Un réseau sécurisé dépourvu de système de détection d'intrusion, c'est un peu comme une prison dans laquelle on laisserait entrer et sortir toutes les personnes habillées en bleu marine - sans plus de contrôle. A l'entrée d'un réseau, on trouve en effet trop souvent en guise de gardien un simple firewall qui bloque les voies d'accès inutilisées - les fameux ports 80, 21, 79, etc. Mais attention : un firewall filtre mal - voire pas du tout - les requêtes malintentionnées qui passent par les accès restés ouverts. Les pirates l'ont bien compris, eux qui utilisent à 70 % le port le plus souvent ouvert - le port 80, celui du web - pour s'infiltrer dans des systèmes mal protégés.

Un firewall ne suffit pas, il faut également opter pour un véritable système de surveillance : un système de détection d'intrusion - qui contrôle en permanence l'identité des requêtes en circulation sur le réseau. "Ils sont indispensables pour parvenir à un niveau de sécurité vraiment optimal", confirme Philippe Solini, Network Design Consultant chez Unisys. Pourquoi ? Car ils sont les seuls à vérifier l'identité de chaque requête en détail, en pratiquant une véritable fouille au corps. Ils sont par conséquent capables de repérer l'intrus dans le flot du trafic courant - qui transite sur les ports laissés ouverts par le firewall.

Est-ce vraiment utile ? Sans aucun doute : "Le piratage industriel est une réalité. Certains de nos clients en ont fait la désagréable expérience - confirme Philippe Solini. Et je peux vous dire qu'ils n'ont pas regretté leur investissement".

Pas assez utilisé
Mais voilà : les administrateurs n'ont pas conscience de l'importance du problème, et les réseaux d'entreprises sont encore notoirement sous-équipés : "Les systèmes de détection d'intrusion commencent à percer, mais ils sont trop souvent cantonnés aux frontaux ou aux zones ultra-sensibles - telles les zones démilitarisées". Les intégrateurs spécialisés dans la sécurité ont donc parfois la désagréable impression de prêcher dans le désert : "Nous présentons systématiquement des devis qui prennent en compte ces systèmes de détection d'intrusion, car à nos yeux ils sont indispensables. Mais les entreprises les mettent très souvent de côté, en nous confiant qu'elles n'ont pas un budget suffisamment élevé".

Car la facture est bel et bien salée : près de 10 000 euros pour le ticket d'entrée, auxquels il faudra rajouter la main d'oeuvre : "Une sonde doit être installée par un spécialiste, sous peine d'être inefficace", explique Philippe Solini. Un coût auquel vient encore s'ajouter la charge de travail supplémentaire pour l'administrateur réseau : "Il faut compter une bonne heure de monitoring par jour, sans quoi le système de détection d'intrusion risque fort de tomber dans l'oubli". Un gouffre. Mais un passage obligé pour toutes les entreprises qui prennent la sécurité au sérieux.

Indispensable
L'efficacité est sans conteste au rendez-vous : ces systèmes ne laissent a priori aucune chance aux attaques dûment répertoriées : "Quarante personnes travaillent à l'enrichissement quotidien d'une base de données, qui est synchronisée avec nos produits de détection d'intrusion. Cette base contient les signatures de toutes les attaques référencées à ce jour explique Pascal Delprat, consultant sécurité pour la France chez Cisco. Toutes les attaques sont donc filtrées, à l'exception notable de celles qui ne sont pas référencées". Les pirates les plus discrets se gardent en effet de faire de la publicité à leurs méthodes d'instrusion : on ne donne pas à tout le monde la clé qui permet d'entrer frauduleusement dans un coffre fort ...

Au final, l'efficacité du système demeure redoutable, à condition de veiller chaque jour au bon fonctionnement du système, et d'installer le bon système de détection au bon endroit - les attaques proviennent aussi souvent de l'extérieur que de l'intérieur de l'entreprise. D'où la nécessité d'en savoir un peu plus sur les deux grandes familles de systèmes de détection d'intrusion : les Host IDS et les Network IDS. Ces deux gendarmes travaillent avec des méthodes différentes : le premier surveille le système et signale toute action suspecte ; l'autre compare toutes les requêtes au signalement des attaques les plus connues.

Episode 2 : Les deux rejetons de la brigade 'détection d'intrusion'