Qu’est-ce qu’un système de détection d’intrusion (IDS) ?

Un système de détection d’intrusion (IDS) est un outil

de sécurité des réseaux qui surveille le trafic réseau et les
appareils pour détecter les activités malveillantes connues, les
activités suspectes ou les violations des politiques de sécurité.
Un IDS peut aider à accélérer et à automatiser la détection des menaces sur le réseau en
alertant les administrateurs de la sécurité des menaces connues ou potentielles, ou en
envoyant des alertes à un outil de sécurité centralisée, tel qu’un système de gestion des
informations et des événements de sécurité (SIEM), où elles peuvent être combinées avec des
données provenant d’autres sources pour aider les équipes de sécurité à identifier et à
répondre aux cybermenaces susceptibles d’échapper aux autres mesures de sécurité.

Les IDS peuvent également soutenir les efforts de conformité. Certaines réglementations,
telles que la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS),
obligent les organisations à mettre en place des mesures de détection d’intrusion.

Un IDS ne peut pas arrêter les menaces de sécurité à lui seul. Aujourd’hui, les fonctionnalités
d’IDS sont généralement intégrées aux systèmes de prévention contre les intrusions (IPS), qui
peuvent détecter les menaces de sécurité et prendre automatiquement des mesures pour les
éviter.
Fonctionnement des systèmes de détection d’intrusion
Les IDS peuvent être des applications logicielles installées sur des terminaux ou des unités
matérielles dédiées, connectées au réseau. Certaines solutions d’IDS sont disponibles sous
forme de services cloud. Quelle que soit la forme utilisée, un IDS utilisera une ou deux des
deux principales méthodes de détection des menaces : la détection basée sur les signatures ou
la détection basée sur les anomalies.
Détection basée sur les signatures

La détection basée sur les signatures analyse les paquets réseau pour détecter les
caractéristiques ou comportements d’attaque propres à une menace spécifique. Une séquence
de code apparaissant dans une variante particulière de logiciel malveillant est un exemple de
signature d’attaque.

Un IDS basé sur les signatures maintient une base de données de signatures d’attaque avec
laquelle il compare les paquets réseau. Si un paquet déclenche une correspondance avec l’une
des signatures, l’IDS le signale. Pour être efficaces, les bases de données de signatures
doivent être régulièrement mises à jour avec de nouveaux renseignements sur les menaces à
mesure que de nouvelles cyberattaques émergent et que les attaques existantes évoluent. Les
toutes nouvelles attaques qui n’ont pas encore été analysées pour les signatures peuvent
échapper à un IDS basé sur les signatures.
Détection basée sur les anomalies

Les méthodes de détection basées sur les anomalies font appel à l’apprentissage
automatique pour créer et affiner en permanence un modèle de référence de l’activité réseau
normale. Elles comparent ensuite l’activité réseau au modèle et signalent les écarts, comme un
processus qui utilise plus de bande passante que d’habitude ou un appareil qui ouvre un port
habituellement fermé.
Étant donné qu’ils signalent tout comportement anormal, les IDS basés sur les anomalies
peuvent souvent détecter de nouvelles cyberattaques susceptibles d’échapper à la détection
basée sur les signatures. Par exemple, les IDS basés sur les anomalies peuvent détecter des
attaques « zero-day », c’est-à-dire des attaques qui exploitent les vulnérabilités des logiciels
avant que le développeur ne s’en aperçoive ou n’ait eu le temps d’appliquer un correctif.

Toutefois, les IDS basés sur les anomalies peuvent également être plus sujets aux faux
positifs. Même une activité bénigne, comme un utilisateur autorisé accédant à une ressource
réseau sensible pour la première fois, peut déclencher un IDS basé sur les anomalies.
Méthodes de détection moins courantes
La détection basée sur la réputation bloque le trafic provenant des adresses IP et de
domaines associés à des activités malveillantes ou suspectes. L’analyse de protocole avec
état se concentre sur le comportement du protocole. Par exemple, elle peut identifier une
attaque par déni de service (DoS) en détectant une adresse IP unique effectuant de
nombreuses demandes de connexion TCP simultanées dans un court laps de temps.
Quelle que soit la ou les méthodes utilisées, lorsqu’un IDS détecte une menace potentielle ou
une violation de politique, il alerte l’équipe de réponse aux incidents pour qu’elle enquête.
Les IDS enregistrent également les incidents de sécurité, soit dans leurs propres journaux, soit
en les consignant à l’aide d’un outil de gestion des informations et des événements de sécurité
(SIEM) (voir la section « IDS et autres solutions de sécurité » ci-dessous). Ces journaux
d’incidents peuvent être utilisés pour affiner les critères de l’IDS, par exemple en ajoutant de
nouvelles signatures d’attaque ou en mettant à jour le modèle de comportement du réseau.
Types de systèmes de prévention contre les intrusions

Les IDS sont classés en fonction de leur emplacement dans un système et du type d’activité
qu’ils surveillent.

