Les IDS (Intrusion Detection System) et IPS (Intrusion Prevention System) …
sont des composants essentiels de la cybersécurité réseau, …
dédiés à la détection et à la prévention des activités malveillantes.
IDS = détecte et alerte (passif). |
Système qui surveille le trafic réseau ou les activités d’un système …
pour identifier des comportements suspects et alerter les administrateurs.
Système qui détecte ET bloque automatiquement le trafic malveillant …
en agissant en ligne (in-line) sur les flux réseau.
Surveillent le trafic réseau en se plaçant sur des points stratégiques (cœur de réseau, DMZ, périmètre).
Analyse de paquets en temps réel
Détection des attaques réseau (scan, DDoS, exploits)
Visibilité globale
Surveillent les activités sur un hôte spécifique (serveur, poste).
Analyse des logs, processus, fichiers
Détection d’intégrité (modifications suspectes)
Visibilité fine sur l’hôte
Détectent les attaques sur les réseaux Wi-Fi :
Points d’accès pirates (rogue AP)
Attaques de désauthentification
Brute-force WPA
Combinent NIDS et HIDS pour une couverture complète, …
souvent intégrés dans des plateformes XDR ou SOC modernes.
Compare le trafic à une base de signatures connues d’attaques.
| Avantages | Inconvénients |
|---|---|
Précis sur menaces connues | Aveugle aux attaques zero-day |
Peu de faux positifs | Mises à jour fréquentes nécessaires |
Rapide | Évadable par obfuscation |
Apprend le trafic normal et alerte sur les écarts.
| Avantages | Inconvénients |
|---|---|
Détecte le zero-day | Faux positifs fréquents |
S’adapte au contexte | Phase d’apprentissage requise |
Détection des APT | Plus lourd |
Combinaison de règles, patterns et machine learning pour repérer des comportements suspects.
Les solutions modernes intègrent des modèles ML pour :
Réduire les faux positifs
Corréler des événements multiples
Détecter des attaques sophistiquées (APT)
Périmètre : entre le pare-feu et Internet (visibilité externe)
DMZ : surveillance des serveurs exposés
Cœur de réseau : détection des mouvements latéraux
Avant les serveurs critiques : protection ciblée
Un IPS doit être placé en ligne (le trafic le traverse) pour pouvoir bloquer. |
| Mode | Description | Usage |
|---|---|---|
In-line | Trafic traverse l’équipement | IPS actif |
Tap / SPAN | Copie du trafic | IDS passif |
Sur l’hôte | Agent installé | HIDS/HIPS |
Snort — référence historique (signatures)
Suricata — moderne, multi-thread
Zeek (Bro) — analyse comportementale poussée
OSSEC / Wazuh — HIDS open source
Security Onion — distribution complète
Cisco Firepower (ex-Sourcefire)
Palo Alto Threat Prevention
Fortinet FortiGate IPS
Trend Micro TippingPoint
Check Point IPS
Drop du paquet malveillant
Reset de la connexion (RST)
Quarantaine de l’IP source
Alerte aux équipes SOC
Logs détaillés pour investigation
Intégration SOAR pour réponse automatisée
Visibilité sur les menaces réseau
Détection précoce des intrusions
Alertes en temps réel
Conformité (PCI-DSS, ISO 27001, NIS2)
Forensique via les logs
Automatisation de la réponse (IPS)
|
Tuner les règles selon le contexte
Mettre à jour les signatures régulièrement
Former les analystes SOC
Intégrer avec SIEM et SOAR
Tester avec des Red Teams
Mesurer MTTD et MTTR
| Couche | Outil |
|---|---|
Périmètre | Pare-feu + IPS |
Réseau interne | NIDS + segmentation |
Endpoint | EDR + HIDS |
Application | WAF |
SOC | SIEM + SOAR |
L’IDS/IPS n’est qu’un maillon de la chaîne. Son efficacité dépend de l’intégration avec l’EDR, le SIEM et les processus SOC. |
Les IDS/IPS sont des piliers de la sécurité réseau.
L'IDS offre la visibilité, l'IPS ajoute la capacité de blocage.