- Un système de détection d'intrusion (IDS) est une solution technologique qui surveille le trafic entrant et sortant de votre réseau pour détecter les activités suspectes et les violations de politique.
- L'IDS est la première ligne de défense des systèmes réseau, car il peut détecter de manière proactive les comportements anormaux et réduire le temps moyen de détection.
L'IDS est un élément important de l'architecture de sécurité réseau d'une organisation car il identifie et alerte le SOC des menaces qu'il aurait pu manquer, ce que les pare-feu traditionnels ne font pas. Bien que tous les systèmes de détection d'intrusion remplissent le même objectif, ils fonctionnent de manière légèrement différente. Dans l'ensemble, il existe cinq types d'IDS.
Qu'est-ce qu'un système de détection d'intrusion
Unsystème de détection d'intrusion(IDS) est une solution technologique qui surveille le trafic entrant et sortant de votre réseau pour détecter les activités suspectes et les violations de politique. Comme son nom l'indique, l'objectif principal d'un IDS est de détecter et de prévenir les intrusions au sein de votre infrastructure informatique, puis d'alerter les personnes concernées. Ces solutions peuvent être des dispositifs matériels ou des applications logicielles.
En général, un IDS fait partie d'un système plus vaste degestion des informations et des événements de sécurité(SIEM). Lorsqu'il est mis en œuvre dans le cadre d'un système global, votre IDS constitue votre première ligne de défense. Il fonctionne pour détecter de manière proactive les comportements inhabituels et réduire votre temps moyen de détection. En fin de compte, plus tôt vous reconnaissez une tentative d'intrusion ou une intrusion réussie, plus vite vous pouvez agir et sécuriser votre réseau.
À lire également:Qu'est-ce qu'un système de prévention d'intrusion hôte et comment fonctionne-t-il?
À lire également:Prévention d'intrusion hôte: le moyen clé pour protéger les hôtes individuels
Différents types de systèmes de détection d'intrusion
1. Système de détection d'intrusion réseau
Un système de détection d'intrusion réseau (NIDS) est une solution qui surveille l'ensemble du réseau via un ou plusieurs points de contact. Pour utiliser un NIDS, vous devez généralement l'installer sur un équipement matériel de votre infrastructure réseau. Après l'installation, votre NIDS échantillonnera chaque paquet (ensemble de données) qui le traverse.
Un NIDS classique peut vérifier tout le trafic qui le traverse. Il peut analyser tout le trafic entrant et sortant et détecter les événements en temps réel, ce qui permet des réponses rapides. Il est plus difficile à tromper pour les intrus et peut être déployé stratégiquement dans des zones clés.
2. Système de détection d'intrusion par nœud réseau
Les systèmes de détection d'intrusion par nœud réseau (NNIDS) sont techniquement une variante des NIDS, mais comme ils fonctionnent différemment, nous les traitons comme un type d'IDS distinct.
Le NNIDS analyse également les paquets qui le traversent. Cependant, au lieu de s'appuyer sur un dispositif central pour surveiller tout le trafic réseau, le système surveille chaque nœud connecté au réseau. Comme il y a moins de trafic analysé par chaque agent NNIDS, le système peut fonctionner plus rapidement. Mais le NNIDS nécessite plusieurs dispositifs pour chaque serveur que vous souhaitez surveiller.
3. Système de détection d'intrusion hôte
Le système de détection d'intrusion hôte (HIDS) renforce encore l'indépendance des dispositifs par rapport au NNIDS. Avec le HIDS, vous pouvez installer un logiciel IDS sur chaque dispositif connecté au réseau.
Le HIDS fonctionne en prenant un « instantané » du dispositif qu'il spécifie. En comparant les instantanés récents aux enregistrements passés, le HIDS peut identifier les différences qui pourraient indiquer une intrusion. Ils peuvent être installés sur un ordinateur ou un serveur pour identifier le dispositif affecté. Cependant, les solutions HIDS peuvent être soumises à une surveillance « après coup ».

