Besoin de connaissances en sécurité

La mise en place de sonde sécurité fait appel à de bonnes connaissances en sécurité. L'installation en elle-même des logiciels est à la portée de n'importe quel informaticien. En revanche l'exploitation des remontées d'alertes nécessite des connaissances plus pointues. Les interfaces fournissent beaucoup d'informations, et permettent des tris facilitant beaucoup le travail, mais l'intervention humaine est toujours indispensable. A partir des remontées d'alertes, quelle mesure prendre ? Est-il utile de relever des alertes dont toutes les machines sont protégées (attaques sur MSSQL sur un réseau ayant que du MySQL) ? Comment distinguer un faux-positif d'un véritable incident de sécurité ? Par exemple un nombre important de icmp-redirect peut être le signe d'une attaque de type "homme du milieu", mais aussi d'un routage mal configuré.

La configuration, et l'administration des IDS nécessitent beaucoup de temps, et de connaissances. C'est un outil d'aide, qui n'est en aucun cas complètement automatisé.