IDS et IPS : Quelle est la différence ?

Read in English (Lire en anglais)

La mise en place de systèmes de défense multicouches, tels qu'un système de détection d'intrusion (IDS) et un système de prévention d'intrusion (IPS), est un moyen pour les entreprises de réduire leur vulnérabilité aux cyberattaques.

Selon une étude récente menée par IBM, le coût mondial moyen d'une violation de données en 2023 atteignait 4,45 millions de dollars [1]. De son côté, le cabinet Asterès a évalué à 2 milliards d’euros le coût des cyberattaques réussies en France en 2022 [2]. Et d'ici 2025, Cybersecurity Ventures estime que les coûts de la cybercriminalité dépasseront les 10 000 milliards de dollars, ce qui représente une augmentation considérable par rapport aux 3 000 milliards de dollars enregistrés en 2015 [3].

Lisez la suite pour en savoir plus sur le fonctionnement interne des IDS et des IPS, ainsi que sur les différences entre les deux.

Qu'est-ce qu'un IDS ? 

Un système de détection d'intrusion fonctionne de manière passive, en surveillant en permanence les menaces de cybersécurité au sein d'une organisation. Lorsqu'il détecte une intrusion potentielle dans le réseau, il déclenche des alertes qui incitent les équipes internes de sécurité à mener des investigations et à remédier à la situation.

Types d'IDS 

Chaque type d'IDS est conçu pour traiter des aspects spécifiques de la sécurité des réseaux. La liste suivante présente les différents types d'IDS en fonction de leur lieu de déploiement : 

• IDS basé sur le réseau (NIDS) : stratégiquement positionné aux points clés d'un réseau, un NIDS surveille le trafic entrant et sortant de tous les appareils connectés au réseau.

• IDS basé sur l'hôte (HIDS) : installé sur tous les terminaux ayant accès à l'internet et au réseau interne, un HIDS peut repérer les paquets inhabituels du réseau interne et identifier le trafic malveillant qu'un NIDS pourrait manquer.

• IDS basé sur la signature (SIDS) : cette détection fonctionne en accédant à une liste préprogrammée de menaces connues et utilise ces informations pour signaler un comportement suspect.

• IDS basé sur les anomalies (AIDS) : ce type d'IDS utilise généralement l'apprentissage automatique pour établir une base de référence à laquelle comparer les comportements anormaux, tels que la connexion à un nouvel appareil, la connexion d'un périphérique USB inconnu ou l'utilisation d'un réseau différent.

Qu'est-ce qu'un IPS ?

Un système de prévention des intrusions (IPS) va plus loin dans la défense de la cybersécurité. Comme un IDS, il surveille de manière proactive le trafic réseau et les comportements des hôtes afin d'identifier les anomalies ou les menaces potentielles. Toutefois, ce qui distingue un IPS, c'est son mécanisme de défense active. Lorsqu'il identifie une menace potentielle, l'IPS ne se contente pas d'émettre une alerte, il prend également des mesures immédiates pour bloquer ou atténuer la menace.

Types d'IPS 

En fonction de son lieu d'exploitation, un IPS peut être classé dans les catégories suivantes : 

• IPS basé sur le réseau (NIPS) : Il surveille l'ensemble du trafic réseau d'une organisation afin de détecter tout signe d'activité suspecte.

• IPS basé sur l'hôte (HIPS) : Placé sur un terminal tel qu'un ordinateur portable, l'IPS se concentre uniquement sur le trafic entrant et sortant généré par un appareil particulier.

• IPS sans fil (WIPS) : Un WIPS détecte et résout les tentatives d'accès non autorisé aux réseaux Wi-Fi.

• Analyse du comportement du réseau (NBA) : Ce type d'IPS examine le trafic réseau afin de repérer les schémas de trafic atypiques liés aux attaques par déni de service distribué (DDoS).

Analyse des menaces : Un aperçu du fonctionnement des IDS et des IPS 

Un IDS et un IPS peuvent utiliser l'une des méthodes de détection suivantes pour repousser les cybermenaces : 

• Détection basée sur les signatures : Elle consiste à surveiller les paquets du réseau et à les comparer à une base de données de signatures d'attaques connues.

