L’essentiel à savoir sur l’IPS ou Intrusion Prevention System

C’était au milieu des années 2000 que les applications IPS ont initialement vu le jour. A l’époque, on les vendait en tant qu’appareils autonomes. Cependant, cette fonctionnalité a été intégrée dans les solutions de gestion unifiée des menaces (UTM). Et ce, pour les petites et moyennes entreprises ainsi que les pare-feu de nouvelle génération des entreprises d’aujourd’hui.

Désormais, les solutions IPS de nouvelle génération se connectent à des services informatiques et réseau basés sur le cloud. Ce qui leur permet de fournir une approche sophistiquée pour se protéger contre les menaces incessantes de cybersécurité.

IPS : Qu’est-ce-que c’est ?

L’IPS ou système de prévention des intrusions (intrusion prevention system) est un outil de sécurité réseau et de prévention des menaces. Il peut être soit un logiciel, soit un périphérique matériel. Son rôle est en fait de surveiller en permanence le trafic réseau afin de détecter toute activité suspecte. Ensuite, il prend les mesures nécessaires afin de l’empêcher. Un outil IPS signale les activités malveillantes puis les bloque ou les supprime.

Comme son nom l’indique, il prévient les intrusions. Il crée une approche préventive de la sécurité réseau pour que les menaces potentielles soient traitées très rapidement. Les solutions IPS sont largement automatisées. De ce fait, elles réduisent efficacement les efforts manuels des équipes de sécurité. Simultanément, elles permettent aux autres systèmes de sécurité de fonctionner bien plus efficacement.

Par ailleurs, les solutions IPS sont très efficaces pour détecter et prévenir les exploits de vulnérabilité. En fait, les acteurs malveillants peuvent facilement exploiter une vulnérabilité lorsque celle-ci apparaît. Dès lors, un système de prévention d’intrusion sert ainsi à bloquer rapidement ce type d’attaques.

Comment fonctionne l’IPS ?

Comme expliqué précédemment, l’IPS analyse tout le trafic réseau. Il se place en ligne et directement dans le trafic entre la source et la destination. D’habitude, il s’installe alors derrière un pare-feu. De là, il agit comme une couche supplémentaire qui observe tous les évènements pour les contenus malveillants. Cela dit, les outils IPS se placent dans les voies de communication directes entre un système et un réseau.

Afin de protéger efficacement les réseaux, un outil IPS procède par trois techniques. Ce sont notamment la détection basée sur les signatures, la détection basée sur les anomalies et la détection basée sur des politiques.

La détection basée sur les signatures

Il s’agit d’une approche visant à lier les activités malveillantes à des signatures d’attaques précédemment connues. Cependant, elle a un inconvénient. En fait, l’outil IPS ne pourra identifier que les menaces précédemment connues. Par conséquent, il lui sera difficile d’en reconnaître de nouvelles.

La détection basée sur les anomalies

En ce qui cette technique, l’outil IPS recherche un comportement réseau anormal. Ainsi, si une anomalie venait à surgir, il bloquerait l’accès à l’hôte. Ici, l’IPS compare des échantillons aléatoires d’activité réseau avec une norme de référence. Cette deuxième approche est en fait plus robuste que la première. Cependant, son petit côté négatif est que parfois il donne de faux positifs.

La détection basée sur les politiques

Cette dernière technique de détection est moins courante que les deux autres. Elle utilise des politiques de sécurité définies par l’entreprise. Sa manière à elle est de bloquer les activités qui enfreignent ces politiques. Cela dit, cette méthode a besoin d’un administrateur qui se chargera de définir et de configurer les politiques de sécurité.

Une fois qu’un outil IPS détecte des menaces, il est en position de prendre diverses mesures automatisées. Tout d’abord, il alerte les administrateurs. Ensuite, il supprime tous les paquets malveillants et réinitialise les connexions. Ce dernier se réalise en reconfigurant le pare-feu, en reconditionnant les charges utiles et en supprimant les pièces jointes infectées des serveurs. Par ailleurs, l’outil IPS peut également bloquer le trafic depuis l’adresse source. Certains systèmes de préventions d’intrusions utilisent également un « pot de miel ». C’est un leurre de données de grande valeur servant à attirer les attaquants et les empêcher à atteindre leurs cibles.

Les outils IPS peuvent aider à repousser les attaques par déni de service (DoS) et les attaques par déni de service distribué (DDoS). La liste se remplit également par les vers, les virus ou les exploits comme l’exploit zero-day. Selon Michael Reed, ayant travaillé à Top Layer Networks, un système IPS efficace devrait effectuer une surveillance et une analyse plus complexes. Il parle en fait de la surveillance et la réponse aux modèles de trafic, ainsi qu’aux paquets individuels. « Les mécanismes de détection peuvent inclure la correspondance d’adresses, la correspondance de  chaînes et de sous-chaînes HTTP, la correspondance de modèles génériques, l’analyse de connexion TCP, la détection d’anomalies de paquets, la détection d’anomalies de trafic et TCP/Correspondance de port UDP », explique-t-il.

