sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Système de détection d’intrusion (SDI) ou Intrusion Detection System (IDS)

Objectifs des SDI (Système de détection d’intrusion)

Les SDI sont des systèmes qui permettent de détecter les tentatives d'intrusion sur un réseau , voire de neutraliser ces attaques et ainsi d’améliorer la sécurité du réseau.

Un SDI peut aider à protéger les failles que les pirates exploitent, comme les failles des logiciels (et elles sont si nombreuses que penser les fermer toutes par des corrections est utopique), les faiblesses des protocoles (réseaux TCP/IP, …).

On peut dire en synthèse qu’un SDI est l'équivalent d'un système d'alarme : il surveille le trafic du réseau et déclenche une alarme lorsqu'il observe une activité malicieuse.

Le fonctionnement des SDI

On peut établir un parallèle entre un SDI et un antivirus.

Méthode des signatures ou méthode scénario : D’abord un SDI dispose de tables ou sont référencées les attaques connues (les scénarios d’attaque) avec leurs signatures (et donc comme un antivirus, il faut donc penser très régulièrement à en télécharger la liste la plus récente).
Le réseau est donc sans cesse analysé (mais seulement sur la base d’échantillons) et comparé avec cette table de menaces.

Méthode comportementale (anomalies de protocole) : Là l’objectif n’est pas d’identifier une attaque déjà connue, mais de construire un profil de comportement normal de l’application (ou de l’utilisateur) et de détecter tout comportement déviant. Cette méthode permet de détecter les attaques inconnues, basées sur des faiblesses des protocoles, mais ce système produit beaucoup de fausses alarmes. En outre, l’attaquant peut également apprendre au système un comportement anormal comme comportement normal.

En synthèse, tandis que la détection basée sur signatures est un système robuste, la détection des anomalies de protocoles peut être utilisée pour identifier les diverses attaques qui n'observent pas les scénarios habituels, mais génère des fausses alertes.

spacer

Les limites des SDI

En complément d’un firewall, un SDI permet ainsi une défense en profondeur, cependant le système est assez difficile à mettre en oeuvre et requière des compétences techniques importante ce qui freine les entreprises.

  • Un mode passif : La plupart des systèmes actuels se contentent d’une alarme à l’administrateur du réseau et ne peuvent pas appliquer une scénario de défense (trop de faux négatifs). Or beaucoup d’attaques on lieu les week-end et pendant les vacances (est-ce un hasard ?), et donc avec des moyens de défense de l’entreprise souvent réduits pendant ces périodes.

  • L'analyse des alarmes est un travail laborieux qui doit s'appuyer sur des ressources suffisantes. Lorsque des tentatives d'intrusion sont découvertes, il faut engager des ressources soit pour confirmer que l'intrusion a été réussie, soit pour protéger le réseau ou les systèmes cibles, soit pour enquêter sur la menace, (souvent en effectuant ces trois activités)

Les limites des SDI sont encore nombreuses et sont majoritairement réservées aux entreprises ayant acquis une forte maturité en terme de sécurité des réseaux.

En savoir plus :

 Une analyse très intéressante faite par le gouvernement du Canada sur la mise en œuvre d’un SDI (malheureusement plus en ligne)

pix1 pix2 pix3 pix4