Chaque cyberattaque pose des défis uniques : les solutions de sécurité à taille unique sont rarement efficaces. Deux méthodes particulières sont parfois comparées comme solutions alternatives pour lutter contre les menaces : Les systèmes de détection d’intrusion (IDS) et les systèmes de prévention d’intrusion (IPS).
Les deux systèmes partagent de nombreuses similitudes et peuvent être tout aussi utiles, en fonction des capacités et des besoins spécifiques de l’entreprise ou des administrateurs de sites Web. Alors, que sont les IDS et les IPS, et l’un est-il meilleur que l’autre ?
IDS vs IPS
- Système de détection d’intrusion (IDS)
Les IDS analysent le trafic entrant à la recherche de menaces et de cyberattaques potentielles. À l’aide de diverses méthodes de détection (nous y reviendrons), ils vérifient toute activité suspecte qui pourrait menacer les réseaux ou les appareils qu’ils couvrent. Ayant détecté une action suspecte ou interdite, le système envoie alors un rapport à un site Web ou à l’administrateur du réseau.
- Les systèmes de prévention des intrusions (IPS)
IPS adoptent une approche plus proactive et tentent de bloquer le trafic entrant s’ils détectent une menace. Ce processus s’appuie sur les mêmes mécanismes de détection que les IDS, mais les étaye par des mesures de prévention proactives.
Comment fonctionnent les systèmes de détection d’intrusion ?
Un IDS est essentiellement une vigie qui repère l’ennemi entrant et alerte ses supérieurs. La vigie elle-même n’est là que pour scruter les menaces, pas pour les neutraliser. C’est un système conçu pour travailler en tandem avec des administrateurs humains, qui peuvent alors répondre efficacement à chaque menace unique. La plupart des IDS entrent dans ces deux catégories :
- Système de détection d’intrusion réseau (NIDS) : Un NIDS surveille le trafic réseau pour détecter toute menace potentielle, sans se concentrer sur un seul périphérique. C’est le système préféré des administrateurs qui gèrent un grand écosystème de matériel ou d’applications connectés ; avec un NIDS, ils peuvent jeter un filet plus large.
- Système de détection des intrusions dans les hôtes (HIDS) : Cette approche est beaucoup plus spécifique que le NIDS. Contrairement à son homologue, un HIDS se concentre uniquement sur un seul « hôte », un dispositif comme un ordinateur ou un serveur. Outre la surveillance du trafic entrant que le matériel reçoit, il analyse également le logiciel de ce périphérique pour détecter toute activité inhabituelle.
Il est important de comprendre que ces systèmes ne s’excluent pas mutuellement. Alors que NIDS peut offrir de grandes améliorations de la sécurité à l’échelle du réseau, HIDS fournit une protection spécifique aux périphériques. Ensemble, ces deux approches peuvent offrir d’excellents outils pour améliorer la sécurité à tous les niveaux.
Méthodes de détection
Il existe deux stratégies de détection qui sont principalement utilisées par les IDS. Les deux ont leurs propres avantages et inconvénients, et leur utilité dépendra largement du contexte.
- Les systèmes basés sur les anomalies fonctionnent sur une compréhension prédéterminée de l’activité réseau « non suspecte ». Cela signifie que lors de l’installation du logiciel, les administrateurs définissent les règles de l’activité « normale », permettant ainsi au système « d’apprendre » ce qu’est la normalité. Une fois qu’un système basé sur les anomalies a défini ce qui serait considéré comme un trafic utilisateur « normal », il peut comparer les comportements et détecter quand ils deviennent anormaux.
- Les systèmes basés sur les signatures s’appuient sur une base de données prédéfinie de menaces connues et des comportements qui leur sont associés. Un IDS basé sur les signatures analyse chaque élément du trafic entrant et le compare à sa « liste noire ». Cette liste peut contenir n’importe quoi, des paquets de données suspects associés à une attaque DDOS aux lignes d’objet de courriel précédemment liées à des logiciels malveillants.
