En juin dernier, le Gartner Group lançait un pavé dans la mare des acteurs de l'IDS avec cette prophétie : « Fin 2003, 90 % des IDS déployés auront échoué si les faux positifs ne sont pas réduits de 90 %. » Ce faisant, il imposait un nouvel acronyme, l'IPS (Intrusion Prevention System). Mais l'IPS répond en fait à une nécessité dictée par l'expérience de l'IDS vécue par les entreprises. En effet, un IDS se contente de témoigner des flux du réseau et de remonter des alarmes à l'administrateur, alors qu'un IPS est actif et peut décider, suite à des remontées d'alertes, de fermer des ports et de rejeter des paquets. Pour ce faire, il embarque souvent un coupe-feu de niveau 3-4.

Les premiers à revendiquer la fourniture d'IPS sont les acteurs de la sécurité issus du monde de la détection d'intrusion, à l'image d'Internet Security System (ISS). « Nous ne voulons plus être sur le seul segment de l'écoute réseau » , justifie Guillaume Delomel, responsable technique d'ISS pour la promotion du nouveau boîtier Proventia G du fabricant. Sceptiques, les acteurs du coupe-feu applicatif (niveau 7) n'y voient là aucune nouveauté, tel Thierry Karsenti, de Check Point, pour qui « les acteurs de l'IPS n'apportent rien de nouveau par rapport aux coupe-feu applicatifs, mais cherchent simplement un élément différenciateur » . Autrement dit, un argument marketing. Peu importe, d'autres acteurs profitent de cette dynamique pour réactualiser leur offre en y adjoignant une couche de prévention. Ce que fait NetScreen, en incluant dans ses coupe-feu la technologie Deep Inspection. Ou encore NAI, avec le rachat d'Entercept et d'IntruVert, qui s'est concrétisé par une offre pour le poste client.

En effet, les IPS se scindent en deux catégories : ceux destinés aux réseaux et ceux aux postes de travail. Les premiers se placent en coupure de réseau afin d'assurer le filtrage de paquets. Pour ce faire, ils se fondent sur une analyse protocolaire en vérifiant la conformité d'un paquet aux RFC (les normes édictées par l'IEEE) et sur une base de signatures pour identifier les attaques. À ce mode statique s'ajoute un mode dynamique afin de pallier le problème des faux positifs, toujours d'actualité. La technique utilisée consiste à corréler finement l'événement et la base de signatures. Une technique similaire à celle des antivirus. Dans ce cadre, ISS a mis en place sa propre cellule de veille, X-Force, qui regroupe 200 personnes chargées d'assurer une veille permanente sur les alertes (publication de correctifs, forums de discussion...). D'autres acteurs, dont Cisco avec Cisco Security Agent ou NAI avec Entercept Desktop edition, se sont positionnés sur le créneau des IPS hôtes : « Compte tenu du taux de faux positifs encore générés par les IPS, il nous paraît dangereux de les mettre en coupure pour prendre des décisions sur des flux du réseau » , explique Pascal Delprat, consultant sécurité chez Cisco Systems. Ces IPS pour postes de travail interceptent tous les appels systèmes pour surveiller, par exemple, l'emploi de la mémoire.

Si l'IPS agit au niveau 7 (applicatif) de la couche OSI, cette spécificité, on l'a vu, légitime les acteurs du coupe-feu applicatif à revendiquer le statut de prévention d'intrusion pour leurs équipements. « Depuis 1998, date de création de la société, nous agissons en temps qu'IPS en nous appuyant nous aussi sur une analyse protocolaire ainsi que sur une base de signatures. La seule différence, c'est que nous ne prétendons pas tout arrêter, comme le clament les acteurs issus de l'IDS, mais seulement 95 % des attaques » , affirme Christophe Jolly, directeur technique chez Netasq. Pour les 5 % restants (les attaques non répertoriées ou les protocoles marginaux), Netasq prône l'utilisation d'un IDS avec, à la clé, l'intervention de l'administrateur.

Par-delà le débat sur la terminologie, les spécialistes reconnaissent l'inéluctable convergence entre IPS réseau et coupe-feu. « Nous aurons des coupe-feu avec des fonctions d'IPS et, inversement, des IPS avec des fonctions de coupe-feu. Dans tous les cas, ce sera un équipement qui analysera l'intégralité du trafic à tous les niveaux des couches OSI pour distinguer le trafic malveillant » , concluent Andrew Plato, président d'Anitian, et Crispin Cowan, directeur de recherche chez Immunix, au terme d'un très long débat. Pour ISS, Check Point, Cisco ou NAI, la protection de l'entreprise passera par une surveillance du réseau dans son ensemble en fournissant de la prévention d'intrusion sur le réseau, les postes clients, les serveurs et bientôt les routeurs. « Nous y travaillons », confirme Pascal Delprat, de Cisco.