6.3 – IDS & IPS : Compréhension complète et opérationnelle
Les IDS (Intrusion Detection System) et IPS (Intrusion Prevention System) sont deux piliers de la détection et de la prévention des attaques réseau. Ils permettent de détecter des comportements suspects, de journaliser les tentatives d’intrusion et, dans le cas de l’IPS, de les bloquer automatiquement.
Info
Tout professionnel de la cybersécurité doit comprendre comment ces systèmes fonctionnent, comment les déployer efficacement, et comment interpréter leurs alertes.
1. IDS vs IPS : Définitions
| Système | Fonction principale | Action |
|---|---|---|
| IDS | Détection d’intrusions | Passif (alerte seulement) |
| IPS | Prévention d’intrusions | Actif (peut bloquer) |
- IDS : agit comme un radar. Il observe le trafic réseau ou les événements système, et remonte les alertes au SOC.
- IPS : agit comme un mur anti-émeute. Il bloque ou modifie les paquets suspects en temps réel.
2. Types d’IDS/IPS
| Type | Description | Exemple |
|---|---|---|
| NIDS (Network) | Surveille le trafic réseau | Sur un switch SPAN, DMZ, routeur |
| HIDS (Host) | Analyse les événements d’un hôte (logs, syscalls) | Serveur, poste critique |
| Hybrid / Distributed | Combine plusieurs sources | SOC distribué, cloud hybride |
3. Méthodes de détection
| Méthode | Fonctionnement | Avantages | Limites |
|---|---|---|---|
| Signature | Compare à des empreintes connues | Précise, rapide | Inefficace contre 0-day |
| Anomalie | Détecte les écarts par rapport au comportement normal | Capte des 0-day | Faux positifs fréquents |
| Heuristique | Règles + pondération de comportement suspect | Adaptatif | Complexité, réglage fin |
| Hybride | Combine plusieurs approches | Puissant et robuste | Ressources nécessaires |
Example
Une requête HTTP contenant
../../etc/shadowpeut être détectée par signature (attaque connue) ou heuristique (accès anormal).
4. Architectures de déploiement
Mode passif (IDS)
- Raccordé sur un port SPAN / TAP réseau
- Aucun impact sur le trafic
- Idéal pour supervision, DMZ, analyse forensique
Mode inline (IPS)
- Positionné directement dans le chemin de trafic
- Peut modifier ou bloquer les paquets en temps réel
- Utilisé entre WAN ↔ LAN, LAN ↔ DMZ, ou inter-VLANs
5. Scénarios d’alerte typiques
| Type d’attaque | Détection par IDS/IPS |
|---|---|
| Scan de port | Débit inhabituel + balayage |
| Command injection | Signature d’attaque |
| Exploitation 0-day | Anomalie comportementale |
| Tunneling DNS | Pattern + fréquence suspecte |
| Exfiltration de données | Volume + règle heuristique |
| Attaque brute force SSH | Taux d’échec + règle corrélée |
Tip
Une alerte pertinente croise plusieurs signaux : signature + volume + cible critique + temporalité.
6. Solutions courantes
Open source
- Snort : référence historique, très personnalisable
- Suricata : multi-thread, puissant, intégrable avec ELK
- Zeek (ex-Bro) : orienté événements, très scriptable
Commerciales
- Cisco Firepower, Palo Alto, Fortinet, Trend Micro, Darktrace…
Info
Beaucoup de NGFW incluent un moteur IDS/IPS intégré, souvent couplé à un cloud de Threat Intelligence.
7. Intégration dans le SI
- Remontée d’alertes vers un SIEM pour corrélation
- Déclenchement d’actions automatiques via SOAR
- Export des logs pour analyse forensique
- Tableaux de bord pour supervision SOC
8. Évasion, contournements et limites
| Technique d’évasion | Objectif |
|---|---|
| Fragmentation TCP/IP | Casser les signatures connues |
| Obfuscation | Masquer les chaînes malveillantes |
| Encodage multiple | Perturber les moteurs de détection |
| Timing / Delay | Rendre le trafic non corrélé |
| Chiffrement (SSL/TLS) | Rendre le trafic opaque à l’analyse |
Warning
Un IPS mal configuré peut générer de faux positifs bloquants ou rater des attaques sophistiquées.
Success
À ce stade, tu es capable de parler opérationnellement d’IDS et d’IPS, de justifier leur usage, et de répondre avec assurance en entretien ou en mission.