Types de systèmes de prévention des intrusions

Déployées à des fins différentes, les solutions IPS se présentent en 4 types bien distincts.

L’analyse du comportement du réseau (NBA)

Ce premier type analyse le trafic de réseau pour identifier un flux de trafic anormal. Il est couramment utilisé pour détecter les attaques DDoS.

Le système de prévention des intrusions basé sur le réseau (NIPS)

Celui-ci s’installe uniquement aux points stratégiques pour surveiller tout le trafic réseau. Ce type recherche de manière proactive les menaces.

Le système de prévention des intrusions basé sur l’hôte (HIPS)

Ce type d’outil IPS s’installe sur un seul hôte spécifique. Il se place alors sur un point de terminaison (un PC par exemple) et examine le trafic entrant et sortant de cette machine seulement. Il est très souvent combiné avec NIPS. De ce fait, il sert de dernière ligne de défense contre les menaces.

Le système de prévention des intrusions sans fil (WIPS)

Cette dernière forme d’outil IPS analyse simplement un réseau Wi-Fi pour détecter tout accès non autorisé. Il expulse ensuite tous les périphériques non autorisés du réseau.

Quels sont les avantages d’un IPS ?

Un système de prévention des intrusions offre de nombreux avantages. Premièrement, il réduit les risques d’incidents de sécurité. Deuxièmement, il fournit une protection plus dynamique contre les menaces. En fait, l’IPS travaille avec d’autres solutions de sécurité. L’avantage est qu’il est capable d’identifier des menaces que ces autres ne peuvent pas, particulièrement pour les systèmes qui utilisent la détection basée sur les anomalies.

De plus, un outil IPS avertit automatiquement les administrateurs lorsqu’une activité suspecte est détectée. Il atténue également les attaques comme les menaces zéro-day, les attaques DoS et les attaques DDoS.

En outre, il réduit la maintenance des réseaux pour le personnel informatique. De ce fait, il permet un important gain de temps par la même occasion. A part cela, un outil IPS répond à de nombreuses exigences de conformité définies par PCI DSS, HIPAA et autres. Un de ses nombreux atouts est également sa possibilité de personnalisation. En effet, on peut configurer un outil IPS avec des politiques de sécurité personnalisées. Le but étant de fournir des contrôles de sécurité spécifiques à l’entreprise qui l’utilise. Et dernièrement, un outil IPS peut autoriser ou refuser un trafic entrant spécifique vers un réseau.

Les inconvénients des systèmes de prévention des intrusions

Outre le fait d’être coûteux, l’IPS présente effectivement ces quelques limites. Des fois, l’activité soi-disant « anormale » que l’outil bloque peut s’avérer être un faux positif. Autrement dit, il peut conduire à un DoS envers un utilisateur légitime. D’autre part, un outil IPS peut aussi ralentir un système dans les conditions où l’organisation ne dispose pas de capacité réseau et d’une bande passante suffisantes. Aussi, s’il y a plusieurs IPS sur un réseau, les données devront passer par chacun pour atteindre l’utilisateur final. Cela peut alors engendrer une perte de performances du réseau.

IPS contre IDS

Les IDS (systèmes de détection d’intrusion) sont des outils logiciels conçus pour détecter et surveiller le trafic réseau. Cependant, son rôle s’arrête là. Un outil IDS n’agit point contre les activités malveillantes. Contrairement à un IPS, il n’entreprend aucune action de lui-même. Il nécessite un humain pour analyser les résultats et prendre les décisions sur les mesures à prendre. Entre autres, l’IPS est une extension de l’IDS.

Un IDS envoie juste des alertes aux administrateurs dans la détection d’une menace. En revanche, un IPS prend toutes les dispositions pour protéger au maximum le réseau contre les dommages.

En quoi un IPS est-il important ?

Un IPS est indéniablement un élément clé pour le système de sécurité de toute entreprise. Mais pourquoi ? Aujourd’hui, les réseaux comptent plusieurs points d’accès et traitent un volume de trafic très élevé. Or, non seulement cela rend la surveillance manuelle irréaliste, mais les réponses également.

C’est particulièrement un cas évident pour la sécurité dans le cloud. Cette dernière dispose d’un environnement hautement connecté, soit une surface d’attaque largement étendue. Dès lors, cela entraîne simultanément une plus grande vulnérabilité aux menaces. En plus, ces menaces augmentent sans cesse et deviennent davantage sophistiquées.

C’est ce qui rend les capacités automatisées d’un outil  IPS vitales. Elles permettent non seulement de répondre rapidement aux menaces, mais facilitent également la tâche aux équipes informatiques. Cela incite à en conclure qu’un IPS est pour toute organisation un moyen crucial de prévenir même les attaques les plus dangereuses.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest