Avant d'opter pour un IDS - intrusion détection system -, il faut savoir qu'il sera délicat à administrer, quels que soient sa marque et son prix. Pour Philippe Solini, Network Design Consultant chez Unisys, "le niveau de maturité des systèmes de détection d'intrusion est loin d'être optimal". Leur principal défaut étant que les administrateurs sont facilement noyés sous une masse d'alertes pas forcément très pertinentes. Résulat : "Sur le terrain, on voit trop souvent des IDS qui ne sont plus administrés et qui sont tombés en désuétude". Une réalité plutôt difficile à assumer quand on sait que le ticket d'entrée se chiffre en dizaines de milliers d'euros, au bas mot.

Ne pas éluder le facteur humain
Mieux vaut tout faire pour éviter une telle déconfiture. Avant tout, il faut prévoir qu'un système de détection d'intrusion demande à être administré chaque jour. Inutile de se lancer dans un grand investissement si "on ne dispose pas d'une bonne heure à lui consacrer quotidiennement", certifie Philippe Solini. L'IDS demande à être surveillé en temps réel, ce qui n'est pas toujours le cas : "Force est de constater que les signatures ne sont pas toujours mises à jour, et que les détections ne sont pas toujours suivies".

Une fois le stade du rodage passé, un IDS peut être administré de deux façons : soit en mode 'prévention', soit en mode 'alerte'. Le mode prévention bloque les trames suspectes, tandis que le mode alerte se contente de les repérer et d'en informer l'administrateur. Chaque mode présente son risque : le mode prévention peut bloquer régulièrement des requêtes qui n'ont rien de malintentionné, et donc empêcher par exemple un client de faire son achat en ligne, ou encore bloquer le mail important d'un fournisseur. Il faut par conséquent être en permanence à l'affut pour débloquer les requêtes qui ne sont pas réelement menaçantes. Il faut aussi effectuer un véritable travail de fond pour configurer le système de façon optimale, afin qu'il fasse remonter le moins de fausses alertes possible.

Tout faire pour limiter le nombre d'alertes
Quant au mode 'alerte', il présente le risque inverse : "On a tendance à être rapidement fatigué par la masse des alertes. Sur cent attaques, il n'y en a qu'une ou deux qui méritent d'être signalées. Les autres sont soit des attaques bénignes, soit des erreurs de détection. Résultat : on s'en désintéresse, puisqu'il n'y a rien qui oblige à les surveiller". Dans tous les cas, en attendant que les systèmes de détection s'améliorent, il est indispensable de plonger les mains dans le cambouis et d'analyser les logs chaque jour.

Heureusement, il existe une astuce qui permet de rendre cette tâche plus supportable : "Il faut filtrer les trames au maximum avant qu'elles ne parviennent aux IDS. Dans l'idéal, Le système de détection doit être la dernière couche du filtre anti-intrusion : d'autres couches doivent arrêter les attaques bénignes". Comment faire ? Il faut "mettre en place avec beaucoup de soin des routeurs et des firewalls configurés de façon optimale". Ainsi seulement le taux d'alertes qui ne méritent pas d'être signalées sera réduit au minimum. La structure d'un système de sécurité est un vrai travail de spécialiste.

Reste une grande question : comment choisir les sondes, les serveurs, les appliances et les tableaux de bord dans la profusion des solutions qu'on trouve sur marché. Réponse dans une prochaine édition du Journal du Net.