Skip to main content

Détection des intrusions sur le réseau

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Comprendre l’importance d’une surveillance complète de la sécurité des réseaux
  • Décrire les méthodes de détection et de prévention des intrusions
  • Expliquer l’importance des tests de résistance

Mise en œuvre d’une surveillance complète de la sécurité du réseau

Imaginez un roi dormant dans son lit, dans son château. Il a de nombreux ennemis qui veulent envahir son royaume. Cependant, le roi dort bien la nuit, car il sait que son château est doté de fortifications solides et de douves. Par ailleurs, un gardien garde la porte d’entrée du château et des archers patrouillent sur le mur d’enceinte. Toutefois, une nuit, alors que le roi dort, son fils sort par une petite porte à l’arrière du château et traverse une passerelle pour rendre visite à une princesse dans une ville voisine. Il laisse cette porte dérobée déverrouillée et un vagabond qui passe, voyant cela, se faufile dans le château sans être détecté. Le prince a laissé plusieurs de ses bijoux sur sa cheminée, et le vagabond s’enfuit avec ce butin. 

Une image représentant un château avec des fortifications et des douves, ainsi qu’une personne qui y pénètre par le biais d’une grande fissure dans ses remparts.

Cette histoire illustre l’importance d’exercer une surveillance complète. Les pirates, tout comme le vagabond de ce récit, tentent d’exploiter le maillon le plus faible de la chaîne de sécurité d’une organisation. Il ne suffit pas de s’appuyer sur de solides défenses du périmètre du réseau pour protéger celui-ci. Il est essentiel de superviser tous les points d’entrée et de sortie, d’employer une défense poussée (une combinaison de mécanismes défensifs visant à protéger les données et les informations précieuses), ainsi que d’exercer une surveillance entre les connexions au réseau afin de limiter la capacité d’un pirate à y pénétrer, à s’y déplacer et à en extraire des ressources précieuses. Les ingénieurs en sécurité réseau collectent les données de surveillance, les analysent et font remonter les preuves d’une intrusion. Ils essaient de surveiller l’ensemble du réseau, ce qui peut être difficile dans les grandes organisations. 

Pour les aider dans ces tâches, les ingénieurs utilisent des outils technologiques centraux pour détecter lorsqu’un matériel non autorisé se connecte au réseau et les en alerter. Ces outils relèvent du contrôle d’accès au réseau (NAC, pour « Network Access Control »). Un outil NAC authentifie les connexions grâce à un système de gestion des identités et des accès. Il peut accepter ou refuser un accès en fonction d’un ensemble de paramètres et de politiques. Par exemple, si un invité essaie de se connecter au réseau d’une entreprise, l’outil NAC peut le diriger vers un portail d’inscription et d’authentification distinct, l’empêchant ainsi d’obtenir un accès anonyme aux ressources les plus sensibles de l’entreprise.

Les ingénieurs en sécurité réseau s’appuient également sur un système de gestion des informations et des événements de sécurité (SIEM, pour « Security Information and Event Management ») pour les aider à surveiller le trafic sur le réseau. Un SIEM remplit les fonctions suivantes :

  • Il compile des informations à partir de plusieurs sources pour fournir des alertes qui aident à attirer l’attention de l’ingénieur en sécurité réseau sur une activité anormale du réseau.
  • Il regroupe les journaux (enregistrements des transactions et des événements) des systèmes de détection et de prévention des intrusions (appelés IDPS, que vous découvrirez plus en détail ultérieurement), des pare-feu et d’autres appareils sur le réseau.
  • Il aide l’ingénieur à surveiller le trafic du protocole Internet (IP, pour « Internet Protocol » ; autrement dit, le flux de données transitant par Internet) et à effectuer une inspection approfondie des paquets, ce qui signifie intercepter certains paquets de données pour les analyser.
  • Il confronte ces informations aux renseignements sur les menaces (des informations sur les acteurs malveillants et les vulnérabilités connues) pour aider l’ingénieur à analyser les données et à détecter les intrusions.
  • Il permet à l’ingénieur d’implémenter en profondeur des mécanismes de défense grâce à une surveillance de l’ensemble du réseau, et pas seulement de son périmètre.

La section suivante se penche de manière plus poussée sur l’un de ces outils, l’IDPS.

