Les technologies de détection d'intrusion (IPS) : gadget ou nécessité ?
face à la pluralité des attaques informatiques, il faut revoir le dispositif de protection des systèmes d'information. Parmi l'arsenal, les technologies de détection d'intrusion restent encore sous-employées. Forces et faiblesses de ces solutions de sécurité.
Les attaques informatiques ciblées contre les entreprises
et les entités gouvernementales se multiplient. On estime en moyenne que 70%
des entreprises françaises ont subi une attaque sur les 12 derniers mois. Le
développement des attaques s’explique par l’augmentation du nombre
d’applicatifs sur le marché contenant des potentielles vulnérabilités. Mais il
est aussi favorisé par l’extension du réseau de l’entreprise (mobilité, smart
phone, connexions sans fil…) et l’évolution des
environnements (Cloud,
virtualisation…).
Paradoxalement, le budget consacré à la sécurité informatique
représente encore une part minime des investissements informatiques (estimé à
3%) et ce dans la majeure partie des entreprises françaises, de l’entreprise du
CAC 40 à la TPE.
Un système de prévention d’intrusion pour filtrer le contenu des flux autorisés. Si les entreprises françaises sont aujourd’hui majoritairement sensibilisées aux problématiques liées à la sécurité et à la perte/vol des données, elles semblent avoir des difficultés à l’affirmer. En fait, toutes se disent protégées, mais lorsque l’on y regarde de plus près, on distingue deux catégories : les entreprises plutôt « inconscientes », qui pensent être sécurisées mais disposent de dispositifs obsolètes, figés ou insuffisants, et les entreprises lucides sur la réalité des menaces et aux possibles défaillances de leur système, mais qui s’en contentent. En définitive, toutes les entreprises sont bien protégées… jusqu’à ce qu’elles se fassent attaquer.
La
plupart des entreprises possèdent les fonctions de sécurité basiques en
s’appuyant sur des firewalls. Dans la majorité des cas, ces dispositifs
permettent uniquement de filtrer les flux identifiés qui sont refusés ou
autorisés en fonction de paramètres définis en amont.
Cependant,
parmi tous ces flux, les firewalls utilisant des fonctions de contrôle basique
n’inspectent que les entêtes des paquets et non le contenu dans son intégralité.
Le risque est donc qu’un flux à priori autorisé comprenne une attaque dans son
contenu, ou qu’à l’inverse un flux autorisé soit bloqué de façon trop systématique
et constitue un faux positif, qui ralentit les processus.
Si le
risque zéro n’existe pas, il existe des technologies négligées par les
entreprises qui permettent de prendre des mesures qui minimisent l’impact des attaques. C’est le cas
des systèmes de détection d’intrusion ou IPS (Intrusion Prevention System)/IDS
Intrusion Detection System). De nombreux éditeurs de solutions de sécurité,
dont Sourcefire, précurseur sur ce marché, ou encore Check Point et Stonesoft,
sont les principaux acteurs de cette technologie.
En
effet, cette technologie permet de
filtrer le contenu des flux autorisés. Ce système de prévention
d’intrusion permet également de détecter des anomalies sur des connexions
entrantes et sortantes et de réaliser une véritable analyse comportementale
(demandes de ressources, connexions aux serveurs web non autorisées, etc).
La technologie IPS a donc la capacité d’analyser les
données échangées et de mettre automatiquement à jour le niveau de sécurité en
fonction des nouvelles failles découvertes, ce qui apporte aux entreprises une
véritable garantie et une politique de sécurité optimisée.
Les limites de la technologie IPS
* La
première est la détection des attaques
de type zéro day. En effet, l’IPS n’a pas la capacité aujourd’hui de détecter
une attaque qui exploite des vulnérabilités qui n’ont pas encore été trouvées
ou publiées. Ainsi, les administrateurs et éditeurs prennent plusieurs jours ou
semaines avant de pouvoir réagir et ajuster les niveaux de sécurité.
* La seconde limite de cette technologie fait référence aux
applications métiers des entreprises, telles que les outils de gestion de la
relation client ou les bases de données. Dans
certains cas, ces applications n’utilisent pas les standards soumis à l’IPS,
provoquant ainsi des alertes non voulues. En effet, ces faux positifs polluent
les systèmes de logs avec des informations obsolètes et affectent la
sensibilité des sondes.
Ces blocages intempestifs entraînent des
ralentissements et des perturbations de la production que les entreprises ne
veulent pas subir.
L’IPS, un investissement nécessaire face aux attaques
Face aux
attaques fréquentes subies par les entreprises, la généralisation de la
technologie IPS apparaît comme une nécessité. Tous les jours, de nouvelles
failles de sécurité, de nouvelles vulnérabilités sont découvertes et les sondes
IPS sont capables d’agir sur des menaces connues comme inconnues car elles s’appuient
non seulement sur une base de données de
règle de détection mais aussi sur une analyse comportementale des connexions.
Aujourd’hui,
les attaques prolifèrent sur les applications telles que Outlook, Adobe Reader,
etc. qui sont des flux autorisés. Pour y faire face, il existe deux offres
d’IPS : Les IPS embarqués, sous la forme d’une brique complémentaire ajoutée
aux firewalls existants, Check Point étant le leader et le précurseur sur cette
offre (réf : derniers tests NSS Lab). Et les IPS dédiés, plus puissants et
plus adaptés à des besoins spécifiques grands comptes. Dans ce domaine, Sourcefire
apporte des solutions très complètes et très novatrices.
Il est essentiel que les entreprises, qui négligent ce filtrage pour des questions de coût, revoient le ratio entre l’investissement de départ que l’IPS représente effectivement face au coût des dommages engendrés par les attaques informatiques.