Avant d'opter pour un IDS -
intrusion détection system -, il faut savoir
qu'il sera délicat à administrer, quels
que soient sa marque et son prix. Pour Philippe Solini,
Network Design Consultant chez Unisys, "le niveau
de maturité des systèmes de détection
d'intrusion est loin d'être optimal". Leur
principal défaut étant que les administrateurs
sont facilement noyés sous une masse d'alertes
pas forcément très pertinentes. Résulat :
"Sur le terrain, on voit trop souvent des IDS qui
ne sont plus administrés et qui sont tombés
en désuétude". Une réalité
plutôt difficile à assumer quand on sait
que le ticket d'entrée se chiffre en dizaines
de milliers d'euros, au bas mot.
Ne pas
éluder le facteur humain
Mieux
vaut tout faire pour éviter une telle déconfiture.
Avant tout, il faut prévoir qu'un système
de détection d'intrusion demande à être
administré chaque jour. Inutile de se lancer
dans un grand investissement si "on ne dispose
pas d'une bonne heure à lui consacrer quotidiennement",
certifie Philippe Solini. L'IDS demande à être
surveillé en temps réel, ce qui n'est
pas toujours le cas : "Force est de constater
que les signatures ne sont pas toujours mises à
jour, et que les détections ne sont pas toujours
suivies".
Une fois le stade du rodage
passé, un IDS peut être administré
de deux façons : soit en mode 'prévention',
soit en mode 'alerte'. Le mode prévention bloque
les trames suspectes, tandis que le mode alerte se contente
de les repérer et d'en informer l'administrateur.
Chaque mode présente son risque : le mode
prévention peut bloquer régulièrement
des requêtes qui n'ont rien de malintentionné,
et donc empêcher par exemple un client de faire
son achat en ligne, ou encore bloquer le mail important
d'un fournisseur. Il faut par conséquent être
en permanence à l'affut pour débloquer
les requêtes qui ne sont pas réelement
menaçantes. Il faut aussi effectuer un véritable
travail de fond pour configurer le système de
façon optimale, afin qu'il fasse remonter le
moins de fausses alertes possible.
Tout
faire pour limiter le nombre d'alertes
Quant au mode 'alerte', il présente le risque
inverse : "On a tendance à être
rapidement fatigué par la masse des alertes.
Sur cent attaques, il n'y en a qu'une ou deux qui méritent
d'être signalées. Les autres sont soit
des attaques bénignes, soit des erreurs de détection.
Résultat : on s'en désintéresse,
puisqu'il n'y a rien qui oblige à les surveiller".
Dans tous les cas, en attendant que les systèmes
de détection s'améliorent, il est indispensable
de plonger les mains dans le cambouis et d'analyser
les logs chaque jour.
Heureusement, il existe
une astuce qui permet de rendre cette tâche plus
supportable : "Il faut filtrer les trames
au maximum avant qu'elles ne parviennent aux IDS. Dans
l'idéal, Le système de détection
doit être la dernière couche
du
filtre anti-intrusion : d'autres
couches doivent arrêter les attaques bénignes".
Comment faire ? Il faut "mettre en place avec
beaucoup de soin des routeurs et des firewalls configurés
de façon optimale". Ainsi seulement le taux
d'alertes qui ne méritent pas d'être signalées
sera réduit au minimum. La
structure d'un système de sécurité
est un vrai travail de spécialiste.
Reste une grande question :
comment choisir les sondes, les serveurs, les appliances
et les tableaux de bord dans la profusion des solutions
qu'on trouve sur marché. Réponse dans
la suite de ce dossier:
Episode 4:
Panorama du marché des IDS
|