II.2.2 L'antivirus
L'antivirus peut être installé à
plusieurs niveaux : sur des serveurs de fichiers, sur le poste de travail ou
sur une passerelle de mails. Sans mises à jour, son efficacité
est quasiment nulle. Il faut veiller à ce qu'il soit actif en permanence
afin de détecter un virus dès l'ouverture d'un fichier.
La plupart des antivirus sont basés sur l'analyse de
signature des fichiers, la base des signatures doit donc être très
régulièrement mise à jour sur le site de l'éditeur
(des procédures automatiques sont généralement possibles).
Deux modes de protection:
· Généralisation de l'antivirus sur toutes
les machines, il faut absolument prévoir une mise à jour
automatique de tous les postes via le réseau.
· Mise en place d'un antivirus sur les points
d'entrée/sortie de données du réseau après avoir
parfaitement identifiés tous ces points. La rigueur de tout le personnel
pour les procédures doit être acquise.
II.2.3 Le système de détection
d'intrusion
Le système de détection des intrusions
(IDS) est un logiciel ou un matériel qui automatise des
surveillances et les processus analysés pour surveiller la circulation
des paquets sur le réseau, et ça pour savoir qui essaye
d'attaquer le réseau. Il a pour rôle d'identifier une intrusion et
de l'annoncer. Le système de prévention d'intrusions (IPS) est un
outil de défense proactif contre les attaques actives visant les
ordinateurs et les réseaux.
L'exemple typique d'un IDS est le SNORT qui est un open
source du système de détection des intrusions de réseau.
Il est capable d'analyser le trafic sur le réseau en temps réel
et des paquets circulant sur le réseau IP. Il peut exécuter
l'analyse de protocole, et peut être employé pour détecter
une variété d'attaques.
II.2.4 Le système de prévention
d'intrusion
Le système de Prévention d'intrusion
(IPS ou Intrusion Prevention System) a pour but
d'empêcher des intrusions attaquant au moment qu'elles arrivent. Il
permet de prendre des mesures afin de diminuer les impacts d'une attaque. C'est
un IDS actif, il détecte un balayage automatisé, l'IPS peut
bloquer les ports automatiquement. Les IPS peuvent donc parer les attaques
connues et inconnues.
Les IPS ne sont pas des logiciels miracle qui vous permettront
de surfer en toute quiétude sur le net. Voici quelques-uns de leurs
inconvénients :
Ø Ils bloquent tout ce qui parait infectieux à
leurs yeux, mais n'étant pas fiable à 100% ils
peuvent donc
bloquer malencontreusement des applications ou des trafics légitimes.
Ø Ils laissent parfois passer certaines attaques sans
les repérer, et permettent donc aux pirates d'attaquer un PC.
Ø Ils sont peu discrets et peuvent être
découverts lors de l'attaque d'un pirate qui une fois qu'il aura
découvert l'IPS s'empressera de trouver une faille dans ce dernier pour
le détourner et arriver à son but.
Ø Ils peuvent faire des fausses alertes en raison des
similitudes entre l'information valide et des attaques malveillantes.
| 
