Les technologies de détection d'intrusion (IPS) : gadget ou nécessité ?

face à la pluralité des attaques informatiques, il faut revoir le dispositif de protection des systèmes d'information. Parmi l'arsenal, les technologies de détection d'intrusion restent encore sous-employées. Forces et faiblesses de ces solutions de sécurité.

Les attaques informatiques ciblées contre les entreprises et les entités gouvernementales se multiplient. On estime en moyenne que 70% des entreprises françaises ont subi une attaque sur les 12 derniers mois. Le développement des attaques s’explique par l’augmentation du nombre d’applicatifs sur le marché contenant des potentielles vulnérabilités. Mais il est aussi favorisé par l’extension du réseau de l’entreprise (mobilité, smart phone, connexions sans fil…) et l’évolution des  environnements  (Cloud, virtualisation…).
Paradoxalement, le budget consacré à la sécurité informatique représente encore une part minime des investissements informatiques (estimé à 3%) et ce dans la majeure partie des entreprises françaises, de l’entreprise du CAC 40 à la TPE.

Un système de prévention d’intrusion pour filtrer le contenu des flux autorisés. Si les entreprises françaises sont aujourd’hui majoritairement sensibilisées aux problématiques liées à la sécurité et à la perte/vol des données, elles semblent avoir des difficultés à l’affirmer. En fait, toutes se disent protégées, mais lorsque l’on y regarde de plus près, on distingue deux catégories : les entreprises plutôt « inconscientes », qui pensent être sécurisées mais disposent de dispositifs obsolètes, figés ou insuffisants, et les entreprises lucides sur la réalité  des menaces et aux possibles défaillances de leur système, mais qui s’en contentent. En définitive, toutes les entreprises sont bien protégées… jusqu’à ce qu’elles se fassent attaquer.

La plupart des entreprises possèdent les fonctions de sécurité basiques en s’appuyant sur des firewalls. Dans la majorité des cas, ces dispositifs permettent uniquement de filtrer les flux identifiés qui sont refusés ou autorisés en fonction de paramètres définis en amont.
Cependant, parmi tous ces flux, les firewalls utilisant des fonctions de contrôle basique n’inspectent que les entêtes des paquets et non le contenu dans son intégralité. Le risque est donc qu’un flux à priori autorisé comprenne une attaque dans son contenu, ou qu’à l’inverse un flux autorisé soit bloqué de façon trop systématique et constitue un faux positif, qui ralentit les processus.
Si le risque zéro n’existe pas,
il existe des technologies négligées par les entreprises qui permettent de prendre des mesures qui minimisent l’impact des attaques. C’est le cas des systèmes de détection d’intrusion ou IPS (Intrusion Prevention System)/IDS Intrusion Detection System). De nombreux éditeurs de solutions de sécurité, dont Sourcefire, précurseur sur ce marché, ou encore Check Point et Stonesoft, sont les principaux acteurs de cette technologie.

En effet, cette technologie permet  de filtrer  le contenu des flux autorisés. Ce système de prévention d’intrusion permet également de détecter des anomalies sur des connexions entrantes et sortantes et de réaliser une véritable analyse comportementale (demandes de ressources, connexions aux serveurs web non autorisées, etc).
La technologie IPS a donc la capacité d’analyser les données échangées et de mettre automatiquement à jour le niveau de sécurité en fonction des nouvelles failles découvertes, ce qui apporte aux entreprises une véritable garantie et une politique de sécurité optimisée.

Les limites de la technologie IPS

* La première est la détection des attaques de type zéro day. En effet, l’IPS n’a pas la capacité aujourd’hui de détecter une attaque qui exploite des vulnérabilités qui n’ont pas encore été trouvées ou publiées. Ainsi, les administrateurs et éditeurs prennent plusieurs jours ou semaines avant de pouvoir réagir et ajuster les niveaux de sécurité.
* La seconde limite de cette technologie fait référence aux applications métiers des entreprises, telles que les outils de gestion de la relation client ou les bases de données
. Dans certains cas, ces applications n’utilisent pas les standards soumis à l’IPS, provoquant ainsi des alertes non voulues. En effet, ces faux positifs polluent les systèmes de logs avec des informations obsolètes et affectent la sensibilité des sondes.
Ces blocages intempestifs entraînent des ralentissements et des perturbations de la production que les entreprises ne veulent pas subir.

L’IPS, un investissement nécessaire face aux attaques 

Face aux attaques fréquentes subies par les entreprises, la généralisation de la technologie IPS apparaît comme une nécessité. Tous les jours, de nouvelles failles de sécurité, de nouvelles vulnérabilités sont découvertes et les sondes IPS sont capables d’agir sur des menaces connues comme inconnues car elles s’appuient  non seulement sur une base de données de règle de détection mais aussi sur une analyse comportementale des connexions.
Aujourd’hui, les attaques prolifèrent sur les applications telles que Outlook, Adobe Reader, etc. qui sont des flux autorisés. Pour y faire face, il existe deux offres d’IPS : Les IPS embarqués, sous la forme d’une brique complémentaire ajoutée aux firewalls existants, Check Point étant le leader et le précurseur sur cette offre (réf : derniers tests NSS Lab). Et les IPS dédiés, plus puissants et plus adaptés à des besoins spécifiques grands comptes. Dans ce domaine, Sourcefire apporte des solutions très complètes et très novatrices.

Il est essentiel que les entreprises, qui  négligent ce filtrage pour des questions de coût, revoient le ratio entre l’investissement de départ que l’IPS représente effectivement face au coût des dommages engendrés par les attaques informatiques.

Autour du même sujet