Regain d’intérêt pour la détection d’intrusions

Cloud

Coup sur coup, l’éditeur Network Associates a acquis deux éditeurs de logiciels de détection d’intrusions. Ces outils interviennent lorsque les barrières de protection ont failli et qu’un intrus s’est infiltré dans le système d’informations. Ils sont l’ultime chance d’éviter un piratage.

Editeur spécialiste de la sécurité informatique, Network Associates vient de débourser en quelques jours plus de 200 millions de dollars afin de se renforcer dans les logiciels de détection d’intrusions ou IDS (Intrusion detection softwares). L’éditeur a d’abord réalisé, le 1er avril, l’acquisition d’IntruVert Networks puis, trois jours plus tard, celle d’Entercept Security Technologies. La fonction des outils de détection d’intrusions est de pallier les éventuelles défaillances des pare-feu et des mécanismes d’authentification. Placés au niveau du réseau de l’entreprise, les IDS ont pour mission de détecter tout comportement anormal ou trafic suspect. Très logiquement, ils sont apparus historiquement après les firewalls qui, de fait, ne se sont pas révélés fiables à 100 %. Les IDS ont d’abord fait leur apparition dans les organismes très sensibles aux problèmes de sécurité – laboratoires de recherche, instances gouvernementales et militaires – avant d’équiper les réseaux des entreprises à partir des années 2000.

Deux familles d’IDSIl existe deux grandes familles d’IDS, classées selon leur mode de conception : comportemental ou basé sur des scénarios d’intrusion. La première étudie, comme son nom l’indique, le comportement des utilisateurs et s’appuie pour cela sur les fichiers d’événements générés par les applications et les systèmes d’exploitation, afin d’y repérer toute anomalie. Ce peut être, par exemple, un salarié qui cherche à utiliser une application alors qu’il n’en a pas les droits. Plus généralement, toute utilisation inhabituelle d’une application ou ressource, au regard d’une politique préalablement définie, sera détectée. Certains outils comportementaux sont en outre dotés d’un système expert d’apprentissage leur conférant une capacité d’apprentissage. L’autre famille d’outils s’installe au niveau du réseau dont elle analyse en permanence le trafic à la recherche d’un scénario – ou signature – connu de piratage. D’un fonctionnement similaire aux antivirus, ces outils repèrent uniquement les attaques déjà répertoriées dans leur base de signatures. Bien évidemment, ces deux types d’outils IDS ne s’excluent pas mutuellement et sont bien souvent utilisés en parallèle.

Un secteur convoitéSans grande surprise, IntruVert Networks et Entercept Security Technologies fournissent respectivement des outils comportementaux et des outils d’analyse du trafic, permettant à Network Associates de couvrir tout le champ de l’IDS. L’éditeur avait déjà fait une incursion sur ce marché il y a deux ans, avant de céder cette activité afin de se recentrer sur le segment des antivirus. Il s’y est intéressé à nouveau récemment via un partenariat conclu avec un spécialiste de ce domaine, Internet Security Systems (ISS). Partenariat qui, du fait de ses deux acquisitions, est désormais caduc. Il s’agit en outre pour Network Associates de compléter son portefeuille d’applications afin de se positionner comme interlocuteur unique des entreprises pour leurs problèmes de sécurité informatique, à l’instar d’un Symantec. Network Associates n’est pas le seul à s’intéresser à la détection d’intrusions. Depuis quelques mois, les acquisitions se multiplient : Cisco a ainsi racheté en janvier dernier pour 153 millions de dollars un spécialiste, Okena. Le montant de ces acquisitions souligne le potentiel de ce marché. Estimé à 249 millions de dollars en 2002 par le Gartner, il pourrait atteindre, selon IDC, 1 milliard de dollars d’ici à 2005.