Système de prévention des intrusions (IPS)

Qu'est-ce qu'un système de prévention des intrusions ?

Un système de prévention des intrusions (IPS) est un outil de cybersécurité qui examine le trafic réseau afin d'identifier les menaces potentielles et de prendre automatiquement des mesures pour les contrer. Un IPS peut, par exemple, reconnaître et bloquer les logiciels malveillants (malware) ou les exploits sur les vulnérabilités avant qu'ils ne puissent pénétrer plus avant dans le réseau et causer des dommages. Les outils IPS surveillent et enregistrent en permanence l'activité du réseau en temps réel.

Un système de prévention des intrusions développe les capacités des systèmes de détection des intrusions (IDS), qui sont des outils similaires mais moins avancés. Contrairement à un IPS, un IDS peut détecter une activité malveillante, mais pas y répondre. Aujourd'hui, les fournisseurs de solutions de sécurité intègrent souvent les capacités des IPS et des IDS dans des suites de produits ou des plates-formes plus larges.

Comment fonctionnent les systèmes de prévention des intrusions ?

Un outil IPS se trouve en ligne (c'est-à-dire directement sur le chemin du trafic réseau) et souvent derrière un pare-feu, où il peut scanner et analyser les données entrantes qui sont parvenues à l'intérieur du périmètre.

Voici trois méthodes courantes d'identification des menaces par l'IPS :

1. Détection basée sur les signatures. Avec cette technique, l'IPS recherche les signatures d'attaques de menaces réseau connues.
2. Détection basée sur les anomalies. Grâce à cette technique, l'IPS recherche les comportements inattendus du réseau.
3. Détection basée sur des règles. Cette technique consiste à rechercher les activités qui enfreignent les politiques de sécurité de l'entreprise, que les administrateurs établissent à l'avance.

Lorsqu'un IPS détecte des menaces, il peut prendre les mesures suivantes :

• Abandonner les paquets réseau suspects.
• Bloquer le trafic suspect.
• Envoyer des alertes aux administrateurs de sécurité.
• Reconfigurer les pare-feu.
• Réinitialiser les connexions réseau.

Les outils IPS peuvent aider à lutter contre les attaques par déni de service (DoS), les attaques par déni de service distribué (DDoS), les vers, les virus et les exploits, y compris les exploits de type "zero-day".

Selon Michael Reed, anciennement de Top Layer Networks (racheté par Corero), un système de prévention des intrusions efficace devrait effectuer une surveillance et une analyse plus complexes, notamment en observant et en réagissant aux modèles de trafic ainsi qu'aux paquets individuels.

"Les mécanismes de détection peuvent inclure la correspondance d'adresses, la correspondance de chaînes et de sous-chaînes HTTP [Hypertext Transfer Protocol], la correspondance de motifs génériques, l'analyse de connexions TCP, la détection d'anomalies de paquets, la détection d'anomalies de trafic et la correspondance de ports TCP/UDP [User Datagram Protocol]", a déclaré M. Reed.

Types de systèmes de prévention des intrusions

Les entreprises ont le choix entre plusieurs types de systèmes de prévention des intrusions :

1. Système de prévention des intrusions basé sur le réseau (NIPS). Un NIPS analyse l'ensemble du trafic réseau à la recherche d'activités suspectes.
2. Système de prévention des intrusions basé sur l'hôte (HIPS). Un HIPS a une portée plus limitée qu'un NIPS, car il réside sur un seul hôte et n'analyse que le trafic qui s'y trouve.
3. Systèmes de prévention des intrusions sans fil (WIPS). Un WIPS surveille le trafic du réseau sans fil pour détecter les signes d'une éventuelle intrusion.
4. Analyse du comportement du réseau (NBA). L'analyse du comportement du réseau consiste à analyser le comportement du réseau pour détecter des flux de trafic anormaux qui pourraient indiquer des problèmes tels que des attaques DDoS ou des logiciels malveillants.

Avantages des systèmes de prévention des intrusions

Les avantages des systèmes de prévention des intrusions sont notamment les suivants :

• Diminue le risque d'attaques réussies.
• Améliore la visibilité du réseau.
• Offre une meilleure protection contre les menaces.
• Notifie automatiquement les administrateurs en cas d'activité suspecte.
• Automatise la surveillance et d'autres tâches opérationnelles de sécurité, améliorant ainsi l'efficacité et l'efficience.

Inconvénients des systèmes de prévention des intrusions

Les inconvénients des systèmes de prévention des intrusions peuvent être les suivants :

• Les systèmes IPS doivent être réglés avec soin pour minimiser les faux positifs tout en réduisant les attaques manquées.
• Si un système IPS est victime d'un faux positif, il peut refuser le service à un utilisateur légitime.
• Si une organisation ne dispose pas d'une largeur de bande et d'une capacité de réseau suffisantes, un outil IPS pourrait ralentir un système.
• S'il y a plusieurs IPS sur un réseau, les données devront passer par chacun d'entre eux pour atteindre l'utilisateur final, ce qui ralentira les performances du réseau.

IPS vs. IDS

Comme les IPS, les IDS sont des outils logiciels qui surveillent le trafic réseau à la recherche d'activités suspectes et offrent une plus grande visibilité.

Toutefois, contrairement à un IPS, lorsqu'un outil IDS détecte des signes de comportement malveillant, il ne peut prendre aucune mesure de son propre chef. Au contraire, si un IDS détecte une menace, il alerte les administrateurs humains qui doivent alors analyser les informations et agir en conséquence.

Une fois que les attaquants ont accédé à un réseau, ils peuvent rapidement passer à l'exécution d'un exploit. Parce que les IPS peuvent prendre des mesures immédiates et automatisées pour contrecarrer ces mauvais acteurs, ils ont un avantage sur les IDS, qui doivent attendre une intervention humaine.