La modularité des filtres sur les managers permettent même d'aller plus loin. En effet, rien ne nous empêche de positionner plusieurs managers comme dans le site vert, afin qu'un premier manager n'affiche que les alertes vertes, un autre que les alertes oranges, et ainsi de suite. Pour le moment cette gestion ne peut pas se faire sur les sondes, mais c'est actuellement en discussion sur la mailling liste de Prelude (nous avons soumis l'idée et les développeurs semblent intéressés mais la question est de savoir comment faire, et si cela ne serait pas trop difficile à implémenter). Ce partage entre plusieurs managers permet de rediriger les alertes vers différentes personnes, suivant leurs niveaux de compétences. Nous pourrions rediriger les alertes vertes vers un technicien, les alertes oranges vers un ingénieur réseau, et les alertes rouges vers un ingénieur expert sécurité. Nous reproduirions alors les niveaux supports, au niveau de la maintenance sécurité : support de niveau 1, puis si le problème persiste nous passons au niveau 2, etc. Ici, il y aurait en plus la possibilité pour une alerte d'arriver directement au niveau 2 ou 3, suivant sa gravité (réseau très sensible à ce type d'attaque, alertes rouges, ...).
Enfin, une dernière possibilité serait de combiner le traitement des alertes par un manager sur chaque site mais, dans le même temps, remonter les alertes vers un autre manager qui centraliserait ainsi les alertes de TOUT le réseau informatique de l'organisme (pour réaliser un historique par exemple).
Avantages/Inconvénients :
Il n'est plus question ici de surveillance d'un petit réseau, mais de l'intégration des IDS dans une politique de sécurité globale de l'organisme. Les traitements séparés avec plusieurs niveaux d'intervention montrent que la sécurité n'est pas que technique mais aussi organisationnelle.
L'avantage de cette solution est donc de s'intégrer totalement dans une politique de sécurité, ce qui induit qu'il est nécessaire d'avoir une organisation de la sécurité stable, et bien définie.