Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 10 au 12 juin 2003.

Détection des intrusions dans les systèmes d'information : la nécessaire prise en compte des caractéristiques du système surveilléLudovic Mé


Date : 11 juin 2003 à 14:15 — 45 min.

Pourtant, bien qu'assez largement étudiées depuis 20 ans, les approches classiques de la détection d'intrusions tardent à prouver leur efficacité opérationnelle. Les intrusions ne sont-elles pas toujours de plus en plus nombreuses ? Le nombre d'incidents de sécurité rapportés annuellement au CERT/CC n'incite pas à l'optimisme. Dès lors, que manque-t-il aux IDS actuels ? Selon nous, une information tout à fait fondamentale : la vision de l'environnement dans lequel il sont placés. Nous présentons ici des travaux dont l'objectif est d'apporter une telle vision, tant au niveau du manager qu'à celui des sondes. La corrélation d'alerte au niveau des managers nous semble indispensable à la résolution de certains des problèmes actuels de la détection d'intrusions, tels que le taux élevé de faux positifs ou la pauvreté du diagnostic porté par les alertes. Pour cela, le mécanisme de corrélation doit être capable de tenir compte des caractéristiques du système d'information surveillé (topologie, type de machines et de services, failles connues, politique de sécurité). C'est tout l'objet du travail que nous conduisons autour du modèle M2D2 et de son exploitation. Au niveau des sondes également, le contexte est important. Parmi les éléments de contexte, ceux liés à la politique de sécurité nous semble essentiels. En effet, et de manière assez paradoxalement alors que la définition accepté par tous du terme « intrusion » est « toute violation de politique de sécurité », les sondes de détections actuelles ne tiennent aucunement compte de cette politique. Nous pensons que c'est une erreur. En outre, nous pensons que c'est au niveau du système d'exploitation et au moment où les violations de politique se produisent, qu'il faut détecter les dites violations, et éventuellement les empêcher (concept d'intrusion prevention). Ces deux observations ont motivé notre travail sur les flux de références.