Passer au contenu

Dernier recours, la détection d’intrusion

Même si l’intrus parvient à franchir les barrières de protection (coupe-feu, système d’authentification, etc.), il est encore possible de l’arrêter avant qu’il n’attaque. Placés sur le réseau de l’entreprise, les outils de détection d’intrusion décèlent tout comportement anormal ou trafic suspect.

Malgré la mise en place de solutions d’authentification, chargées de filtrer et de contrôler les accès au réseau, il arrive que des intrus y pénètrent. C’est même le propre des pirates que de contourner les serveurs d’authentification, coupe-feu et autres barrières de protection des systèmes. Une fois entrés, plus rien ne les empêche de saboter, de voler et d’endommager les applications. Interviennent alors les systèmes de détection d’intrusion. En auscultant en permanence le trafic, ils repèrent le hacker et alertent aussitôt l’administrateur. Protégeant l’entreprise des attaques externes, ces systèmes sont également capables de détecter le pirate interne qui, selon le Clusif (Club de la sécurité informatique français), représente encore entre 70 à 80 % des actes de malveillance auxquels sont confrontées les sociétés. Il existe deux catégories d’outils sur le marché : la première analyse le trafic réseau, la seconde étudie le comportement des utilisateurs au niveau d’un système ou d’une application.

UNE SURVEILLANCE PERMANENTE DU TRAFIC RESEAU

Baptisés sondes ou encore sniffer, les premiers sont des outils de détection d’intrusion qui s’installent à un point stratégique du réseau. Ils analysent en permanence le trafic à la recherche d’une signature connue de piratage dans les trames. D’un fonctionnement similaire aux antivirus, ces systèmes repèrent uniquement les attaques qui figurent déjà dans leur base de signatures. La richesse de cette base constitue donc un critère primordial dans le choix d’un outil, mais il n’est pas le seul. Le débit des réseaux ayant considérablement augmenté aux cours de ces dernières années, ces sondes doivent être suffisamment puissantes pour analyser toutes les trames. Il suffit en effet d’une trame perdue (non traitée par la sonde surchargée à ce moment-là) pour laisser passer un intrus. Autre élément fondamental, la capacité à conserver un historique. Certains actes de malveillance sont en effet divisés sur plusieurs trames. Si la sonde se révèle incapable d’effectuer un rapprochement entre les trames A et B, elle risque de passer à côté d’une attaque sans la voir. Enfin, la sonde doit être tolérante aux pannes et donc savoir retrouver son état initial de fonctionnement après une interruption, que cette dernière soit causée par un accident ou un pirate. Et par conséquent, elle doit résister à la subversion, c’est-à-dire être en mesure de détecter l’attaque même lorsqu’elle est la cible de cet acte de piratage.

LE COMPORTEMENT DE L’UTILISATEUR EST ANALYSE

Installée sur les OS ou sur les applications, la deuxième catégorie d’outils repose sur des solutions de détection d’intrusion spécialisées dans l’analyse du comportement. Ces systèmes scrutent les fichiers d’événements et non plus le trafic. Une attitude suspecte n’étant pas détectable par une signature, leur fonctionnement diffère de celui des sondes. Les systèmes d’analyse de comportement se composent en effet d’une console et d’agents situés sur le système ou l’application supervisés. Ces agents sont en fait des programmes informatiques qui fonctionnent de manière autonome, en continu, et disposent de capacité d’apprentissage. Leur mission consiste à repérer tout abus (personne qui cherche à outrepasser ses droits et à atteindre des applications auxquelles elle n’a pas accès) ou comportement suspect (personne qui, par exemple, scanne toute une base de données alors qu’en temps normal, elle n’effectue que deux à trois requêtes par jour). De même, le transfert de certains courriers peut être bloqué lorsque ces documents comportent certains mots (préalablement déterminés par l’administrateur) pouvant indiquer la fuite d’informations. Pour être efficaces, ces solutions doivent bénéficier d’une puissance suffisante afin d’analyser tous les événements en temps réel, mais aussi de mécanismes qui les protègent des attaques. Les performances du système expert, à l’origine de la capacité d’apprentissage de l’outil, jouent également un rôle différenciateur.

TROUVER LA BONNE ARCHITECTURE DE DETECTION D’INTRUSION

Simple dans son concept, la détection d’intrusion se complique dès qu’il s’agit de mettre en place des outils : quel segment du réseau faut-il analyser ? Quel serveur ? Pour Fabien Rech, directeur général de NetStaff, SSII spécialisée dans les architectures réseau et dans la sécurité, “l’analyse comportementale suppose la présence d’agents à tous les niveaux du système”. Un point de vue qui ne vaut que si l’entreprise est dotée de moyens financiers colossaux, le coût d’un agent étant particulièrement élevé. Sans compter que ces agents n’existent pas encore pour tous les systèmes et encore moins pour toutes les applications. “La surveillance du système suffit”, estime pour sa part Olivier Caleff, d’Apogée Communications. Côté sonde, il convient là encore de prendre en compte plusieurs segments de réseau. Le choix doit être déterminé en fonction de l’architecture informatique de la société : une sonde après le coupe-feu pour vérifier qu’il n’a effectivement rien laissé passer, une avant les systèmes contenant des données sensibles ou critiques pour le fonctionnement de l’entreprise, etc.Dans tous les cas, des ressources humaines devront être affectées à la supervision des systèmes de détection d’intrusion pour gérer les alertes, mais aussi pour détecter ce que les outils n’auront peut-être pas vu. Nécessaires mais coûteuses, ces ressources freineraient aujourd’hui les entreprises dans l’adoption de ces solutions.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Marie Varandat