Les systèmes de détection d’intrusion réseau (NIDS) surveillent le trafic entrant et sortant
vers les appareils du réseau. Les NIDS sont placés à des points stratégiques du réseau. Ils sont
souvent positionnés juste derrière les pare-feux au périmètre du réseau afin de pouvoir
signaler tout trafic malveillant qui passe à travers. Le NIDS peut également être placé à
l’intérieur du réseau pour détecter les menaces internes ou les pirates informatiques ayant
détourné des comptes utilisateur. Par exemple, le NIDS peut être placé derrière chaque pare-
feu interne dans un réseau segmenté afin de surveiller le trafic circulant entre les sous-
réseaux.

Afin d’éviter d’entraver le flux du trafic légitime, un NIDS est souvent placé « hors bande »,
ce qui signifie que le trafic ne passe pas directement par celui-ci. Un NIDS analyse les copies
des paquets réseau plutôt que les paquets eux-mêmes. Ainsi, le trafic légitime n’a pas besoin
d’attendre l’analyse, mais le NIDS peut tout de même détecter et signaler le trafic malveillant.

Les systèmes de détection d’intrusion hôte (HIDS) sont installés sur un terminal spécifique,
comme un ordinateur portable, un routeur ou un serveur. Le HIDS surveille uniquement
l’activité sur cet appareil, notamment le trafic en provenance et à destination de celui-ci. Un
HIDS fonctionne généralement en effectuant des échantillonnages périodiques des fichiers
critiques du système d’exploitation et en comparant ces échantillonnages au fil du temps. Si le
HIDS remarque un changement, tel que la modification de fichiers journaux ou de
configurations, il alerte l’équipe de sécurité.
Les équipes de sécurité combinent souvent les systèmes de détection d’intrusion basés sur le
réseau et les systèmes de détection d’intrusion basés sur l’hôte. Le NIDS examine le trafic
dans son ensemble, tandis que le HIDS peut ajouter une protection supplémentaire autour des
actifs de valeur. Un HIDS peut également aider à détecter les activités malveillantes
provenant d’un nœud réseau compromis, comme les ransomwares qui se propagent à partir
d’un appareil infecté.

Même si le NIDS et le HIDS sont les plus courants, les équipes de sécurité peuvent utiliser
d’autres IDS pour des fonctions précises. Un IDS basé sur les protocoles (PIDS) surveille
les protocoles de connexion entre les serveurs et les appareils. Le PIDS est souvent placé sur
des serveurs Web pour surveiller les connexions HTTP ou HTTPS. Un IDS basé sur les
protocoles d’application (APIDS) fonctionne au niveau de la couche application, en
surveillant les protocoles spécifiques à une application. Un APIDS est souvent déployé entre
un serveur Web et une base de données SQL pour détecter les injections SQL.

Tactiques de contournement de l’IDS

Bien que les solutions d’IDS puissent détecter de nombreuses menaces, les pirates
informatiques ont développé des moyens de les contourner. Les fournisseurs d’IDS réagissent
en mettant à jour leurs solutions pour tenir compte de ces tactiques. Toutefois, cela a créé une
sorte de course aux armements, les pirates informatiques et les IDS essayant de garder une
longueur d’avance les uns par rapport aux autres.

Voici quelques tactiques courantes de contournement de l’IDS :

 Les attaques par déni de service distribué (DDoS), qui consistent à mettre les IDS
hors ligne en les inondant d’un trafic manifestement malveillant provenant de sources
multiples. Lorsque les ressources de l’IDS sont submergées par les menaces leurres,
les pirates informatiques en profitent pour s’introduire.
 L’usurpation, qui consiste à falsifier des adresses IP et des enregistrements DNS pour
faire croire que leur trafic provient d’une source digne de confiance.
 La fragmentation, qui consiste à fractionner des logiciels malveillants ou d’autres
contenus malveillants en petits paquets, en dissimulant la signature et en évitant la
détection. En retardant stratégiquement les paquets ou en les envoyant dans le
désordre, les pirates informatiques peuvent empêcher l’IDS de les réassembler et de
remarquer l’attaque.
 Le chiffrement, qui consiste à utiliser des protocoles chiffrés pour contourner un IDS
si celui-ci ne possède pas la clé de déchiffrement correspondante.
 La fatigue des opérateurs, qui consiste à générer volontairement un grand nombre
d’alertes de l’IDS pour distraire l’équipe de réponse aux incidents de son activité
réelle.
IDS et autres solutions de sécurité
Les IDS ne sont pas des outils autonomes. Ils sont conçus pour faire partie d’un système de
cybersécurité global et sont souvent étroitement intégrés à une ou plusieurs des solutions de
sécurité suivantes.
IDS et SIEM (gestion des informations et des événements de sécurité)
Les alertes des IDS sont souvent acheminées vers le SIEM d’une organisation, où elles
peuvent être combinées avec des alertes et des informations provenant d’autres outils de
sécurité dans un tableau de bord unique et centralisé. L’intégration des IDS aux SIEM permet
aux équipes de sécurité d’enrichir les alertes des IDS de renseignements sur les menaces et de
données provenant d’autres outils, de filtrer les fausses alertes et de hiérarchiser les incidents
pour les résoudre.
IDS et IPS (systèmes de prévention contre les intrusions)

