Par Xavier GRUSELLE et Grégory ALLAIN (Site optimisé pour Firefox 1.5)

Liens conseillés

• Détection d'intrusion Systèmes de détection d'intrusion: vocabulaire, terminologie, critère de choix, positionnement, utilité...
• La sécurité "by-design"Une vue d'ensemble sur la sécurité informatique par la société TWD Industries
• Présentation sur les IDSUne présentation simple mais efficace des systèmes IDS par la societe HSC
• Serveur-proxy type FirewallComme son nom l'indique : Qu'est ce qu'un serveur proxy de type Firewall
• HIDS/NIDSUn site trés complet sur les IDS et la sécurité informatique en général
• FAQ IDS (Anglais)Un FAQ complet sur les IDS et autres, malheureusement en anglais
• Définitions IDSUn rapide rappel sur les définitions liées aux IDS
• Site officiel de SquidComme son nom l'indique, le site officiel du célébre serveur proxy
• Wiki sur SquidUn court aperçu du logiciel avec quelques liens
• CCM - les IDSLe célébre site 'Comment ça marche' s'intéresse ici aux IDS
• Un tutorial sur les ACLsQu'est ce qu'une ACL, comment la modifier...Un paranorama sur les listes de contrôles d'accès
• Tenable Network SecurityLe site de la société Tenable Network Security Inc.
• Internet Security SystemsLe site de la société Internet Security Systems (ISS)
• Solution IPS CiscoUn apercu des solutions IPS proposées par la société Cisco
• Solution IDS EnteraSysUn apercu des solutions IDS proposées par la société EnteraSys Security

Systèmes de prévention des intrusions (IPS)

IPS est un autre acronyme à la mode qui a fait son apparition au début des années 2000. L’idée sous-jacente de ce concept est qu’un système de détection des intrusions peut certes détecter des attaques contre un réseau mais sa fonction de détection, par nature passive, ne peut empêcher l’intrusion. Cela a mené certaines entreprises utilisatrices à se poser la question : pourquoi investir dans une solution de détection des intrusions si on ne peut pas empêcher l’intrusion ? La réaction des fournisseurs a été prompte et c’est ainsi que l’acronyme IPS a vu le jour.

« Un système de prévention des intrusions est un ensemble de composants logiciels et/ou matériels dont la fonction principale est d’empêcher toute activité suspecte détectée au sein d’un système. »

Le qualificatif « détectée » de la définition est important car la notion de prévention des intrusions développée ici implique que la détection ait été faite au préalable. En l’absence de ce qualificatif, la notion d’IPS est trop vague et des systèmes tels que les firewalls ou les logiciels de filtrage pourraient être qualifiés d’IPS. Si certains spécialistes classifient le firewall dans la catégorie des IPS, ils sont loin de représenter une majorité. Nous considérerons les IPS comme un sur ensemble des IDS dans la mesure où la notion de détection est un pré requis nécessaire à tout système de prévention. Un certain nombre de solutions du marché assurent d’ailleurs simultanément les fonctions de détection et de prévention.

Bien que l’IPS semble être la solution idéale pour empêcher les intrusions, la réalité n’est malheureusement pas aussi simple. L’une des problématiques majeures des IDS (et a fortiori des IPS) réside dans la fiabilité de la détection. En d’autres mots, il est impossible aujourd’hui d’identifier des attaques contre un système avec une fiabilité de 100%. Hors, pour prévenir une intrusion et par conséquent empêcher toute activité suspecte, il est nécessaire d’être absolument certains que l’on bloque des flux liés à une attaque et non des échanges qui ressemblent à une intrusion. C’est ce qui explique que bon nombre d’entreprises sont frileuses à déployer des IPS.

Les premiers produits IPS apparus sur le marché sont en fait des IDS aux quels l’éditeur a adjoint des fonctionnalités de réactions automatique à des attaques (tels que Snort, RealSecure ou Dragon). A partir de 2002, certaines start-ups comme Okena, Entercept ou Intruvert ont commencé à proposer sur le marché des solutions qui ont été conçues pour bloquer nativement les intrusions. Bien que les technologies soient encore jeunes, le rachat de ces jeunes pousses montre l’intérêt des éditeurs pour ces nouvelles tendances en matière de gestion des intrusions.

Dream © 2006