IDS / IPS – Intrusion Detection System & Intrusion Prevention System
Définition
Un IDS (Intrusion Detection System) et un IPS (Intrusion Prevention System) sont des systèmes de sécurité réseau destinés à détecter et/ou bloquer des activités malveillantes sur un système informatique ou un réseau.
- IDS → détecte et alerte
- IPS → détecte et bloque automatiquement
Ils sont essentiels pour la cybersécurité, notamment dans la protection contre les attaques réseau et applicatives.
À quoi servent les IDS / IPS ?
Les IDS et IPS permettent de :
- Surveiller le trafic réseau en temps réel
- Détecter des comportements suspects ou attaques connues
- Identifier des tentatives d’intrusion
- Protéger les systèmes contre :
- attaques DDoS
- scans de ports
- injections SQL
- exploits connus
- malwares
- tentatives de brute-force
Fonctionnement général
IDS – Système de détection
- Analyse le trafic réseau ou les logs
- Compare les données à des signatures d’attaques ou à des comportements anormaux
- Génère des alertes (logs, emails, dashboards)
Il n’intervient pas directement sur le trafic.
IPS – Système de prévention
- Analyse le trafic en ligne (inline)
- Détecte les attaques et agit immédiatement :
- bloque le paquet
- coupe la connexion
- met à jour des règles de filtrage
- isole une machine
Il agit avant que l’attaque n’atteigne la cible.
Types d’IDS / IPS
NIDS / NIPS (Network-based)
- Placés sur le réseau
- Surveillent le trafic réseau global
- Exemples : Snort, Suricata
HIDS / HIPS (Host-based)
- Installés sur une machine
- Surveillent les fichiers, processus et logs
- Exemples : OSSEC, Wazuh
Différences IDS vs IPS
| Critère | IDS | IPS |
|---|---|---|
| Rôle | Détection | Détection + blocage |
| Action | Alerte uniquement | Blocage automatique |
| Position | Hors-bande | En ligne |
| Risque de coupure | Aucun | Possible si mal configuré |
Exemples d’outils IDS / IPS
Open source
- Snort → IDS / IPS très répandu
- Suricata → IDS / IPS haute performance
- Zeek (Bro) → analyse comportementale
- Wazuh → HIDS + SIEM
Solutions commerciales
- Cisco Firepower
- Palo Alto Networks
- FortiGate (Fortinet)
- Check Point
Exemple concret d’utilisation
Scénario :
Une entreprise souhaite protéger son réseau interne.
- Elle installe Suricata en mode IDS pour observer le trafic
- Elle analyse les alertes (scans, tentatives d’injection)
- Elle passe ensuite Suricata en mode IPS
- Les attaques sont bloquées automatiquement
