Pour se protéger contre les attaques informatiques, les pare-feux ne sont aujourd’hui plus suffisants. Les systèmes de détection d’intrusion sont capables de repérer des menaces que les pare-feux ne soupçonnent pas.
Vous souhaitez un accompagnement sur la sécurisation de vos systèmes d’informations ? Notre équipe vous accompagne.
Les trois types de systèmes de détection d’intrusion
Il existe trois types d’IDS, ou « Intrusion Detection Systems ». Le premier, baptisé HIDS, est un système de détection d’intrusion basé sur un « hôte », c’est-à-dire sur une machine ou un système d’exploitation. Apparu dans les années 1980, cette technologie surveille l’état de sécurité d’un ordinateur, en analysant l’activité de la machine, de l’utilisateur, et des virus et chevaux de Troie.
Avec la démocratisation d’internet, il a fallu créer un système capable de surveiller le réseau : c’est ainsi qu’ont été mis au point les NIDS, ou « Network Based Intrusion Detection Systems ». Basés sur le réseau, ces systèmes peuvent repérer des attaques lancées à distance en contrôlant les flux de données.
La troisième technologie, plus moderne et plus efficace, combine les atouts des NIDS et des HIDS : il s’agit des IDS hybrides. Grâce à un système de gestion centralisée, ces IDS reçoivent les informations récoltées par un logiciel qui analyse le réseau et un logiciel qui surveille l’hôte.
Focus sur le fonctionnement des systèmes de détection d’intrusion
Les IDS repèrent les tentatives d’attaque par trois processus distincts :
- Le monitoring. Les systèmes de détection d’intrusion récoltent et filtrent les données pertinentes pour détecter les intrus. Ces données sont, entre autres, les fichiers journaux des systèmes informatiques et des applications de sécurité, la charge des processeurs, le nombre de connexions réseau actives, ou encore le nombre de tentatives de connexion.
- L’analyse. Une fois collectées, les données sont analysées en temps réel. L’IDS utilise deux méthodes différentes : la détection d’abus et la détection d’anomalies. Dans le cas de la détection d’abus, le système compare les données reçues aux signatures d’attaques connues, stockées dans une base de données régulièrement mise à jour. La détection d’anomalies se base quant à elle sur plusieurs indicateurs, comme la charge CPU : quand les valeurs observées s’écartent des valeurs standard du système, il peut y avoir une anomalie.
L’alerte. Les résultats de l’analyse sont transmis à l’administrateur par email, notification mobile ou fenêtre pop-up dans la console de sécurité. Le niveau de risque de chaque anomalie est calculé en fonction de l’écart avec les valeurs standard