Baptisés sondes ou encore sniffer, ce sont des outils de détection d’intrusion qui s’installent à un point stratégique du réseau. Ils analysent en permanence le trafic à la recherche d’une signature connue de piratage dans les trames. Ces systèmes ne repèrent que les attaques qui figurent déjà dans leur base de signatures. Ces sondes doivent être :
o Puissantes (débits des réseaux élevés) pour analyser toutes les trames.
o Capables de conserver un historique (actes de malveillance divisés sur plusieurs trames).
o Fiable, c’est à dire tolérante aux pannes (retour à l’état initial après une interruption).
III.10.1 Analyse du comportement de l’utilisateur
Installée sur les OS ou sur les applications, l’analyse du comportement scrute les fichiers d’événements et non plus le trafic.
Cette technique est encore trop coûteuse car trop de compétences sont nécessaires. Des agents sont placés sur le système ou l’application supervisés. Ces agents autonomes disposent de capacité d’apprentissage. Leur mission consiste à repérer tout abus (personne qui cherche à outrepasser ses droits et à atteindre des applications auxquelles elle n’a pas accès) ou comportement suspect (personne qui, par exemple, scanne toute une base de données alors qu’en temps normal, elle n’effectue que deux à trois requêtes par jour). De même, le transfert de certains courriers peut être bloqué lorsque ces documents comportent certains mots (préalablement déterminés par l’administrateur) pouvant indiquer la fuite d’informations.
Pour être efficaces, ces solutions doivent bénéficier d’une puissance suffisante afin d’analyser tous les événements en temps réel, mais aussi de mécanismes qui les protègent des attaques.
Page suivante : III.11. Conclusion
Retour au menu : LA SECURISATION DES SERVEURS DES DONNEES DE L’ENTREPRISE SOUS ISA SERVEUR 2006