Qu'est-ce que la détection d'intrusion?
La détection d'intrusion consiste à détecter les tentatives non autorisées d'accéder à un réseau informatique ou à un système informatique physique. Son objectif est de détecter toute menace pouvant permettre l'accès à des informations non autorisées, nuire à l'intégrité des données ou entraîner une perte d'accès au sein d'un réseau. Il est généralement mis en œuvre à l'aide d'un système de détection d'intrusion (IDS) qui détecte, enregistre et enregistre diverses informations sur les autres personnes se connectant au réseau ou accédant à un hôte physique. Ces systèmes peuvent aller de solutions logicielles qui enregistrent simplement les informations sur le trafic à des systèmes physiques impliquant des gardes de sécurité, des caméras et des capteurs de mouvement.
Il existe trois types principaux de détection d’intrusion: les méthodes physiques, basées sur le réseau et basées sur le réseau. Les méthodes basées sur le réseau essaient de signaler le trafic réseau suspect et utilisent généralement des programmes qui enregistrent le trafic et les paquets transitant par un réseau. Les méthodes basées sur l'hôte recherchent les intrusions possibles sur un système informatique physique et vérifient l'intégrité des fichiers, identifient les rootkits, surveillent les stratégies de sécurité locales et analysent les journaux. Les méthodes physiques traitent également de l'identification des problèmes de sécurité sur les périphériques physiques et utilisent des contrôles physiques, tels que des personnes, des caméras de sécurité, des pare-feu et des détecteurs de mouvement. Dans de nombreuses entreprises utilisant des données confidentielles et des systèmes critiques, une combinaison de ces méthodes est souhaitable pour une sécurité optimale.
Les systèmes de détection d'intrusion n'empêchent généralement pas les intrusions; au lieu de cela, ils enregistrent simplement les événements qui se produisent afin que d'autres puissent rassembler et analyser les informations. Bien que cela soit particulièrement vrai pour les méthodes de détection d'intrusion basées sur le réseau et sur l'hôte, cela peut ne pas être le cas pour certaines méthodes physiques, telles que les pare-feu et le personnel de sécurité. Les pare-feu permettent souvent de bloquer le trafic suspect et permettent de savoir quels sont les accès autorisés ou non. Le personnel de sécurité peut également empêcher les personnes de pénétrer physiquement dans une entreprise ou un centre de données, et les pièges surveillés et les systèmes de contrôle d'accès sont d'autres méthodes physiques pouvant empêcher une personne d'entrer par effraction.
Les limitations des systèmes de détection d'intrusion impliquent que de nombreuses organisations utilisent également un système de prévention d'intrusion (IPS) pour prendre des mesures en cas d'activité suspecte. Beaucoup de ces systèmes incluent les fonctions d'un système de détection d'intrusion et fournissent un système de sécurité plus complet qui est utile pour répondre aux violations de la sécurité est essentiel. Lorsque l'IPS détecte un trafic suspect ou des violations de stratégie, il exécute l'action configurée dans ses stratégies. Les employés de sécurité des informations ou les administrateurs système configurent généralement les stratégies utilisées par IPS pour répondre à chaque événement.