« ALERTE À L’INTRUS ! » Imaginez une voix numérique criant ce message en cas de présence d’un cybercriminel et vous aurez une idée de ce qu’est un système de détection d’intrusion. Comme son nom l’indique, il détecte les intrusions et il est depuis longtemps un incontournable de la cybersécurité pour les grandes entreprises qui recherchent un logiciel de système d’alarme anti-intrusion. Si leurs réseaux sont compromis, cela peut entraîner des pertes financières massives, ainsi que des temps d’arrêt, des violations de données et une forte dégradation de la réputation de l’entreprise. Vous trouverez ci-dessous un guide rapide sur le fonctionnement des systèmes de détection d’intrusion, leurs différents types et les raisons pour lesquelles ce garde du corps numérique ne peut pas fonctionner seul. En effet, les systèmes de détection d’intrusion font généralement partie d’autres systèmes de sécurité.
Qu’est-ce qu’un système de détection d’intrusion ?
Un système de détection d’intrusion est un système de détection d’intrusion réseau qui surveille le trafic réseau comme un chien de garde numérique, toujours à l’affût d’activités suspectes, de cybermenaces connues ou d’infractions à la politique. Il émet des alertes si une telle activité est découverte, avant de signaler la violation à un administrateur. Parfois, les activités suspectes sont collectées et enregistrées de manière centralisée à l’aide d’un système de gestion des informations et des événements de sécurité (SIEM). Vous trouverez plus d’informations à ce sujet dans notre article blog dédié ici, si vous êtes intéressé. De même, il ne doit pas être désigné comme un dispositif de sécurité de détection d’intrusion car il s’agit en fait d’un système logiciel !
Les alertes du système de détection d’intrusion comprennent généralement les informations suivantes : l’adresse source de l’intrusion et l’adresse cible, ainsi que le type d’attaque suspectée. Mais s’agit-il vraiment d’une attaque ou est-ce une fausse alerte ? Cela dépend de la qualité de l’entraînement de votre système de détection d’intrusion. Chaque système de détection d’intrusion est programmé pour analyser le trafic et identifier des modèles, mais il peut également détecter le trafic qui pose problème à un logiciel spécifique. Par exemple, si une cybermenace est connue pour n’attaquer que Firefox, le système de détection d’intrusion n’émettra pas d’alerte si votre entreprise utilise un autre navigateur.
Un système de détection d’intrusion est parfois appelé, à tort, un pare-feu de détection d’intrusion. Bien que les deux soient liés à la sécurité du réseau, un pare-feu fonctionne de façon préventive. Il recherche les cybermenaces extérieures et restreint l’accès entre les réseaux pour aider à prévenir les intrusions. Un système de détection d’intrusion ne donne l’alerte qu’en cas d’intrusion présumée et ne bloque pas le trafic suspect. Pour résumer : un pare-feu est le vigile musclé à la porte qui bloque l’accès, tandis que votre système de détection d’intrusion dans l’ordinateur est comme un système d’alarme qui signale toute intrusion d’élément suspect. Ensemble, ils forment une excellente équipe de sécurité.
Pour rendre les choses encore plus compliquées, il existe également un système de prévention d’intrusion. Un système de prévention d’intrusion combine les capacités d’un système de détection d’intrusion et d’un pare-feu. Il assure la détection des intrusions et va même plus loin en aidant à prévenir les cybermenaces détectées.
Quels sont les principaux types de systèmes de détection d’intrusion ?
Un système de détection d’intrusion peut fonctionner de cinq manières différentes selon l’endroit où il se trouve.
- Système de détection d’intrusion dans le réseau
Il est mis en place à un point déterminé du réseau pour examiner le trafic de tous les appareils sur le réseau. Il compare le trafic à un référentiel d’attaques connues. Si une attaque ou un comportement anormal est observé, une alerte est envoyée à l’administrateur.
- Système de détection d’intrusion de l’hôte
Il fonctionne sur des hôtes ou des appareils indépendants sur le réseau et surveille les paquets entrants et sortants de ces dispositifs uniquement. Il prend un instantané des fichiers système existants et le compare avec un instantané précédent. Si des fichiers système d’analyse ont été modifiés ou supprimés, une alerte est émise.
- Système de détection d’intrusion basé sur le protocole
Il s’agit d’un système ou d’un agent qui réside sur la partie frontale d’un serveur, où il surveille le flux du protocole HTTPS entre un utilisateur/un appareil et le serveur.
- Système de détection d’intrusion basé sur le protocole d’application
Ce système ou agent réside généralement dans un groupe de serveurs où il identifie les intrusions en surveillant et en interprétant la communication sur des protocoles spécifiques aux applications.
- Système de détection d’intrusion hybride
Dans ce cas, deux ou plusieurs systèmes de détection d’intrusion sont combinés avec des informations sur le réseau pour obtenir une vue d’ensemble plus complète de l’environnement informatique. Les systèmes hybrides de détection d’intrusion sont souvent considérés comme les plus efficaces.
Quelles sont les méthodes utilisées pour la détection des intrusions ?
Il existe deux méthodes, que nous allons présenter brièvement. Les systèmes de détection d’intrusion basés sur les signatures détectent les attaques en examinant des modèles spécifiques tels que le nombre d’octets ou de 1 ou 0 dans le trafic réseau. Ils apprennent les séquences d’instructions malveillantes (c’est-à-dire la signature) des malwares connus afin de les détecter. Malheureusement, il leur est difficile d’identifier les nouvelles attaques de malwares, car leur signature n’est pas encore connue. C’est pourquoi les systèmes de détection d’intrusion basés sur les anomalies sont si utiles dans un monde où les cybermenaces évoluent rapidement : ils peuvent détecter les attaques de malwares inconnus en utilisant le Machine Learning pour créer un modèle d’activité de confiance. Tout ce qui diffère de cette ligne de base est déclaré suspect, y compris un utilisateur qui se connecte en dehors des heures de travail, de nouveaux appareils ajoutés sans autorisation ou un flot soudain de nouvelles adresses IP qui tentent de se connecter au réseau.
