Présentation

Avant de présenter l'étude de l'outil Prelude-IDS, ou des Systèmes de Détection d'Intrusions de manière plus générale, nous allons présenter notre vision de la sécurité. Nous pouvons découper le domaine de la sécurité de la façon suivante :

• La sécurité logicielle qui gère la sécurité du Système d'Information au niveau logiciel, et qui intègre aussi des protections logicielles comme les antivirus.
• La sécurité du personnel qui comprend la formation et la sensibilisation des personnes utilisant ou travaillant avec le Système d'Information.
• La sécurité physique qui regroupe la politique d'accès aux bâtiments, la politique d'accès au matériel informatique, et les règles de sécurité pour la protection des équipements réseaux actifs et passifs.
• La sécurité procédurale définit les procédures et les règles d'utilisation du Système d'Information.
• La sécurité réseau où sont gérés l'architecture physique et logique du réseau, les politiques d'accès aux différents services, la gestion des flux d'informations sur les réseaux, et surtout les points de contrôles et de surveillance du réseau.
• La veille technologique qui est souvent oubliée et qui permet de faire évoluer la sécurité au cours du temps afin de maintenir un niveau de protection du système d'information suffisant.

Après avoir vu le découpage organisationnel de la sécurité, intéressons-nous aux objectifs. Une bonne politique de sécurité doit préserver les aspects de :

• Disponibilité : c'est-à-dire fournir l'accès à l'information pour que les utilisateurs autorisés puissent la lire ou la modifier. Ou encore faire en sorte qu'aucune personne ne puisse empêcher les utilisateurs autorisés d'accéder à l'information.
• Confidentialité : c'est-à-dire empêcher les utilisateurs de lire une information confidentielle (sauf s'ils y sont autorisés). Ou encore, empêcher les utilisateurs autorisés à lire une information, de la divulguer à d'autres utilisateurs (sauf autorisation).
• Intégrité : c'est-à-dire empêcher une modification (création, mise à jour, ou destruction) indue de l'information. Ou encore faire en sorte qu'aucun utilisateur ne puisse empêcher la modification légitime de l'information.

Il existe des sous-définitions comme l'intimité qui est un cas particulier de la confidentialité, ou encore la non-répudiation ou la pérennité...

Toute entrave à la sécurité peut être modélisée de la façon suivante :

CAUSE                            ETAT                            SERVICE
Faute ----------------------- ->Erreur --------------------- ->Défaillance

• FAUTE : Cause adjugée ou supposée d'une erreur.
• ERREUR : Au moins une partie du système suit un comportement erroné, susceptible d'entraîner une défaillance.
• DEFAILLANCE : Le service délivré par le système dévie du service spécifié. L'incident de sécurité est arrivé à son terme.

Afin de garantir une sécurité suffisante, il faut que toute attaque soit bloquée pendant l'une des 3 phases (et surtout avant la fin de la troisième). Généralement, plus on se rapproche de la défaillance, plus le problème sera difficile et long à résoudre ... et que l'on se rapproche de la réussite de l'attaque.