Comme indiqué ci-dessus, un IPS surveille le trafic réseau pour détecter toute activité
suspecte, comme un IDS, et intercepte les menaces en temps réel en mettant fin
automatiquement aux connexions ou en déclenchant d’autres outils de sécurité. Les IPS étant
conçus pour arrêter les cyberattaques, ils sont généralement placés en ligne, ce qui signifie
que tout le trafic doit passer par l’IPS avant d’atteindre le reste du réseau.

Certaines organisations implémentent un IDS et un IPS comme des solutions distinctes. Plus
souvent, les IDS et les IPS sont combinés dans un seul système de détection et de prévention
des intrusions (IDPS) qui détecte les intrusions, les consigne, en alerte les équipes de sécurité
et y répond automatiquement.
IDS et pare-feux
Les IDS et les pare-feux sont complémentaires. Les pare-feux font face à l’extérieur du réseau
et agissent comme des barrières, en utilisant des ensembles de règles prédéfinis pour autoriser
ou bloquer le trafic. Les IDS se trouvent souvent à proximité des pare-feux et permettent de
détecter tout ce qui leur échappe. Certains pare-feux, en particulier les pare-feux de nouvelle
génération, intègrent des fonctions d’IDS et d’IPS.
 La prévention des risques informatiques est essentielle pour réduire les chances
d'incidents de sécurité et protéger les actifs numériques d'une organisation. Voici
quelques mesures de prévention des risques informatiques que les entreprises
peuvent mettre en œuvre :

1. Sensibilisation et formation des employés :

 Fournissez une formation régulière sur les bonnes pratiques de sécurité
informatique, y compris la reconnaissance des menaces telles que le phishing,
les logiciels malveillants, etc.
 Sensibilisez les employés à l'importance de maintenir la confidentialité des
informations et de signaler tout comportement suspect.
2. Mises à jour régulières et gestion des correctifs :
 Assurez-vous que tous les systèmes, logiciels et appareils sont régulièrement
mis à jour avec les derniers correctifs de sécurité pour corriger les
vulnérabilités connues.
 Mettez en place des processus pour surveiller les avis de sécurité et appliquer
rapidement les correctifs critiques.
3. Utilisation de pare-feu et de solutions de sécurité :
 Déployez des pare-feu pour surveiller et contrôler le trafic réseau entrant et
sortant, en bloquant les tentatives d'accès non autorisées.
 Installez et maintenez des solutions de sécurité telles que des logiciels
antivirus, des antimalwares et des systèmes de détection des intrusions pour
détecter et bloquer les menaces.
4. Contrôles d'accès et authentification :
 Utilisez des méthodes d'authentification forte telles que l'authentification à
deux facteurs pour renforcer la sécurité des comptes utilisateurs.
 Limitez l'accès aux données sensibles uniquement aux employés autorisés et
mettez en œuvre des contrôles d'accès appropriés pour restreindre les
privilèges.
5. Sauvegarde régulière des données :
 Effectuez des sauvegardes régulières de toutes les données critiques et
assurez-vous qu'elles sont stockées dans des emplacements sécurisés, hors
site si possible.
 Testez régulièrement les sauvegardes pour vous assurer qu'elles sont
récupérables en cas de besoin.
6. Politiques de sécurité et conformité réglementaire :
 Développez et appliquez des politiques de sécurité informatique claires,
adaptées aux besoins spécifiques de votre organisation.
 Assurez-vous que vos politiques de sécurité sont conformes aux
réglementations en vigueur dans votre industrie, telles que le RGPD, le HIPAA,
etc.
7. Surveillance et détection des menaces :
 Mettez en place des outils de surveillance pour détecter les activités suspectes
ou les comportements anormaux sur votre réseau ou dans vos systèmes.
 Développez des procédures pour enquêter sur les incidents de sécurité et y
répondre rapidement.
8. Évaluation et tests de sécurité :
 Effectuez régulièrement des évaluations de sécurité internes ou engagez des
tiers pour effectuer des tests de pénétration et des audits de sécurité.
 Utilisez les résultats de ces évaluations pour identifier les vulnérabilités et
renforcer vos mesures de sécurité.