• Détection basée sur les anomalies : Elle consiste à analyser le trafic réseau et à le comparer à une base de référence « normale » prédéfinie afin de détecter les anomalies, y compris les nouvelles menaces.

• Détection basée sur un protocole dynamique : Elle aide les entreprises à identifier les écarts de protocole en comparant les événements observés à des profils d'activité prédéfinis qui décrivent le comportement standard.

IDS et IPS : Ce qu'ils ont en commun et ce qui les différencie

Les IDS et les IPS présentent des similitudes notables. Voici une liste des attributs que les IDS et les IPS ont en commun :

• Surveillance : Les deux solutions surveillent les réseaux, le trafic internet et les activités de plusieurs appareils et serveurs.

• Notifications : Les deux solutions vous alertent en cas de menaces potentielles ou d'activités suspectes.

• Apprentissage continu : En fonction du système de détection utilisé et de l'apprentissage automatique, les IPS et les IDS acquièrent la capacité d'identifier les anomalies et de réduire les faux positifs.

• Historique des événements : Les deux systèmes conservent un enregistrement des activités surveillées et des actions entreprises, ce qui vous permet de retracer une attaque du début à la fin.

Le saviez-vous ? Les administrateurs de la sécurité informatique ont souvent la possibilité de désactiver, dans les services IPS, les fonctions de réponse aux menaces, ce qui les transforme quasiment en IDS.

Voici une analyse des différences entre IDS et IPS :

• Fonctionnement : Un IDS ne va pas au-delà de la détection, ce qui vous permet de prendre des mesures à votre guise. À l'inverse, un IPS détecte et prend des mesures en fonction des paramètres et des politiques configurés pour contenir les menaces. 

• Temps d’indisponibilité : Étant donné que l'IDS ne fait qu'alerter, il n'y a pas de temps d'indisponibilité, en particulier en cas de menace faussement positive. Cependant, un IPS peut lancer des contre-mesures automatiques en cas de faux positifs. Cela peut entraîner des perturbations dans la connectivité du réseau ou entraver l'accès à certaines ressources.

Les IDS et les IPS fonctionnent-ils ensemble ?

L'IPS et l'IDS peuvent se compléter l'un l'autre, offrant ainsi une approche de sécurité complète à votre entreprise. L'IPS surveille activement le trafic en direct afin de préserver la sécurité du réseau, tandis que l'IDS fournit des informations sur les schémas de trafic du réseau. En outre, les deux technologies enregistrent les données relatives aux attaques et aux réponses, ce qui vous permet d'affiner et de renforcer vos stratégies de cyberdéfense. 

Vous pouvez également trouver des solutions de sécurité qui combinent des pare-feu avec des fonctionnalités IDS et IPS, communément appelées pare-feu de nouvelle génération (NGFW) ou gestion unifiée des menaces (UTM).

Les NGFW permettent de restreindre l'accès au réseau et de prévenir les intrusions. Toutefois, ils ne sont pas particulièrement efficaces pour prévenir les attaques provenant de l'intérieur d'un réseau. Les IDS et les IPS émettent des alertes quand ils détectent une intrusion tout en restant vigilants face aux attaques internes au réseau, ce qui complète les capacités du NGFW. Outre les IDS et les IPS, un NGFW peut intégrer une technologie de pare-feu traditionnelle couplée à une inspection approfondie des paquets. 

Avantages et inconvénients de l’IDS et de l’IPS

Examinons les avantages et les inconvénients de la mise en œuvre d'un IDS ou d'un IPS. 

Apprenez-en plus avec Coursera

Apprenez-en plus sur la résolution de problèmes basée sur des solutions automatisées avec le cours Certificat professionnel Google IT Automation With Python sur Coursera. Vous aurez la possibilité de développer des compétences très demandées, telles que Python, Git et l'automatisation informatique, et d'obtenir un certificat professionnel partageable à ajouter à votre CV.

Explorez les moindres détails de la cyberdéfense avec le cours Google’s Fondements de la cybersécurité sur Coursera. Également destiné aux débutants, ce cours vous présentera le référentiel de cybersécurité (CSF) du NIST, l'éthique en matière de cybersécurité, les outils couramment utilisés par les analystes de sécurité, et bien plus encore.