Plus de 1 000 attaques ciblées sont recensées chaque jour dans le monde. “Et cela s’accentue avec le développement de l’accès internet au travail”, ajoute Éric Ochs, président d’IDC France. Côté équipements, 80 % des coupe-feu seraient encore inopérants, souligne un livre blanc publié par le cabinet 3i. D’où le recours aux outils de détection d’intrusion (IDS pour Intrusion Detection System), une solution de plus en plus préconisée par les consultants en sécurité. Le marché des IDS affiche d’ailleurs une solide santé ; estimé à 249 M$ en 2002 par le Gartner-Dataquest, en progression de 32 %, il pourrait atteindre 1 Md$ d’ici à 2005 (source IDC).Limités, à leurs débuts, aux usages des laboratoires de recherche ainsi qu’à certaines instances gouvernementales et militaires, les outils IDS investissent aujourd’hui les entreprises. Plus de 50 % des sociétés nord-américaines affirment en être équipées. “Historiquement, la vague marketing de l’IDS a commencé à déferler courant 2000, embrayant sur celle du coupe-feu qui avait démarré deux ans auparavant”, explique Philippe Bouvier, directeur de mission et responsable des audits de sécurité chez Thales Secure Solutions. Conçus comme des routeurs améliorés, les coupe-feu se sont en effet rapidement révélés inaptes à bloquer toutes les attaques. La solution a donc consisté à installer des sondes IDS.
Couplé à une solution d’audit de vulnérabilité, l’IDS gagne en efficacité
Plusieurs technologies ont été déployées. Les premières analysaient un segment du réseau et capturaient le trafic, à l’image de ce que font les sniffer. Mais avec l’arrivée des environnements commutés, il a fallu placer des agents un peu partout. Aujourd’hui, un IDS se présente sous la forme d’un logiciel déclenchant une alarme dès qu’il détecte une anomalie. Son efficacité dépend des connaissances acquises et de ses facultés à analyser les événements. Il fonctionne soit en mode comportemental, soit par scénario, comparant les données suspectes avec une base de signatures. Dans le premier cas, l’outil repère toutes les activités anormales des utilisateurs, par rapport à la politique globale de sécurité. Il évolue ensuite progressivement, tenant compte des alertes vraies et fausses. “Par exemple, certains réseaux n’autorisent pas le transport de flux FTP. Il suffit qu’un fichier de ce type, tout à fait anodin, s’introduise pour déclencher le branle-bas, alors qu’il s’agit juste d’une erreur de configuration”, explique Philippe Bouvier, de Thales Secure Solutions.Dans le cas d’une analyse par scénario, chaque intrusion décelée est comparée à une base de signatures, à l’instar de ce qui se pratique pour les antivirus. Inconvénient, ce système possède souvent un temps de retard par rapport aux nouvelles attaques répertoriées. Mais la communauté des spécialistes en sécurité veille. Une fois décortiquée, l’attaque est publiée auprès d’organismes officiels. Ces derniers diffusent les nouvelles intrusions observées à l’ensemble des fournisseurs. Certaines bases de données sont ainsi mises à jour quotidiennement, comme celles tenues par Snort.org, Security Focus ou par le Cert.Complétant l’action du coupe-feu, pilier central de l’infrastructure de sécurité, l’IDS se révèle par ailleurs plus efficace lorsqu’il fonctionne de concert avec une solution d’audit de vulnérabilité. “Recourir préalablement à une analyse de l’ensemble des composants du réseau constitue une étape primordiale. Il ne faut pas laisser à l’écart un équipement actif”, souligne Amar Zendik, directeur technique chez Mind Technologies. Ce type d’inspection recense et corrige les failles de sécurité, souvent dues à des mises à jour négligées.
Un coût encore élevé
Côté utilisateurs, les premiers à s’intéresser aux IDS ont été les banques. Mais les spécialistes de l’e-commerce n’ont pas tardé à les rejoindre. “Les premiers IDS ont été installés dans les n?”uds d’interconnexion des infrastructures internet”, signale Philippe Bouvier de Thales Secure Solutions. Toutefois, même si les PME peuvent faire appel à une solution open source, moins chère, la cible privilégiée de ces outils demeure les grands comptes. Le coût d’installation et surtout de maintenance d’un IDS reste en effet élevé, tant en ressources techniques qu’humaines. D’autant que pour les spécialistes, la meilleure parade consiste à employer en parallèle plusieurs types d’IDS. “Le prix représente un critère important, certes, mais une attaque sérieuse peut coûter entre 0,2 et 0,5 % du CA d’une grosse entreprise”, souligne un expert du Clusif.Mais le plus important concerne les coûts cachés, tels que la maintenance et l’administration. Un IDS remonte en effet un volume important d’informations et d’alarmes. Et selon les spécialistes, si 20 % des alertes sont erronées et ne correspondent pas à de réelles intrusions, l’IDS est inutile. “Son bon fonctionnement repose sur une personnalisation minutieuse et sur une inspection quotidienne des journaux d’activité”, commente Fanny Bellone, responsable sécurité et télécoms chez Mind Technologies. Le rôle de l’administrateur est donc vital. Mais entre les fausses alertes, issues le plus souvent d’une mauvaise configuration, les montées en charge, la distribution des agents de surveillance dans les réseaux commutés et surtout la consolidation des données, il se retrouve vite débordé. Beaucoup de consultants préconisent donc la présence d’un responsable dédié à la sécurité. En outre, une fois le tri effectué, l’éventail des actions à entreprendre proposé par les IDS demeure assez faible et se cantonne à la simple remontée d’alertes, voire à l’interruption de la session TCP/IP suspecte. Un effort important est donc aujourd’hui mené autour de la configuration des IDS et sur leur supervision. Les plates-formes de contrôle doivent être capables de corréler de façon plus pertinente toutes les alertes signalées. Pour se dégager de ces contraintes, de nombreuses entreprises n’hésitent d’ailleurs plus aujourd’hui à externaliser la surveillance de leurs réseaux.Reste enfin l’aspect pratique, et notamment l’emplacement d’un IDS. Une première école estime qu’il suffit de l’installer derrière le coupe-feu, préférant se concentrer sur les attaques qui proviennent de l’intérieur du réseau. Une seconde école préconise d’installer l’IDS aux deux extrémités du coupe-feu, de manière à être tenu au courant des attaques qui ont ciblé le réseau. À ces deux méthodes, les plus pragmatiques concèdent que de toute façon, l’objectif prioritaire reste la protection des données les plus sensibles.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.