Le coupe-feu est désormais entré dans les m?”urs”, constate Loup Gronier, directeur du pôle intrusion pour CF6. Mais il précise qu’il ne faut pas se reposer uniquement sur lui. En effet, si l’on considère le périmètre de sécurité de l’entreprise comme une bulle, celle-ci a tendance à s’élargir au fil des années, englobant maintenant les sociétés partenaires, les fournisseurs et autres télétravailleurs.Tous constituent autant de brèches ” légales “, nécessaires à une meilleure productivité, qu’un coupe-feu ne peut contrôler. Par exemple, celui-ci ne peut inspecter les flux chiffrés d’un RPV, ni surveiller les actions d’un pirate qui aurait volé un compte et se connecterait à la place d’un utilisateur autorisé.
Les logiciels de détection d’intrusion (IDS) se généralisent
“Les attaques ne se limitent plus au périmètre de l’entreprise (serveurs de courrier, DNS, web), précise Chris Rouland, responsable de la cellule X-Force d’ISS. Elles vont de plus en plus au c?”ur du système d’information, car ce dernier est désormais ouvert au monde.” À ce titre, la faille de sécurité qui a frappé le mois dernier le fabricant de meubles Ikea en est un exemple frappant. Sa base de données clients s’est trouvée subitement accessible par le web. Une erreur qui ne se serait jamais produite si le fabricant n’avait pas choisi d’en ouvrir sélectivement l’accès à quelques partenaires, par Internet.L’architecture du réseau d’entreprise n’étant plus binaire (un réseau interne de confiance et le reste du monde, voire éventuellement une zone démilitarisée qui accueille les serveurs web), il est désormais nécessaire d’étendre le contrôle à la totalité du réseau, et non plus seulement à sa périphérie, devenue mouvante.C’est le rôle des logiciels de détection d’intrusion en temps réel (IDS, Intrusion Detection Systems). Utilisés encore de façon marginale, comme l’était le coupe-feu il y a quelques années, on peut estimer que les IDS se généraliseront rapidement. Ces outils permettent, à l’aide de sondes déployées sur la totalité du réseau (ou sur des postes clients), de détecter des activités suspectes reproduisant des schémas d’attaques connus.Le principe est le même que pour les scanners antivirus : ils doivent être mis à jour régulièrement afin de prendre connaissance des dernières attaques. Mais, à la différence des antivirus, les IDS permettent à l’administrateur d’écrire ses propres règles, créant ainsi des ” signatures ” d’attaques personnelles. Les IDS sont le plus souvent constitués d’une console d’administration, de sondes et, parfois, de logiciels clients. Ils peuvent être couplés à des coupe-feu et remonter les alertes vers des outils d’analyse classiques (Syslogd) ou en alertant l’administrateur sur son pager, par e-mail ou par des traps (remontées d’alertes) SNMP. Ils sont parfois accompagnés de leurs propres outils d’analyses de log. Des modules existent (Dragon, ISS) qui sont capables de centraliser toutes les alertes émises par les sondes, les classer et les stocker dans une base SQL afin d’en faciliter le traitement. ISS parle même de senseurs heuristiques, plus ” intelligents “, sur lesquels des études sont en cours. Mais la relative jeunesse de ces produits rend leur déploiement délicat.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
