Où interviennent les IDS dans une politique de sécurité ?

Suivant le découpage précédent, nous pouvons dire que la protection des IDS intervient dès l'apparition de la faute (ou début d'attaque). Certains IDS peuvent répondre à cette attaque automatiquement (contre-attaque directe, changement du routage, ping hole, ...) ce qui permet de bloquer immédiatement l'attaque. Cependant, la plupart des IDS ne font que remonter une alerte, et la réussite d'une attaque dépendra alors du temps de réaction du responsable sécurité.

Rapidement, nous pouvons définir au-moins 2 types d'analyses réalisées par les IDS (cela sera explicité dans le détail dans la suite de ce rapport) :

• par étude comportementale (la secrétaire se met tout-à-coup à programmer en assembleur),
• par étude de correspondance à un scénario préalablement défini.

Que ce soit la première ou la deuxième solution, un IDS ne protège pas plus particulièrement l'intégrité des données, la disponibilité des services, ou encore la confidentialité des informations. Un aspect de la sécurité n'est pas plus prioritaire qu'un autre.

Au niveau organisationnel, nous pouvons intégrer les IDS au sein de :

la sécurité réseau : puisque l'IDS va protéger des attaques venant ou transitant sur le réseau;

la veille technologique : puisque la mise-à-jour des règles, et la surveillance des alertes sont liées directement à l'efficacité de l'IDS.