Un réseau sécurisé
dépourvu de système de détection
d'intrusion, c'est un peu comme une prison dans laquelle
on laisserait entrer et sortir toutes les personnes
habillées en bleu marine - sans plus de
contrôle. A l'entrée d'un réseau,
on trouve en effet trop souvent en guise de gardien
un simple firewall qui bloque les voies d'accès
inutilisées - les fameux ports 80, 21, 79,
etc. Mais attention : un firewall filtre mal -
voire pas du tout - les requêtes malintentionnées
qui passent par les accès restés ouverts.
Les pirates l'ont bien compris, eux qui utilisent à
70 % le port le plus souvent ouvert - le port
80, celui du web - pour s'infiltrer dans des systèmes
mal protégés.
Un firewall ne suffit
pas, il faut également opter pour un véritable
système de surveillance : un système
de détection d'intrusion - qui contrôle
en permanence l'identité des requêtes en
circulation sur le réseau. "Ils sont
indispensables
pour parvenir à un niveau de sécurité
vraiment optimal", confirme Philippe Solini, Network
Design Consultant chez Unisys. Pourquoi ? Car ils
sont les seuls à vérifier l'identité
de chaque requête en détail, en pratiquant
une véritable fouille au corps. Ils sont par
conséquent capables de repérer l'intrus
dans le flot du trafic courant - qui transite sur
les ports laissés ouverts par le firewall.
Est-ce vraiment utile ?
Sans aucun doute : "Le
piratage industriel est une réalité. Certains
de nos clients en ont fait la désagréable
expérience - confirme Philippe Solini. Et
je peux vous dire qu'ils n'ont pas regretté leur
investissement".
Pas
assez utilisé
Mais voilà : les administrateurs n'ont pas
conscience de l'importance du problème, et les
réseaux d'entreprises sont encore notoirement
sous-équipés : "Les systèmes
de détection d'intrusion commencent à
percer, mais ils sont trop souvent cantonnés
aux frontaux ou aux zones ultra-sensibles - telles
les zones démilitarisées". Les intégrateurs
spécialisés dans la sécurité
ont donc parfois la désagréable impression
de prêcher dans le désert : "Nous
présentons systématiquement des devis
qui prennent en compte ces systèmes de détection
d'intrusion, car à nos yeux ils sont indispensables.
Mais les entreprises les mettent très souvent
de côté, en nous confiant qu'elles n'ont
pas un budget suffisamment élevé".
Car la facture est bel
et bien salée : près de 10 000
euros pour le ticket d'entrée, auxquels il faudra
rajouter la main d'oeuvre : "Une sonde doit
être installée par un spécialiste,
sous peine d'être inefficace", explique Philippe
Solini. Un coût auquel vient encore s'ajouter
la charge de travail supplémentaire pour l'administrateur
réseau : "Il faut compter une bonne
heure de monitoring par jour, sans quoi le système
de détection d'intrusion risque fort de tomber
dans l'oubli". Un gouffre. Mais un passage obligé
pour toutes les entreprises qui prennent la sécurité
au sérieux.
Indispensable
L'efficacité est sans conteste au rendez-vous : ces
systèmes ne laissent a priori aucune chance aux
attaques dûment répertoriées :
"Quarante personnes
travaillent à l'enrichissement quotidien d'une
base de données, qui est synchronisée
avec nos produits de détection d'intrusion.
Cette
base contient les signatures de toutes les attaques
référencées à ce jour explique
Pascal Delprat, consultant sécurité pour
la France chez Cisco. Toutes les attaques sont donc
filtrées, à l'exception notable de celles
qui ne sont pas référencées".
Les pirates les plus discrets se gardent en effet de
faire de la publicité à leurs méthodes
d'instrusion : on ne donne pas à tout le
monde la clé qui permet d'entrer frauduleusement
dans un coffre fort ...
Au final, l'efficacité
du système demeure redoutable, à condition
de veiller chaque jour au bon fonctionnement du système,
et d'installer le bon système de détection
au bon endroit - les attaques proviennent aussi
souvent de l'extérieur que de l'intérieur
de l'entreprise. D'où la nécessité
d'en savoir un peu plus sur les deux grandes familles
de systèmes de détection d'intrusion :
les Host IDS et les Network IDS. Ces deux gendarmes
travaillent avec des méthodes différentes :
le premier surveille le système et signale toute
action suspecte ; l'autre compare toutes les requêtes
au signalement des attaques les plus connues.
Episode 2 :
Les deux rejetons de la brigade 'détection d'intrusion'
|