Le marché des Intrusion Detection
Systems (IDS) est un marché qui se porte très bien :
il est en plein boom. Le Gartner prévoit une progression
globale de 32 % en 2002, ce qui porterait son chiffre d'affaires
à 249 millions de dollars. Cette
croissance devrait perdurer dans les années qui viennent
puisqu'en 2004 le marché pourrait dépasser la barre
des 350 millions de dollars. Des chiffres exceptionnels par les
temps qui courent.
Deux
leaders se détachent très nettement du peloton. A
eux seuls, Cisco et ISS se partagent en effet plus de la moitié
du gâteau des IDS : le cabinet IDC a évalué
leur part de marché à 55 % pour l'année
2000. Dans le détail, ISS - leader historique dans ce
domaine - garde une courte longueur d'avance sur Cisco. Quant
aux adversaires ils sont loin derrière, plafonnant au maximum
à 10 % de parts de marché. Attention : les
solutions mentionnées par les études du Gartner et
d'IDC sont exclusivement commerciales. Il existe aussi une offre
libre, assez répandue, qui sera présentée dans
le cinquième
article de ce dossier.
L'offre de Cisco
Les produits de Cisco sont arrivés après ceux d'ISS.
La gamme du fabriquant n'en est pas moins très complète.
Cisco propose des Network IDS sous la forme d'appliances, des boitiers
hardware spécialisés dont les composants ont été
choisis pour supporter des débits théoriques très
élevés. La formule 'boitier' présente l'avantage
d'être simple à installer et à paramétrer :
"on n'a pas à se soucier des problèmes d'administration
d'un serveur" assure Philippe Solini, Network Design Consultant
chez Unisys.
La seule différence entre les
produits de la gamme se situe au niveau des débits supportés :
ils peuvent traiter des traffics allant de 30 Mo à 1 Go
théorique - "soit 500 Mo dans les faits".
En dehors des débits supportés, les technologies sont
les mêmes de la plus petite à la plus grosse appliance.
Quant aux produits Host IDS,
ils se présentent sous la forme d'une application que l'on
installe sur la machine à protéger, et qui ne consomme
qu'une faible partie des ressources système.
Appliance contre
serveur
Chez
ISS, les Host IDS sont assez comparables à ceux de Cisco.
Mais les Network IDS des deux fabriquants sont résolument
différents : "Chez ISS, on n'a pas fait le choix
du support hardware à la place du client. On lui laisse la
possibilité de choisir entre un système tournant sur
une appliance - fabriquée par Nokia -, ou sur un
serveur classique". Un serveur qui a tout intérêt
à être musclé si le débit à analyser
est important.
Quid du rapport qualité/prix
des deux marques ? "Les prix se tiennent la plupart du
temps dans un mouchoir de poche" explique Philppe Solini. C'est
à dire 10 000 euros environ pour un Network IDS d'entrée
de gamme, et 5 000 euros pour un Host IDS accompagné
de sa console d'administration.
Quant à l'efficacité
comparative des IDS de Cisco et d'ISS, Philippe Solini explique
que "les produits d'ISS sont un peu plus sensibles que ceux
de Cisco, ce qui leur fait signaler
un nombre de fausses alertes
légèrement supérieur à ceux de Cisco".
Un léger désavantage compensé par l'ancienneté
des produits d'ISS sur le marché : "les IDS d'ISS
sont utilisés depuis longtemps par de nombreux experts en
sécurité. Ils jouissent d'une bonne réputation,
et certainement aussi du poids des habitudes".
Quid des challengers ? Nous avons
souhaité faire un Zoom sur une offre qui tranche en présentant
la seule solution issue du libre qui soit vraiment crédible :
Episode 5 :
Interview de Michel Maudet, Directeur Technique de Linagora (intégrateur
de solutions libres).
[Nicolas Six, JDNet]