Glossaire

Système de prévention des intrusions

Présentation du système de prévention des intrusions

Un système de prévention des intrusions (IPS) est un dispositif de sécurité réseau automatisé utilisé pour surveiller les potentielles menaces et y faire face. Tout comme les systèmes de détection des intrusions (IDS), les systèmes IPS sont capables de déterminer la présence de menaces en analysant le trafic réseau. En réussissant à accéder à une faille, un pirate est capable de l'exploiter en y intégrant un code malveillant : c'est à ce moment précis que les systèmes de prévention des intrusions entrent en jeu, exécutant une réponse automatisée selon des règles définies par l'administrateur réseau, et ce afin de contrer la menace.

De manière générale, un système IPS a pour finalité l'identification d'activités suspectes, la journalisation de renseignements pertinents, la tentative de blocage de ces activités et leur signalement.

On retrouvera au sein d'un système IPS des pare-feux, un logiciel antivirus ainsi qu'un logiciel anti-spoofing. Les systèmes IPS sont également utilisés par les entreprises afin d'identifier des problèmes relatifs aux politiques de sécurité, de documenter les menaces existantes et de dissuader les individus d'enfreindre les politiques de sécurité. Intégrés aux infrastructures de sécurité, ces systèmes occupent une place importante au sein des entreprises modernes.

Fonctionnement d'un système IPS

Un système de prévention des intrusions va agir en analysant de manière active un trafic réseau renvoyé afin de détecter toute activité malveillante et tout modèle d'attaque connu. Le moteur IPS analyse le trafic réseau et compare en continu la séquence binaire à sa base de données contenant des signatures internes afin de détecter tout modèle d'attaque connu. Un système IPS peut rejeter un paquet considéré comme malveillant et poursuivre cette action en bloquant tout trafic futur provenant d'un port ou d'une adresse IP attribuée au pirate. De cette manière, le trafic légitime ne sera pas interrompu.

Les systèmes de prévention des intrusions peuvent également réaliser des observations et analyses plus complexes et ainsi être en mesure de surveiller et répondre aux paquets ou modèles de trafic suspects. Parmi les méthodes de détection de ces systèmes, on retrouvera :

  • La mise en correspondance d'adresses
  • La mise en correspondance de chaînes et sous-chaînes HTTP
  • La mise en correspondance de comportements habituels
  • L'analyse de connexions TCP
  • La détection de paquets anormaux
  • La détection de trafics anormaux
  • La mise en correspondance de ports TCP/UDP

Un système IPS enregistrera le plus souvent des informations relatives aux événements observés, en informera les administrateurs de sécurité et génèrera des rapports. Afin de renforcer la sécurité d'un réseau, un système IPS est capable de recevoir automatiquement des mises à jour de prévention et de sécurité afin de surveiller et bloquer en permanence les nouvelles menaces sur Internet.

Mesures permettant de lutter contre les intrusions

Bon nombre de systèmes IPS sont capables de faire face aux menaces détectées en prévenant de manière active leur intrusion au sein d'une infrastructure. Pour ce faire, différentes techniques de réponse sont mises en œuvre :

  • Modifier l'environnement de sécurité, en configurant par exemple un pare-feu dont la tâche sera de renforcer les protections contre des vulnérabilités autrefois inconnues.
  • Modifier le contenu de l'attaque, en remplaçant par exemple certaines parties malveillantes d'un e-mail, telles que des faux liens, par des avertissements concernant le contenu supprimé.
  • Envoyer des alarmes automatisées aux administrateurs système, les informant de possibles failles de sécurité.
  • Rejeter les paquets malveillants détectés.
  • Reconfigurer une connexion.
  • Bloquer tout trafic provenant d'une adresse IP incriminée.

Classifications des systèmes IPS

On distingue généralement quatre principaux types de systèmes de prévention des intrusions :

  • Un système de prévention des intrusions réseau (NIPS), qui analyse l'activité du protocole sur l'ensemble du réseau afin de déceler tout trafic susceptible de représenter une menace.
  • Un système de prévention des intrusions sans fil (WIPS), qui analyse l'activité réseau d'un protocole sur l'ensemble du réseau sans fil afin de déceler tout trafic susceptible de représenter une menace.
  • Un système de prévention des intrusions hôtes (HIPS), intégré en tant que package logiciel secondaire. Un système HIPS est capable de suivre un hôte unique afin de détecter toute activité malveillante et d'analyser les événements se produisant au sein de cet hôte.
  • Un programme d'analyse comportementale du réseau (NBA), qui évalue le trafic réseau afin d'identifier des menaces générant des flux de trafic inhabituels. Parmi ces menaces, on retrouvera le plus souvent les attaques par déni de service, différentes formes de logiciels malveillants et les violations de politique. correspondance des modèles afin de détecter des attaques. En modifiant l'architecture d'une attaque, les cybercriminels sont capables d'éviter la détection.

Méthodes de détection appliquées par les systèmes IPS

La plupart des systèmes de prévention des intrusions s'appuient sur l'une des trois méthodes de détection suivantes : détection par signatures, détection statistique par anomalies et détection par analyse de protocole avec état.

  • Détection par signatures : les systèmes par signatures surveillent les paquets au sein d'un réseau et les compare aux modèles d'attaque prédéfinis, aussi connus sous le nom de « signature ».
  • Détection statistique par anomalies : les systèmes par anomalies surveillent le trafic réseau et le compare aux modèles de trafic attendus. La ligne de base identifiera les événements « normaux » au sein du réseau ; ces événements concernent les types de paquets généralement transmis sur l'ensemble du réseau ainsi que les protocoles utilisés. Toutefois, si les lignes de base ne sont pas configurées de la manière la plus adaptée, cette action pourrait générer une fausse alerte, risquant d'empêcher une utilisation véritablement légitime de la bande passante.
  • Détection par analyse de protocole avec état : cette méthode identifie les déviations du protocole en comparant les événements observés aux profils d'activité prédéfinis, qualifiant une activité comme étant habituelle.

Raisons de l'importance de tels systèmes

Les environnements modernes d'entreprise en réseau obligent les utilisateurs à mettre en œuvre un haut niveau de sécurité afin de garantir la sûreté et la fiabilité des échanges d'informations entre entreprises. Un système de prévention des intrusions agit en tant que technologie adaptable préservant la sécurité des systèmes, dans l'éventualité d'une défaillance des technologies classiques. L'avantage de ces systèmes ? Leur capacité à prévenir les intrusions en mettant en place une action automatisée, sans aucune intervention informatique, engendre une réduction des coûts et une performance bien plus flexible. Les cyberattaques deviendront de plus en plus sophistiquées dans les années à venir : il est donc important d'adapter les technologies de protection aux menaces.

En savoir plus sur les systèmes de prévention des intrusions

Termes associés

Lectures complémentaires

Découvrez comment Barracuda peut vous aider

Les pare-feux Barracuda CloudGen Firewall intègrent un système de prévention et de détection des intrusions (IDS/IPS) fournissant une protection réseau en temps réel contre une vaste gamme de menaces, vulnérabilités et exploits réseau. Barracuda CloudGen Firewall peut ainsi identifier et bloquer les tentatives de piratage et les techniques d'offuscation avancées utilisées par les cybercriminels pour contourner et tromper les systèmes traditionnels de prévention des intrusions. Entre outre, tous les modèles que propose la solution peuvent mettre en œuvre un système IPS/IDS sur le trafic Web SSL à l'aide de l'approche standard dite de « l'homme du milieu ».

Des questions sur les systèmes de prévention des intrusions ? Contactez-nous dès maintenant !