Qu'est-ce qu'un système de détection d'intrusion ?

Read in English (Lire en Anglais).

Un système de détection d'intrusion (IDS pour « intrusion detection system ») est une application ou un dispositif vigilant qui filtre, surveille et analyse de manière proactive un réseau contre les menaces malveillantes. 

Dans le domaine de la cybersécurité, les systèmes de détection d'intrusions (IDS) et les systèmes de prévention des intrusions (IPS) apportent des fonctionnalités de sécurité distinctes mais liées. L'IDS fonctionne comme un « œil vigilant » qui surveille en permanence les activités du réseau et donne l'alerte en cas de menaces potentielles. L'IPS, quant à lui, empêche les menaces détectées de nuire au réseau. 

Types de systèmes de détection d'intrusion

Les solutions IDS se présentent sous différentes formes, chacune avec ses propres capacités adaptées pour répondre à des exigences de sécurité spécifiques. Voici deux types de systèmes de détection d'intrusion courants :

• NIDS : Les systèmes de détection des intrusions de réseau (ou « network intrusion detection system ») sont placés stratégiquement dans l'infrastructure du réseau interne d'une organisation afin de surveiller activement et d'identifier tout trafic malveillant ou suspect provenant des appareils connectés au réseau.

• HIDS : Un système de détection des intrusions sur l'hôte (ou « host intrusion detection system ») protège tous les dispositifs qui se connectent à la fois à internet et au réseau interne de l'organisation. Il détecte les paquets internes et le trafic malveillant supplémentaire qui n'a pas été détecté par le NIDS. Le HIDS identifie également les menaces basées sur l'hôte, comme les logiciels malveillants qui tentent de se propager dans le système d'une organisation.

Comment fonctionnent les systèmes de détection d'intrusion ?

Un IDS soutient les organisations dans leurs stratégies de cybersécurité en leur offrant une assistance de l'une des trois manières suivantes :

• Détection basée sur la signature : L'IDS examine tous les paquets qui traversent le réseau d'une organisation et les compare à une base de données de signatures d'attaques connues par le biais d'une comparaison de chaînes de caractères.

• Détection basée sur les anomalies : L'IDS compare les définitions de ce qui est considéré comme normal avec les événements enregistrés pour repérer les écarts dans l'activité du réseau. Les systèmes basés sur les anomalies utilisent l'apprentissage automatique pour établir un point de référence pour le comportement normal. Cette méthode de détection peut s'avérer déterminante dans la lutte contre les nouvelles menaces. 

• Analyse des protocoles avec état : L'IDS analyse les événements observés avec des profils prédéfinis d'activité de protocole qui sont sûrs ou bénins. Le processus se répète pour chaque état du protocole.

IDS vs. firewall : quelle est la différence ? 

Un IDS observe passivement l'activité du réseau et alerte les personnes chargées de répondre aux incidents ou les analystes du centre d'opérations de sécurité (SOC) en cas de menaces potentielles. Cependant, il n'offre pas de protection pour les points finaux ou les réseaux au-delà de la réponse aux incidents.

En revanche, un pare-feu surveille et bloque activement les menaces afin de prévenir les incidents. Il agit comme une barrière, autorisant ou bloquant sélectivement le trafic réseau en fonction de règles préconfigurées.

Termes connexes

• Triade de la CIA

• Enquêteur judiciaire en informatique

• Analyste en cybersécurité

• Ingénieur en sécurité

• Analyste de la sécurité de l'information

• Cryptanalyste

Se lancer avec Coursera

Faites un pas de plus vers une carrière dans la cybersécurité en vous inscrivant au Certificat Professionnel de cybersécurité de Google sur Coursera. Ce certificat est votre porte d'entrée pour explorer des titres d'emploi tels que analyste de sécurité, analyste SOC (centre d'opérations de sécurité), et plus encore. Une fois le certificat obtenu, vous aurez un accès exclusif à une plateforme d'emploi avec plus de 150 employeurs qui recrutent pour des postes de cybersécurité de niveau débutant et d'autres ressources qui vous assisteront dans votre recherche d'emploi.