trouver quelque part à mi-chemin entre ces deux visions des choses…

La définition proposée ici est la suivante :

« Un système de détection des intrusions est un ensemble de composants logiciels et/ou matériels dont la fonction principale est de détecter et analyser toute tentative d’effraction volontaire ou non et/ou de maintien dans un système d’informations ainsi que toute altération éventuelle de ces données. »

De manière générale, un système de détection des intrusions assure les tâches suivantes :

• Détection des techniques de sondage (balayage de ports, prise d’empreintes d’applications, etc.) ;
• Détection des tentatives de compromissions de systèmes ;
• Détection des activités suspectes internes à l’entreprise ;
• Détection des activités virales ;
• Audit des fichiers de journaux (logs) en provenance de diverses sources ;
• Corrélation de multiples sources d’événements de sécurité.

Comme vous pouvez le constater, le spectre est assez large et des systèmes tels que les firewalls ou les antivirus peuvent rendre un ou plusieurs de ces services, aussi conviendra-t-il de préciser leur rôle par rapport à celui d’un IDS.

Dream © 2006