Bloquer les intrusions, et non plus seulement les détecter, tel est le voeu de tout RSSI (responsable sécurité des systèmes d'information). La quête est difficile et, comme toujours en sécurité, jamais une réalité absolue. Les outils de sécurité ne sont là que pour aider à l'application d'une politique globale de sécurité où les facteurs humains et autres éléments organisationnels jouent un rôle crucial, et où la notion de périmètre de sécurité a complètement éclaté. « La prévention d'intrusion rassemble quatre ou cinq familles de produits. Dans tous les cas, la technologiene traite que 20 % du problème » , rappelle Hubert Tournier, responsable de la ligne Security Services Group France, de Deloitte & Touche.

Plusieurs familles de produits contribuent à renforcer le niveau global de sécurité, réduisant ainsi celui des menaces d'intrusions. On voit émerger, depuis quelques mois, une catégorie d'équipements baptisée IPS (Intrusion prevention system) , le terme prévention étant parfois remplacé par protection, sans induire de changement conceptuel.

Deux voies principales sont explorées par les promoteurs d'IPS. La première, dont le cabinet d'études GartnerGroup s'est beaucoup fait l'écho, est l'approche des constructeurs d'IDS (Intrusion detection systems)  ; la seconde touche les fournisseurs de pare-feu. L'évolution des IDS vers les IPS est le reflet d'un marché particulièrement faible en France, où les IDS ont connu un certain échec. « Peu de nos clients ont mis en oeuvre des IDS » , constate Hubert Tournier. Si tout le monde s'accorde sur les lacunes de ces produits, certaines études estiment cependant que, aux États-Unis, la moitié des grandes entreprises en sont équipées. Il existe deux grandes catégories d'IDS : les IDS réseaux et les IDS hôtes. Rappelons qu'un IDS réseau fonctionne essentiellement soit par scénario (à base de signatures), soit par analyse comportementale mesurant toute déviance par rapport à un profil (lire 01 Réseaux, n° 98, p. 90), soit par une combinaison des deux. Les IDS réseaux n'ont pas rencontré le succès escompté, non sans raison d'ailleurs. Difficiles à calibrer et à gérer, générant beaucoup de logs , ils sont, en outre, fortement sujets aux faux positifs. « Nous sommes réservés sur les IDS réseaux, et nous en avons peu déployé, commente Hubert Tournier. Par ailleurs, les IDS réseaux traditionnels (par opposition aux systèmes hybrides) ne gèrent pas la problématique du chiffrement. En revanche, les IDS hôtes sont incontournables. » Les flux chiffrés ne peuvent pas être vus par l'IDS s'il n'y a pas, par exemple, de déchiffrement ou de point de terminaison SSL. Certaines solutions, à l'instar de celles d'Ingrian Networks, pallient ces inconvénients, mais ont connu des difficultés de montée en charge lors de tests effectués par un opérateur télécoms français.

Sur le terrain, les ingénieurs ont utilisé les IDS de manière détournée. Ainsi, Damien Gabard, ingénieur chez Interdata, a mis en oeuvre des IDS en mode coupure devant un serveur sensible. « Nous les avons également utilisés pour des opérations d'élimination du ver Blaster, en analysant les flux entrants et sortants segment par segment, en avançant pas à pas. »

Le Gartner a prévu la mort des IDS en 2005, et voit les IPS comme leur évolution. En revanche, Martin Roesch, créateur de Snort, l'IDS open source le plus utilisé, voit aussi l'IPS comme une évolution des pare-feu, qui, depuis toujours, savent fonctionner en ligne. NetScreen Technologies est partisan de cette stratégie. Grâce à son rachat de OneSecure, NetScreen dispose d'un boîtier IDS-IPS baptisé IDP (Intrusion detection protection) , dont les règles se configurent comme celles d'un pare-feu. Cette technologie s'insérera peu à peu dans ses propres pare-feu et dans son système d'exploitation. Cela passe par l'intégration de signatures et d'un contrôle des protocoles HTTP, FTP et SMTP. L'étape suivante sera la mise en Asic de la technologie IPS dans ses boîtiers. Une intégration annoncée il y a de nombreux mois, et qui prend bien du temps à se concrétiser.

En France, Netasq a longtemps agi comme monsieur Jourdain : la société fait depuis des années de l'IPS sans le savoir, grâce à son module ASQ, qui se situe entre les niveaux 2 et 3 du modèle OSI, et opère une désencapsulation virtuelle des paquets de données. Netasq s'est lancé dans une approche multisolution, en incluant le moteur antivirus de Kaspersky Labs, une approche déjà suivie par Arkoon ou Fortinet. Secure Computing se lance également dans l'approche multiniveau. En réponse aux lacunes de nombreux pare-feu et aux failles liées au port 80, le constructeur voit une plus grande segmentation du marché de la sécurité. Cela va de l'IPS au pare-feu applicatif (Sanctum, Kavado, Deny all, NetContinuum, etc.), en passant par la gestion de contenu sécurisé (Blue Coat Systems, entre autres) ou par la lutte antispam , via un filtrage SMTP renforcé.