Utilisation de la détection et de la prévention des intrusions

La détection et la prévention des intrusions peuvent être mises en œuvre séparément ou en tandem. Bien qu’elles fournissent toutes les deux des fonctions de surveillance, il est utile de connaître les différences qu’il y a entre elles. 

Les systèmes de détection des intrusions (IDS, pour « Intrusion Detection System ») surveillent les signes d’incidents potentiels, tels que l’invasion du réseau par des logiciels malveillants. L’IDS alerte l’ingénieur de sécurité réseau que quelque chose ne va pas. Il est possible de l’implémenter au sein d’un élément matériel ou logiciel, mais il est généralement mis en place de façon séparée. Cela signifie qu’il se trouve en dehors du chemin des données et travaille à partir de copies des paquets de données. Il échantillonne les données pour découvrir d’éventuelles intrusions au lieu d’inspecter chaque paquet transitant sur le réseau. Faisons une analogie avec les dispositifs assurant le maintien de la sécurité lors d’un événement sportif, comme un match de football. L’IDS ressemble beaucoup à l’agent de sécurité qui se tient sur le côté, surveille les spectateurs et demande du renfort par radio lorsqu’une personne suspecte tente d’entrer.

Les systèmes de prévention des intrusions (IPS, pour « Intrusion Prevention System ») vont encore plus loin que leurs homologues IDS en détectant non seulement les incidents, mais aussi en les arrêtant. Ils sont intégrés aux flux de données et les contrôlent. Par exemple, si l’IPS identifie un paquet de données comme étant malveillant, il peut le rejeter, l’empêchant ainsi d’être livré à son destinataire. Il peut également bloquer les adresses IP figurant sur une liste de blocage. L’IPS se trouve généralement derrière un pare-feu et fournit une protection complémentaire intégrée. 

Cela signifie que l’appareil reçoit des paquets de données, et les transmet à leur destination prévue s’ils sont normaux ou les rejette s’ils sont malveillants. Cela ressemble beaucoup au rôle de la personne vérifiant les billets lors d’un match de football et empêchant le détenteur d’un faux billet d’entrer. 

Les ingénieurs en sécurité réseau doivent exercer une surveillance suffisante pour sécuriser le réseau tout en s’assurant que les données légitimes atteignent toujours leur destinataire et en limitant l’impact sur le débit. Étant donné que l’IPS analyse et bloque de manière proactive les paquets suspects, il peut causer des problèmes de latence ou rejeter par erreur des paquets légitimes. Pour implémenter correctement un IDPS, il est nécessaire de trouver un équilibre entre l’exposition aux risques en matière de sécurité et les besoins de l’entreprise. Même s’il peut paraître fastidieux qu’un agent de sécurité vérifie les billets pour autoriser l’accès de chaque spectateur à un événement sportif, cela s’avère crucial pour garantir que seules les personnes autorisées entrent et que l’événement est sécurisé. 

Les ingénieurs en sécurité réseau utilisent également une technologie appelée gestion unifiée des menaces (UTM, pour « Unified Threat Management »). Cette technologie intègre un éventail de fonctionnalités telles que des pare-feu (qui bloquent certains types de trafics réseau non autorisés), des antivirus et des IDPS. L’UTM va plus loin qu’un pare-feu traditionnel, qui bloque des types de trafics spécifiques, en inspectant les paquets de données. L’UTM peut s’avérer particulièrement pertinente dans les petites organisations, car elle regroupe les fonctionnalités dans une pile de sécurité unique. Ainsi, il n’est pas nécessaire de gérer séparément les pare-feu, les périphériques IPS, les antivirus/logiciels malveillants et d’autres fonctionnalités. 

Évaluation de vos connaissances

Prêt à réviser ce que vous venez d’apprendre ? L’évaluation ci-dessous n’est pas notée, elle vous permet simplement de faire le point. Pour commencer, faites glisser l’un des éléments de la colonne de gauche vers la catégorie correspondante à droite. Lorsque vous avez fini d’associer tous les éléments, cliquez sur Soumettre pour vérifier votre travail. Si vous souhaitez recommencer, cliquez sur Réinitialiser.

Bon travail ! Intéressons-nous maintenant à la manière dont les tests de résistance s’intègrent dans la stratégie de sécurité d’une organisation.

