Introduction aux solutions de

sécurité

Redsup - Driouech Mohamed Farid

Introduction aux solutions de sécurité

De nombreux produits et technologies sont utilisés pour protéger les appareils et les réseaux numériques
au sein d'une entreprise. Une seule méthode ou un seul produit ne suffit pas pour assurer la sécurité
contre les attaquants et détecter les failles de sécurité.

Les analystes SOC et les responsables du département de cybersécurité constituent les ressources
humaines efficaces et nécessaires pour assurer la cybersécurité. L'élément qui assure la cybersécurité en
dehors des ressources humaines ou en collaboration avec les ressources humaines sont les produits de
cybersécurité. Il existe des produits de cybersécurité dotés de nombreuses tâches différentes pour
détecter et prévenir les failles de sécurité des entreprises.
Système de détection d'intrusion (IDS)

Qu’est-ce que l’IDS ?

Un système de détection d'intrusion (IDS) est un matériel ou un logiciel utilisé pour détecter les failles de
sécurité et les attaques en surveillant un réseau ou un hôte.

Types d'IDS

Il existe de nombreux types de produits IDS :

Système de détection d'intrusion (IDS)

Système de détection d'intrusion réseau (NIDS)

Le système de détection d'intrusion réseau (NIDS) est utilisé pour détecter s'il existe un trafic adapté au
comportement d'un attaquant en faisant passer tout le trafic du réseau par lui. Lorsqu'un comportement
anormal est observé dans le trafic, une alerte peut être générée et l'administrateur peut être informé.

Système de détection d'intrusion sur l'hôte (HIDS)

Le système de détection d'intrusion sur l'hôte (HIDS) fonctionne sur un hôte spécifique du réseau. Il tente
de détecter les activités malveillantes en examinant tous les paquets réseau arrivant sur cet appareil et
tous les paquets réseau provenant de cet appareil. Les comportements malveillants détectés sont
signalés à l'administrateur sous forme d'alerte.
Système de détection d'intrusion (IDS)

Système de détection d'intrusion basé sur un protocole (PIDS)

Un système de détection d'intrusion basé sur un protocole (PIDS) est un type d'IDS qui examine le trafic
entre un serveur et un client d'une manière spécifique au protocole.

Système de détection d'intrusion hybride

Un système de détection d'intrusion hybride est un type d'IDS dans lequel deux ou plusieurs approches
de détection de violations sont utilisées ensemble.
Système de détection d'intrusion (IDS)

Fonctions de l'IDS

La détection des failles de sécurité selon les méthodes de détection utilisées par le produit IDS est la
tâche principale du produit IDS.

Lorsqu'un IDS détecte une faille de sécurité, l'administrateur en est informé et/ou cette information est
envoyée au produit SIEM.
Système de détection d'intrusion (IDS)

Importance de l’IDS pour la sécurité

IDS est un produit développé pour détecter les comportements malveillants. On peut dire que la sécurité
fait défaut dans un réseau sans IDS. Car IDS fait partie des produits qui ont atteint une certaine maturité
technologique. De par sa mission, il est très important de détecter les failles de sécurité.

Il est recommandé de l'utiliser avec d'autres produits de sécurité plutôt que seul. Étant donné que le
produit IDS n'a pas la capacité d'effectuer des actions, il sera plus efficace de l'utiliser avec un produit de
sécurité ayant la capacité d'effectuer des actions supplémentaires.
Système de détection d'intrusion (IDS)

Certains produits IDS populaires utilisés dans le secteur de la cybersécurité sont les suivants :

Snort

Zeek

Suricate

Fail2Ban
Système de détection d'intrusion (IDS)

Emplacement physique du périphérique IDS L'emplacement du périphérique IDS dans le

réseau peut varier en fonction du type d'IDS
dont il s'agit. Par exemple, un périphérique
de type NIDS doit y transmettre tous les
paquets entrant dans le réseau. Il est donc
plus approprié de le placer à proximité des
périphériques réseau qui donnent accès au
réseau externe.
Un périphérique de type HIDS, en revanche,
doit être positionné à proximité de l'hôte
dans le réseau car il examine uniquement les
paquets réseau entrant et sortant d'un
certain hôte.
Système de prévention des intrusions (IPS)

Qu’est-ce que l’IPS ?

Un système de prévention des intrusions (IPS) est un matériel ou un logiciel qui détecte les violations de
sécurité en surveillant un réseau ou un hôte et prévient les violations de sécurité en prenant les mesures
nécessaires.

Types d'IPS

Il existe de nombreux types de produits IPS :

Système de prévention des intrusions (IPS)

Système de prévention des intrusions basé sur le réseau (NIPS)

Le système de prévention des intrusions basé sur le réseau (NIPS) est un type d'IPS qui détecte les
violations de sécurité et les élimine en surveillant tout le trafic entrant sur le réseau dans lequel il se
trouve.

Système de prévention des intrusions basé sur l'hôte (HIPS)

Le système de prévention des intrusions basé sur l'hôte (HIPS) est un logiciel qui surveille et analyse les
activités suspectes d'un hôte.
Système de prévention des intrusions (IPS)

Analyse du comportement du réseau (NBA)

L'analyse du comportement réseau (NBA) est un type d'IPS qui détecte et bloque les flux de trafic
inhabituels et les attaques par déni de service (DoS) sur le réseau.