Les deux systèmes ont leurs avantages et leurs inconvénients. La détection basée sur les anomalies est beaucoup plus susceptible de prendre un comportement non malveillant pour une menace, car tout ce qui s’écarte de sa compréhension de la « normale » déclenchera l’alarme. Ce n’est pas un si gros problème si vous utilisez un IDS, bien sûr, puisqu’il notifierait simplement un être humain plutôt que de bloquer complètement le trafic, comme le ferait un IPS.
Les systèmes basés sur les signatures n’ont pas la fluidité et les capacités d’apprentissage automatique dont bénéficie un IDS basé sur les anomalies. Toute base de données de menaces est finie, et de nouveaux modèles d’attaque émergent continuellement. Si la liste n’est pas mise à jour, le système ne sera pas en mesure de repérer la menace.
Donc, au moment de choisir la meilleure méthode de détection pour leur IDS, les entreprises qui gèrent des sites web à fort trafic devraient se pencher vers l’option basée sur les anomalies.
Comment fonctionnent les systèmes de prévention des intrusions ?
La façon la plus simple de comprendre un IPS est de le voir comme un IDS avec une fonctionnalité supplémentaire (et qui pourrait changer la donne) : la prévention active.
Lorsqu’il s’agit de similitudes, la plupart des IPS peuvent être classés selon les mêmes lignes que les IDS en réseau et spécifique à l’hôte. En outre, un IPS détecte les menaces à peu près de la même manière qu’un IDS, en utilisant soit une liste noire de signatures, soit une méthode basée sur les anomalies.
La principale distinction entre les deux systèmes devient claire une fois qu’un IPS a détecté une menace potentielle. Au lieu de notifier un administrateur humain, il lance immédiatement un processus préventif, bloquant et limitant les actions de celui qui envoie le trafic suspect.
Selon le logiciel, un IPS peut rejeter le paquet de données suspect ou engager le pare-feu du réseau. Dans des cas drastiques, il peut carrément couper la connexion, rendant le site web ou l’application inaccessible à celui qu’il considère comme une menace.
Différences entre IDS et IPS
A première vue, l’IPS peut sembler beaucoup plus efficace que l’IDS. Pourquoi voudriez-vous simplement détecter les cybermenaces entrantes alors que vous pourriez les prévenir automatiquement ?
Un problème avec l’IPS est celui des faux positifs. Cela ne se produit pas souvent, mais lorsque c’est le cas, le système ne répondra pas avec la même nuance qu’un administrateur humain. Une fois détectée, la menace perçue sera bloquée immédiatement, même s’il y a eu une erreur. Cela peut entraîner la désactivation ou la suppression des fonctions du site Web pour les utilisateurs non malveillants sans aucune supervision humaine.
Un IDS ne bloquera pas une attaque ou un paquet suspect, mais le reconnaîtra et alertera les administrateurs du site Web. Bien que ce système ne soit peut-être pas le plus rapide, il permet aux administrateurs humains de prendre la décision finale sur la façon de prévenir une menace. Cela pourrait être une meilleure stratégie que de s’appuyer sur un système automatisé faillible comme seul arbitre du trafic du site Web.
Pour être juste, les logiciels IPS s’améliorent et le nombre de faux positifs diminue. Le système pourrait donc être une bonne solution pour les sites Web qui dépendent d’un volume élevé de trafic non perturbé.
Le contexte fait tout
Tentant de tirer des conclusions absolues, le contexte est le facteur décisif lorsqu’il s’agit de choisir une solution plutôt qu’une autre.
Chaque entreprise et chaque utilisateur aura ses propres besoins en matière de sécurité et sera confronté à des menaces et des défis différents. Un IPS peut convenir au réseau interne d’une entreprise, mais un grand site web avec de multiples serveurs pourrait trouver que l’IDS est une meilleure option.
Pesez les mérites de chaque système et voyez comment ils pourraient jouer un rôle pour répondre à vos propres besoins de sécurité. Une solution sur mesure est toujours la plus efficace.
Pour plus de perspectives en matière de cybersécurité, abonnez-vous à la newsletter mensuelle de notre blog ci-dessous !