Utilisation de tests de résistance

En règle générale, les ingénieurs en sécurité réseau font partie d’une « équipe bleue », nom donné aux professionnels de la sécurité qui gèrent le réseau, protègent ses actifs et ses utilisateurs, et détectent les intrusions au quotidien. Pendant que ces professionnels se concentrent sur le travail quotidien de sécurisation du réseau, une entreprise peut avoir recours à d’autres équipes pour tester la sécurité du réseau du point de vue d’un pirate. Ces équipes peuvent être soit internes à l’entreprise, soit externes. Leur travail consiste notamment en l’exécution de tests d’intrusion et à la mise en œuvre de scénarios faisant intervenir des équipes rouges, décrits plus en détail ci-dessous.

Lors d’un test d’intrusion, une équipe de professionnels de la sécurité identifie les risques et les vulnérabilités associés à un système sur le réseau. Elle examine le réseau d’un point de vue extérieur pour repérer et exploiter ses vulnérabilités afin d’obtenir un accès non autorisé, de se déplacer sur le réseau pour s’octroyer des privilèges, et de voler des données sensibles. 

Les tests d’intrusion sont généralement axés sur la mise à l’épreuve de la sécurité d’un système spécifique à haute valeur. À la fin du test, l’équipe présente un rapport qui explique les étapes qu’elle a suivies, indique les éléments qu’elle a pu exploiter, répertorie les vulnérabilités et propose des mesures d’atténuation et des délais d’application. L’équipe bleue s’appuie ensuite sur ces recommandations pour améliorer la sécurité du système et vérifier si d’autres systèmes du réseau présentent des vulnérabilités similaires.

Les exercices mettant à l’œuvre une équipe rouge sont plus complets que les tests d’intrusion. Une équipe rouge effectue une attaque multicouche complète pour mesurer la résistance des collaborateurs et des processus de l’organisation face aux attaques, en plus de tester la sécurité traditionnelle du système. Une équipe de test d’intrusion peut envoyer un e-mail de phishing ou lancer une analyse pour trouver une vulnérabilité critique sur un système destiné à l’utilisateur final, tandis qu’un membre de l’équipe rouge est plutôt susceptible de donner une clé USB infectée par un logiciel malveillant à un réceptionniste ou de connecter un appareil malveillant à un port non sécurisé dans les locaux de l’organisation. À la fin de cet exercice, l’équipe rouge présente un résumé de la façon dont il s’est déroulé, qui indique de quelle manière il est recommandé de mettre à jour les politiques, les procédures ou les programmes de formation, en plus d’énoncer les correctifs techniques qu’il convient d’implémenter.

Ces tests de résistance sont une composante importante de l’arsenal de sécurité. Alors que des activités telles que l’analyse des vulnérabilités aident l’équipe bleue à repérer et à corriger les faiblesses de sécurité, les tests de résistance vérifient quant à eux la sécurité des systèmes, des réseaux et des organisations d’un point de vue extérieur. Un ingénieur en sécurité réseau peut être invité à fournir à l’une de ces équipes des informations sur le réseau ou les systèmes avant l’exercice, ou il peut remédier aux faiblesses repérées et recommander la mise en œuvre d’améliorations de sécurité supplémentaires. Ces exercices sont un excellent moyen d’alerter la direction sur les améliorations nécessaires et de susciter l’adhésion vis-à-vis de l’implémentation de solutions grâce à des conclusions validées par des tiers.

Conclusion

Vous connaissez maintenant l’importance d’exercer une surveillance complète de la sécurité du réseau pour détecter les intrusions, et vous avez découvert les outils courants que les ingénieurs en sécurité réseau utilisent pour atteindre cet objectif. Alors, quelles sont les responsabilités de l’ingénieur en sécurité réseau lorsqu’une intrusion est détectée ? Vous le découvrirez dans le module suivant. Vous souhaitez en savoir plus sur la cybersécurité ? Consultez le centre de formation sur la cybersécurité sur Trailhead. 

Ressources

Partagez vos commentaires sur Trailhead dans l'aide Salesforce.

Nous aimerions connaître votre expérience avec Trailhead. Vous pouvez désormais accéder au nouveau formulaire de commentaires à tout moment depuis le site d'aide Salesforce.

En savoir plus Continuer à partager vos commentaires