Les deux méthodes de détection ont des forces et des faiblesses qui se complètent, alors n’en écartez pas une pour le moment ! La détection basée sur les signatures présente généralement des vitesses de traitement plus élevées pour les attaques connues et des taux de faux positifs plus faibles. La détection basée sur les anomalies peut aider à identifier les exploits Zero Day, mais au prix d’un taux plus élevé de faux positifs. Nous allons examiner plus en détail les avantages et les inconvénients ci-dessous.
Quels sont les inconvénients d’un système de détection d’intrusion ?
Bien qu’il soit essentiel à la sécurité de l’entreprise, un système de détection d’intrusion peut être difficile à gérer. Une fois que vous vous êtes engagé à surveiller votre réseau à l’aide d’un tel système, vous devez répondre aux alertes et aux incidents. Sinon, pourquoi se donner la peine de le mettre en place ? En outre, les systèmes de détection d’intrusion sont connus pour générer de faux positifs. Les équipes informatiques sont donc soumises à une pression supplémentaire pour mettre à jour et affiner en permanence leur système de détection afin de distinguer les cybermenaces légitimes du trafic autorisé. Par exemple, il n’y aurait guère d’intérêt à fournir des alertes pour un serveur déjà protégé contre des attaques connues, car vous seriez inondé d’alarmes non pertinentes. C’est pourquoi les organisations peuvent choisir une plate-forme d’analyse secondaire, telle qu’un système SIEM, pour les aider à collecter et à examiner les alertes.
Il n’existe pas d’approche unique. Pour que le système de détection d’intrusion puisse fonctionner de manière précise et efficace, chaque entreprise doit être prête à l’adapter à ses propres besoins. Idéalement, l’équipe informatique aura besoin d’analystes système compétents. Et même les systèmes de détection d’intrusion les mieux formés et les mieux entretenus peuvent encore passer à côté de risques légitimes, en particulier dans le cas de nouvelles cybermenaces, comme un médecin confronté à une série de patients zéro.
Le trafic chiffré peut également constituer un défi pour la technologie du système de détection d’intrusion, car il peut ne pas identifier les signatures de malwares. En outre, la vitesse élevée et les importants volumes de trafic entrant dans une entreprise peuvent limiter l’efficacité d’un système de détection d’intrusion.
Il existe cependant des moyens de faciliter les détections avec un système de détection d’intrusion ! Découvrons les leurres, ou « honeypots »…
Qu’est-ce qu’un honeypot ?
Avez-vous entendu parler des « honey traps » (littéralement « pièges à miel ») utilisés au temps de la guerre, où (généralement) une femme attirante incitait quelqu’un à révéler des secrets ? À l’ère du numérique, les honeypots (littéralement « pots de miel ») fonctionnent de la même manière, en tendant un piège aux pirates. Le honeypot ressemble à un système informatique normal, avec ses applications et ses données, et est conçu pour faire croire aux cybercriminels qu’il s’agit d’une cible légitime, comme une base de données clients. Une fois qu’ils y ont pénétré, les pirates peuvent être suivis et leur comportement analysé. Les informations recueillies sont ensuite utilisées pour rendre les systèmes de l’entreprise plus sûrs.
Parfois, des failles de sécurité, comme des mots de passe faibles ou des ports vulnérables, sont intégrées dans les honeypots pour attirer les pirates. Il existe également différents types de honeypots qui peuvent être utilisés pour différentes cybermenaces : un honeypot pour les malwares imite les applications logicielles et les API pour attirer les attaques les malwares, tandis qu’un spider honeypot (honeypot pour « araignée ») peut piéger les robots d’indexation (les araignées) en créant des pages Web et des liens qui ne sont accessibles qu’à eux. Les pièges à spam placent une fausse adresse électronique dans un emplacement caché où seul un collecteur d’adresses automatisé pourra la trouver. Tous les e-mails qui arrivent à cette adresse seront considérés comme du spam et les expéditeurs pourront être bloqués.
Pourquoi un système de détection d’intrusion est-il important et est-ce le bon choix pour vous ?
Il existe toute une série d’outils permettant de détecter et de bloquer les cyberattaques et le trafic non autorisé sur le réseau. Aucune technologie n’est infaillible et aucun réseau n’est impénétrable. C’est pourquoi un système de détection d’intrusion est un complément précieux à l’approche multicouche de la protection des entreprises. Son principal avantage est de garantir que les équipes informatiques sont averties lorsqu’une attaque ou une intrusion dans le réseau est en cours. Avez-vous du personnel disposant du temps, des ressources, des connaissances et des compétences nécessaires pour prendre les bonnes mesures lorsque des alertes sont envoyées ? Et ce personnel peut-il entraîner en permanence votre système à distinguer les activités habituelles des activités malveillantes ? Le volume d’alertes peut être décourageant, et les attaquants ne travaillent pas avec des horaires de bureau. Un système de détection d’intrusion peut faire partie intégrante de la sécurité d’une organisation, mais tout comme une alarme incendie, il doit faire partie d’une réponse cohérente et d’une protection plus large pour être vraiment efficace.