> Tech > Détection d’intrusion

Détection d’intrusion

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Malgré tout le soin mis à défendre le périmètre de sécurité, vous risquez toujours de voir des assaillants pénétrer dans votre réseau. C’est pourquoi il faut aussi réfléchir à la détection et la prévention d’intrusion. Les systèmes de détection d’intrusion (IDS, intrusion detection system) et les systèmes de prévention d’intrusion

(IPS, intrusion prevention system) disposent de trois moyens pour détecter les intrus : examen des paquets, configuration de la stratégie et analyse de profil.

La plupart des solutions IDS et IPS examinent les paquets pour y détecter des attaques portant des signatures connues. L’efficacité de cette méthode de détection dépend du nombre de signatures que le fournisseur a intégrées dans le produit et de la fréquence avec laquelle celui-ci est actualisé. La plupart des systèmes vous permettent aussi de configurer des stratégies qui définissent des profils de trafic réseau attendus, mais cette méthode exige beaucoup de recherche et de travail, et il faut bien sûr maintenir les stratégies quand de nouvelles applications sont mises en ligne et que les profils de trafic changent.

Certains systèmes emploient divers algorithmes et analyses de profils pour tenter de détecter un trafic anormal. Ces systèmes sont prometteur pour le futur mais, pour l’instant, ils souffrent des mêmes limitations et faux positifs que les solutions antispam fondées sur l’analyse heuristique et Bayésienne. Les solutions IDS et IPS ont à peu près les mêmes fonctions de détection. Mais elles diffèrent dans leur manière de réagir quand elles détectent un trafic suspect ou non autorisé. Les solutions IDS se concentrent sur la journalisation et l’alerte.

Les solutions IPS tentent de stopper l’intrusion en reconfigurant le pare-feu en temps réel ou en émettant des réinitialisations TCP. Quand les solutions IDS déraillent (c’est-à-dire qu’elles renvoient de faux positifs), votre boîte de réception se remplit et votre pager croule sous une avalanche d’alertes. Quand les solutions IPS déraillent, des processus de gestion importants sont stoppés net dans leur élan. A moins de consacrer du personnel à une IDS ou IPS, vous feriez mieux de consacrer vos ressources à des solutions de périmètre de sécurité directes.

Par le passé, le périmètre de sécurité se limitait à la configuration de quelques règles de pare-feu. Aujourd’hui, ce même périmètre de sécurité est multifacette, multicouche et beaucoup plus compliqué. C’est bien plus que la simple limite entre Internet et votre intranet. Aujourd’hui, de nombreuses applications chevauchent ces deux réseaux par des connexions logiques qui se jouent de votre pare-feu. Donc, la première mesure de la planification du périmètre de sécurité consiste à recenser toutes vos connexions, physiques et logiques, vers le monde extérieur.

Sans oublier que le périmètre de sécurité change constamment et que de nouvelles connexions naissent au rythme des nouvelles technologies toujours mieux adaptées à Internet. Par exemple, les services basés sur le contrôle à distance, comme GotoMyPC, ont le vent en poupe. Les utilisateurs peuvent facilement s’abonner à GotoMyPC et l’utiliser pour l’accès à distance mais, ce faisant, ils ouvrent une brèche directement dans votre réseau, par l’intermédiaire de leurs postes de travail.

Comme je l’ai déjà dit, refuser les nouveaux genres de connexion vers le monde extérieur serait futile, voire dangereux pour votre entreprise. Si vous essayez de stopper des progrès techniques tels que la messagerie instantanée et la téléconférence sur le Web, les utilisateurs trouveront un moyen de contournement dangereux pour vos systèmes et pour vous. Soyez vigilants. Anticipez. Jouez la sécurité.

Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez toutes nos actualités à travers des interviews, avis d'experts et témoignages clients et ainsi, retrouvez les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et collaboration, Impression et capture et Infrastructure.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010