Entre IDS et IPS une seule lettre diffère, mais elle change tout : là où les systèmes de détection d'intrusion se contentent de donner l'alerte, les systèmes de prévention d'intrusion bloquent le trafic jugé dangereux. Pour l'entreprise, un IPS constitue donc, à première vue, un investissement pour la sécurité plus judicieux qu'un simple IDS. Contrairement à celui-ci, il pourra fonctionner sans une surveillance constante. « Lorsqu'on le compare à un IDS, un IPS apparaît plutôt comme une passerelle antivirale : une fois qu'il fonctionne, l'administrateur réseau peut l'oublier, il bloquera seul les attaques qu'il connaît », résume Benjamin Marandel, ingénieur systèmes chez ISS, éditeur qui a fait de l'IPS son cheval de bataille. Autre avantage, un IPS est capable de stopper des attaques réseau et, surtout, applicatives, les plus courantes aujourd'hui.

Cependant, si un IDS ­ qui est passif ­ peut se permettre de se tromper, un IPS ­ actif ­ n'a pas le droit à l'erreur. « Un IPS ce n'est pas un simple IDS que l'on met en ligne. Il bloquerait trop de flux légitimes », reconnaît Thierry Evangelista, spécialiste des technologies IPS et IDS chez McAfee. Pour éviter que leurs produits ne causent plus de problèmes qu'ils n'en résolvent, les promoteurs des solutions IPS adoptent deux sortes d'approches. La première consiste à « noter » les flux à l'aide de différentes techniques (signatures IDS, détection d'anomalies dans les protocoles, etc.), et de ne bloquer que ceux qui obtiennent une note élevée (qui peut être modifiée par l'administrateur). La seconde vise la simplification, comme le révèle Benjamin Marandel : « Par défaut, nos IPS coupent automatiquement les flux pour seulement 250 attaques sur les 1 500 signatures qu'ils reconnaissent. » Dans les deux cas, un IPS ne bloquera qu'un sous-ensemble limité de ce qu'un IDS est capable de détecter.

Mais, en voyant se réduire ainsi le champ d'action des IPS, l'entreprise peut s'interroger sur la pertinence d'investir dans une telle technologie. « Moins on configure la partie IDS d'un IPS, moins l'entreprise risque d'avoir de problèmes, mais plus l'outil ressemble à un coupe-feu un peu évolué. L'IPS perd alors grandement de son intérêt », s'amuse Franck Dubray, directeur général de la société de conseil INTRINsec. Un IPS sera ainsi un bon choix pour la PME qui ne dispose que d'un coupe-feu traditionnel et d'aucune solution de filtrage applicatif. Il sera capable de bloquer les flux de vers, comme Sasser, et les attaques applicatives à la mode que ni l'antivirus ni le coupe-feu ne traitent. Pour les autres, les coupe-feu de seconde génération intègrent déjà des fonctions d'IPS et, si une solution de filtrage applicatif est déjà en place, l'IPS n'aura guère d'intérêt.