Les honeypots (Symantec Decoy Server ou outils libres), les contrôleurs d'intégrité (Tripwire ou Covalent) ou les commutateurs de niveau 7 participent aussi à la gestion des intrusions. Paul Debernardi, directeur marketing de Secure Computing, estime même qu'on assiste « à un véritable redémarrage du marché du pare-feu » . Et de constater que le carré magique du Gartner publié en juin dernier n'indique plus aucun acteur dans la catégorie leaders, et évoque un éclatement des solutions, « certains produits ayant échoué dans leur rôle ».

Secure Computing, réputé pour la qualité de ses pare-feu, en étend le rayonnement. « Certes, nous faisons moins de choses que Kavado côté pare-feu applicatif, mais cela ne sera plus le cas l'an prochain » , assure Paul Debernardi. Les solutions tout-en-un mêlent de plus en plus pare-feu, VPN, IDS-IPS et antivirus. Certains ajoutent de l' antispam et du filtrage URL. Mais gare à la mise en oeuvre, car « on a vu des antivirus heuristiques faire chuter dramatiquement les performances » , prévient Paul-André Pays, directeur d'EdelWeb. Face à ces produits qui s'étoffent de fonctionnalités nouvelles, Parveen Jain, président et directeur-général de la branche McAfee Network Protection Solutions, de Network Associates, réagit : « Un IPS n'est pas une simple évolution d'un IDS ou d'un pare-feu. Son architecture doit être pensée dès le départ. Le dixième d'un IPS provient des mécanismes d'un pare-feu. L'approche de NetScreen, par exemple, n'est donc pas la bonne, et nous avons au moins un an d'avance sur eux. Un IPS doit être précis dans ses détections pour empêcher l'intrusion, et ne pas remonter trop d'alertes. Enfin, il doit pouvoir fonctionner en ligne. Cela signifie fiabilité, haute disponibilité et latence faible. »

Patrick Reynaud, RSSI d'Axa Assistance et responsable des télécoms données, partage plutôt l'avis du Gartner : « L'IPS est une évolution de l'IDS. » Dès lors, sur ses sites de production, Axa Assistance a mis en oeuvre des boîtiers d'ISS : les Proventia Série A (en mode écoute ou promiscuous ) et Série G (en mode coupure). « Ce choix s'est opéré par opposition à Dragon, d'Enterasys Networks (un bon produit, mais avec une interface utilisateur plus complexe et des performances inadéquates en regard de nos attentes), et aussi à Intrusion.com. L'IDS de Cisco Systems ne nous a pas séduits, ce n'est pas véritablement leur métier » , explique Patrick Reynaud. Côté pare-feu, Axa Assistance a toutefois fait appel à PIX, de Cisco, complété par l'IPS RealSecure Guard, d'ISS. « L'analyse protocolaire de cet IPS nous a permis de faire face à des attaques de type Slammer ou Natchi, alors que nos pare-feu étaient inefficaces » . L'administration des solutions ISS s'effectue via SiteProtector. Loriot Pro (logiciel d'une société française) supervise les équipements réseaux et les logs.

Pour Yves Le Roux, en charge de la stratégie des technologies eTrust chez Computer Associates, il existe une autre voie, traduite par eTrust Security Command Center (SCC) lancé en juillet dernier. Il s'agit de fournir la bonne information à la bonne personne pour prendre la bonne décision. « Les clients ne veulent pas savoir combien de dénis de service ils subissent, mais combien ils ont perdu d'argent ou si leur image a été touchée » , constate Yves Le Roux. Samuel Curry, directeur technique de la marque eTrust, poursuit : « La surveillance est moins importante que l'administration proactive avec la possibilité de rendre prioritaires certains événements. » Yves Le Roux ajoute : « L'automatisation des correctifs logiciels prônée par Microsoft n'est pas la réponse aux problèmes de sécurité. D'une part, parce qu'il faut les tester avant de les appliquer, d'autre part, parce que le patch peut s'avérer inefficace, comme dernièrement avec Internet Explorer. » L'objectif n'est donc pas de rassembler plus de données, mais de mieux les traiter d'un point de vue métier. Mais, pour Parveen Jain, « les consoles de type eTrust SCC, même si elles ont leur utilité, ne permettent souvent d'agir qu'avec retard. Slammer a mis trois minutes pour traverser le monde. Il faut le bloquer immédiatement en ligne, ce que nous faisons pour offrir une véritable prévention d'intrusion. » Quant au problème de gestion des logs , « il reste mal résolu » , déplore Paul-André Pays. Un domaine dans lequel s'investit désormais Marcus Ranum, le père des pare-feu...