Qu’est-ce qu’un Système de prévention des intrusions (IPS) ?

Un système de prévention des intrusions (IPS) est une forme de sécurité de réseau qui sert à détecter et prévenir les menaces identifiées. Les systèmes de prévention des intrusions surveillent en permanence votre réseau, recherchant les éventuels actes de malveillance et capturent des informations à leur sujet. L’IPS signale ces événements aux administrateurs du système et prend des mesures préventives, telles que la fermeture des points d’accès et la reconfiguration des firewalls pour empêcher de futures attaques. Les solutions IPS peuvent également être utilisées pour identifier les problèmes liés aux politiques de sécurité de l’entreprise, afin de dissuader les employés et les invités du réseau d’enfreindre les règles incluses dans ces politiques.

Un réseau d’entreprise typique ayant une multitude de points d’accès, il est essentiel que vous disposiez d’un moyen de surveiller les signes d’effraction potentielle, d’incidents et de menaces imminentes. Les menaces réseau actuelles sont de plus en plus sophistiquées et capables d’infiltrer toutes les solutions de sécurité, même les plus robustes.

En examinant les solutions IPS, vous rencontrerez également des systèmes de détection d’intrusion (IDS). Avant de nous pencher sur le fonctionnement de ces systèmes anti-intrusions, examinons la différence entre IPS et IDS.

La principale différence entre l’IPS et l’IDS est l’action prise lorsqu’un incident potentiel a été détecté.

• Les systèmes de prévention des intrusions contrôlent l’accès à un réseau informatique et le protègent contre les abus et les attaques. Ces systèmes sont conçus pour surveiller les données d’intrusion et prendre les mesures nécessaires pour éviter qu’une attaque ne se déclenche.
• Les systèmes de détection des intrusions ne sont pas conçus pour bloquer les attaques. Ils se contentent de surveiller le réseau et d’envoyer des alertes aux administrateurs si une menace potentielle est détectée.

Les systèmes de prévention des intrusions fonctionnent en analysant tout le trafic du réseau. Il existe un certain nombre de menaces différentes que les IPS peuvent empêcher, notamment :

• Attaque par déni de service (DDoS)
• Attaque par déni de service distribué
• Divers types de failles de sécurité
• Ver
• Virus

L’IPS effectue une inspection des paquets en temps réel, en examinant minutieusement chaque paquet qui circule sur le réseau. Si des paquets malveillants ou suspects sont détectés, l’IPS effectuera l’une des actions suivantes :

• Mettra fin à la session TCP qui a été exploitée et bloquer l’adresse IP source ou le compte utilisateur fautif pour empêcher l’accès non éthique à toute application, hôte cible ou ressource réseau.
• Reprogrammera ou reconfigurera le firewall pour éviter qu’une attaque similaire ne se reproduise à l’avenir.
• Supprimera ou remplacera tout contenu malveillant resté sur le réseau suite à une attaque. Cela est effectué en reconditionnant les charges, en supprimant les informations d’en-tête et en retirant toute pièce jointe infectée des serveurs de fichiers ou de courrier électronique.

Un système de prévention des intrusions est généralement configuré pour utiliser un certain nombre d’approches différentes pour protéger le réseau contre les accès non autorisés. On peut citer :

• Approche basée sur les signatures – Cette approche utilise des signatures prédéfinies de menaces réseau bien connues. Lorsqu’une attaque correspondant à l’une de ces signatures ou à l’un de ces modèles est lancée, le système prend les mesures nécessaires.
• Approche basée sur les anomalies – Permet de surveiller tout comportement anormal ou inattendu sur le réseau. Si une anomalie est détectée, le système bloque immédiatement l’accès à l’hôte cible.
• Approche basée sur les politiques – Cette approche nécessite que les administrateurs configurent les politiques de sécurité en fonction des politiques de sécurité organisationnelles et de l’infrastructure du réseau. Lorsqu’une activité viole une politique de sécurité, une alerte est déclenchée et envoyée aux administrateurs système.

Les solutions IPS offrent une prévention proactive contre certaines des failles de sécurité réseau les plus connues. Lorsqu’il est déployé correctement, un IPS empêche que des dégâts importants soient causés par des paquets malveillants ou non désirés, ainsi que les attaques par force brute.

Next Generation Firewall (NGFW) de Forcepoint fournit une prévention et une détection avancées des intrusions pour tout type de réseau, ce qui vous permet de répondre aux menaces en quelques minutes, et non en quelques heures, et de protéger vos données et applications les plus critiques.