Prévention des intrusions (IPS)

La prévention des intrusions est une approche de la sécurité réseau qui permet d'identifier les menaces potentielles afin d'y réagir rapidement.

De la même manière qu'un système de détection d'intrusion, un système de prévention d'intrusion (IPS pour Intrusion Prevention System) surveille le trafic réseau. Cependant, comme un exploit (ou exploitation d'une faille de sécurité) peut être mis en œuvre très rapidement dès qu'un pirate a réussi à accéder au réseau, les systèmes de prévention des intrusions permettent également de prendre des mesures immédiates, en fonction d'une série de règles définies par l'administrateur du réseau.

Ainsi, un IPS peut supprimer un paquet qu'il soupçonne d'être malveillant et bloquer tout le trafic subséquent provenant de l'adresse IP ou du port concerné. En revanche, le trafic légitime doit être transmis à son destinataire, sans aucune interruption du service ni retard apparent.

Un système anti-intrusion efficace doit également assurer une surveillance et une analyse à un niveau plus complexe, par exemple en contrôlant les flux de circulation et les paquets et en réagissant en conséquence. Les mécanismes de détection peuvent inclure la correspondance d'adresses, la correspondance de chaîne et de sous-chaîne HTTP, la correspondance de schémas génériques, l'analyse de connexion TCP, la détection d'anomalies dans les paquets, la détection d'anomalies du trafic et la correspondance de ports TCP/UDP.

De façon générale, un système de prévention des intrusions comprend tout produit ou dispositif visant à empêcher des pirates d'accéder à votre réseau, tel qu'un pare-feu et un logiciel antivirus.