Comment savoir si une communication, à priori légitime et autorisée, ne contient pas une attaque ou une menace pour votre réseau ? Malgré le premier niveau de protection que constitue le firewall, votre SI reste vulnérable à certains types d’attaques. Comment détecter, enregistrer et neutraliser ces attaques? A quel endroit stratégique de votre réseau faut-il renforcer la sécurité afin de mieux protéger vos données et vos utilisateurs? Comment et avec quels outils procéder?
La sonde de détection d’intrusion IDS-IPS
Si votre infrastructure est particulièrement exposée aux attaques, ou si votre activité professionnelle implique des contraintes fortes en terme de sécurité informatique (banque, santé, administration …), la mise en œuvre de sondes de détection d’intrusion est un atout précieux.
Sur le plan technique, une IPS est le complément du firewall en matière de sécurité réseau. A la différence du firewall qui autorise ou refuse les flux selon des critères « réseau » (adresse IP, protocole, etc.), l’IPS utilise une technologie différente, appelée « pattern matching ». En se basant sur une base de données d’attaques connues et identifiées (failles applicatives, virus, etc …), l’IPS inspecte le trafic en temps réel, et le compare aux signatures des attaques. Si un trafic correspond, à une attaque connue, l’IPS enregistre les flux correspondants et vous en informe. Elle peut interrompre la connexion et ainsi protéger votre infrastructure avant que la vulnérabilité n’ait été exploitée.
L’IPS est en général intégrée sur un emplacement stratégique de votre réseau. Agissant comme une sonde, il est nécessaire de lui donner une visibilité maximum sur le trafic. Pour cela, on utilise le plus souvent les techniques de « port mirroring », ou des solutions passives de duplication des flux de données (boitiers « TAP »).
Bénéfices
Pour plus d’informations, contactez nous via le formulaire de contact ou au 03.20.28.61.62