Système de prévention des intrusions sans fil (WIPS)

Un système de prévention des intrusions sans fil (WIPS) est un type d'IPS qui surveille et analyse le trafic
du protocole réseau sans fil des appareils sans fil dans un réseau.
Système de prévention des intrusions (IPS)

L'importance de l'IPS pour la sécurité

IPS est un produit de sécurité important qui devrait être inclus dans une organisation. Avoir la capacité
d’agir contre la faille de sécurité détectée contribue grandement à garantir la sécurité. Comme toute
solution de sécurité, elle doit être utilisée et configurée correctement. Il n'est pas recommandé de
l'installer et de le laisser fonctionner sans un contrôle constant du personnel.
Système de prévention des intrusions (IPS)

L'importance de l'IPS pour la sécurité

IPS est un produit de sécurité important qui devrait être inclus dans une organisation. Avoir la capacité
d’agir contre la faille de sécurité détectée contribue grandement à garantir la sécurité. Comme toute
solution de sécurité, elle doit être utilisée et configurée correctement. Il n'est pas recommandé de
l'installer et de le laisser fonctionner sans un contrôle constant du personnel.
Système de prévention des intrusions (IPS)

Emplacement physique du périphérique IPS

L'emplacement du périphérique IPS dans le

réseau peut varier en fonction du type
d'IPS dont il s'agit. D'une manière générale,
il doit être placé à l'endroit où il doit être
localisé dans le réseau en raison de sa
tâche.
Système de prévention des intrusions (IPS)

Exemples d’une attaque

Système de prévention des intrusions (IPS)

Exemples d’une attaque

Pare-feu

Qu’est-ce que le pare-feu ?

Un pare-feu est un logiciel ou un matériel de sécurité qui surveille le trafic réseau entrant et sortant selon
les règles qu'il contient et autorise le passage des paquets réseau ou empêche le passage des paquets
selon la nature de la règle.

Types de pare-feu

Un pare-feu est divisé en plusieurs types selon ses fonctionnalités :

Pare-feu

Passerelles au niveau des applications (pare-feu proxy)

Les passerelles au niveau des applications (pare-feu proxy) sont un type de pare-feu qui fonctionne au
niveau de la couche application entre deux systèmes finaux. Contrairement aux pare-feu de base, il
capture et analyse les paquets dans la couche application selon le modèle OSI.

Pare-feu cloud

Les pare-feu cloud sont le type de pare-feu utilisé lorsque l'institution reçoit un service de pare-feu sur le
cloud en tant que service. Un autre nom est « FWaaS » (firewall-as-a-service). L'utilisation d'un pare-feu
cloud présente certains avantages. Par exemple, les pare-feu cloud ne disposent pas de ressources
physiques, ils peuvent donc être facilement reconfigurés en fonction de la demande ou de la charge de
trafic. Une capacité supplémentaire peut être ajoutée pour répondre à l’augmentation du trafic.
Pare-feu

Pare-feu de point de terminaison

Les pare-feu de point de terminaison sont un type de pare-feu basé sur l'hôte installé sur les appareils.
C'est un type de pare-feu souvent difficile à gérer. C’est un élément important qui doit être utilisé pour
assurer la sécurité. Par exemple, le « Pare-feu Windows Defender », préinstallé dans Windows, est un
exemple de ce type de pare-feu.

Pare-feu de traduction d'adresses réseau (NAT)

Les pare-feu de traduction d'adresses réseau (NAT) sont un type de pare-feu conçu pour accéder au trafic
Internet et bloquer les connexions indésirables. De tels pare-feu sont utilisés pour masquer les adresses
IP du réseau interne du réseau externe. En d’autres termes, c’est le pare-feu sur lequel le NAT est
appliqué.
Pare-feu

Pare-feu de filtrage de paquets

Les pare-feu à filtrage de paquets constituent le type de pare-feu le plus basique. Il dispose d'une fonctionnalité
qui surveille le trafic réseau et filtre les paquets entrants selon les règles configurées. Un pare-feu de filtrage de
paquets bloque le port de destination si le paquet entrant ne correspond pas à l'ensemble de règles.

Pare-feu de nouvelle génération (NGFW)

Les pare-feu de nouvelle génération (NGFW) sont un type de pare-feu qui combine les fonctionnalités de
différents pare-feu disponibles dans les conditions actuelles sur un seul pare-feu. Ces pare-feu disposent d'une
fonction d'inspection approfondie des paquets (DPI). Ce type de pare-feu est conçu pour bloquer les menaces
externes, les attaques de logiciels malveillants et les méthodes d'attaque avancées.
Pare-feu

Pare-feu de gestion unifiée des menaces (UTM)

Les pare-feu de gestion unifiée des menaces (UTM) sont un type spécial de pare-feu d'inspection
dynamique avec antivirus et prévention des intrusions.
Pare-feu

Comment fonctionne le pare-feu

Bien qu’il existe de nombreux types de pare-feu, ils fonctionnent essentiellement selon la même logique.
Certaines règles sont nécessaires au fonctionnement d'un pare-feu. La règle du pare-feu est la partie qui
est vérifiée pour décider d'autoriser ou de bloquer le passage des paquets réseau arrivant au pare-feu.
Pare-feu

Certains produits de pare-feu populaires utilisés dans le secteur de la cybersécurité sont les suivants :

Fortinet

Palo Alto

Checkpoint

Cisco Firepower

pfsense

Sophos
Pare-feu
Emplacement physique du périphérique de pare-feu
Les dispositifs pare-feu peuvent
être situés à différents endroits
du réseau selon leur type. Si l'on
considère un réseau d'entreprise
de manière générale, un pare-feu
doit être situé aux interfaces
externes.

L'appareil qui recevra les paquets

provenant d'Internet avant
même qu'ils n'arrivent aux
appareils IDS/IPS est le pare-feu.
Pare-feu

Quelle est l'action entreprise en fonction du journal du pare-feu donné ?

Pare-feu
D'après le journal du pare-feu Windows Defender fourni, quelle est l'adresse IP qui envoie le segment
TCP dont le port source est 5421 ?