Systèmes de détection et de prévention des intrusions IDPS

Votre IDPS est-il bien configuré? 10 questions à poser à votre équipe

De nouvelles réglementations, telles que le règlement général sur la protection des données (RGPD), ont incité les organisations à faire des systèmes de détection et de prévention des intrusions (PDI) un incontournable de leurs stratégies de sécurité. Voici ce que vous devez savoir pour protéger vos données.

Il faut en moyenne 191 jours à une entreprise pour détecter une violation.

Si vous ne détectez pas les intrusions avant ou au moment où elles se produisent, les cybercriminels peuvent passer des mois à siphonner vos données. Plus les pirates passent de temps sur votre réseau, plus il est difficile de réparer les dommages.

Une violation de données typique coûte 3,86 millions de dollars à une entreprise et prend 69 jours à contenir, selon IBM.

Vos coûts peuvent inclure tout, des ressources nécessaires pour réparer les lacunes dans vos systèmes de sécurité à l’impact continu des dommages à la marque, en particulier la perte de confiance des clients et des actionnaires.

Mais à mesure que les cybercriminels deviennent plus sophistiqués, il devient de plus en plus difficile de prévenir les brèches.

Ce n’est pas une question de savoir si vous serez attaqué, mais de quand et à quelle fréquence.

Comment arrêter les menaces net

De plus en plus d’organisations utilisent des systèmes de détection et de prévention des intrusions (PDI) pour réduire leur risque de violation de données.

Le National Institute of Standards and Technology (NIST) définit la détection d’intrusion comme « le processus de surveillance des événements survenant dans un système ou réseau informatique et de leur analyse à la recherche de signes d’incidents possibles, qui sont des violations ou des menaces imminentes de violation des politiques de sécurité informatique, des politiques d’utilisation acceptable ou des pratiques de sécurité standard. »

Selon le NIST, combiner la détection et la prévention des intrusions en un seul système sert deux objectifs :

  1. Automatiser le processus de détection d’intrusion
  2. Empêcher les incidents possibles

IDPS comprend une combinaison d’appareils matériels et de logiciels que vous pouvez installer sur un serveur ou un pare-feu. Une fois installé, il surveille votre réseau et recherche des schémas d’activité anormaux pouvant indiquer une attaque. Il le fait en consultant une bibliothèque régulièrement mise à jour de vulnérabilités connues et en comparant votre trafic à une base pré-calculée.

Pendant ce temps, ses systèmes de prévention bloquent automatiquement les menaces potentielles. Par exemple, un IDPS peut bloquer le trafic provenant d’une adresse IP malveillante et vous alerter de l’activité. Non seulement un PDI minimisera votre risque de violation de données, mais il vous donnera aussi une meilleure visibilité sur vos systèmes.

La plus grosse erreur IDPS (et 10 questions à poser avant de tout donner)

Les entreprises investissent souvent des millions dans un PDI pour découvrir – des mois, voire des années plus tard – que cela ne fonctionne pas.

Mais installer cette technologie ne signifie pas que vous êtes protégé.

Un PDI, c’est comme un chien de garde. Vous pensez peut-être qu’il surveille vos données, mais en réalité, vous avez une maison vide sans le chien. Ce n’est pas parce que tu crées un IDPS que la technologie fonctionne et te protège.

Il y a 10 questions que vous devez poser pour vous assurer que votre PDI protège réellement votre réseau.

  1. À quelle fréquence vérifiez-vous vos déplacés internes?

Un PDI, ce n’est pas du genre à le mettre en place et à oublier. Vous devez le vérifier quotidiennement pour confirmer qu’il surveille vos systèmes 24h/24, 7j/7.

    • Quand avez-vous regardé vos déplacés déplacés pour la dernière fois?
    • À quelle fréquence le testez-vous pour vérifier qu’il protège votre entreprise? 
  1. Combien d’intrusions avez-vous eues au cours des 30 derniers jours?

La plupart des professionnels de la sécurité ne savent pas combien d’événements ils ont eu le mois dernier. Mais sans cette information, vous mettez votre organisation en danger.

Vérifiez vos IDPS pour voir combien d’événements il a détourné votre réseau au cours du dernier trimestre. Si vous avez plus de 300 employés, vous devriez trouver au moins un événement par trimestre. Si tu ne vois rien, c’est qu’il y a une mauvaise configuration.

Vérifiez aussi si des événements d’intrusion ont mené à des résultats notables.

  1. À quelle fréquence votre IDPS est-il mis à jour et comment extraisez-vous vos définitions?

 Même si votre IDPS se met à jour régulièrement, il peut ne pas obtenir les dernières définitions.

J’ai vu des systèmes qui se mettent à jour tous les jours mais qui retirent des définitions datant de trois ans. Votre système peut indiquer qu’il est « à jour dans les 24 heures ». Mais cela ne veut rien dire s’il réapplique les mêmes définitions qu’il utilise depuis des années.

Est-ce que votre PDI utilise les dernières définitions? Il se peut que ce ne soit pas évident si votre IDPS est mal configuré.

  1. Pour quoi avez-vous actuellement des licences et qu’est-ce qui est réellement activé dans votre système?

Les modèles de licences IDPS peuvent être complexes et trompeurs. Par conséquent, vous pourriez penser que vous avez les bons permis alors que ce n’est pas le cas.

Comment cela arrive-t-il?

Beaucoup d’équipes de sécurité achètent un IDPS pour respecter une norme d’audit et confient l’achat à quelqu’un qui n’est pas expert en technologie. L’acheteur peut choisir la version la moins chère juste pour réussir un audit – même s’il ne sait pas ce qu’il obtient.

Puis, des mois plus tard, ils se rendent compte qu’ils n’ont pas les permis appropriés et que leur PDI ne fait aucune inspection. Avec ces systèmes, vous devez accorder des licences spécifiques comme le filtrage d’URL, les signatures IDPS et les signatures DNS. Toutes ces licences sont déroutantes et difficiles à suivre.

Vérifiez vos PDI pour vous assurer que vous avez les permis appropriés et que votre système effectue des inspections. 

  1. Quel est le débit actuel de vos IDPS?

Si votre équipe de réseautage ne peut pas répondre à cette question, cela montre qu’elle n’utilise jamais la technologie.

Connaître le débit de votre IDPS, c’est comme connaître le kilométrage de votre voiture. Suivre ce chiffre vous aide à rester informé de la santé de vos systèmes et de votre réseau.

Ton équipe devrait avoir une idée générale de ton débit actuel et de ses tendances au cours du dernier trimestre. Avez-vous constaté une augmentation des menaces au cours des dernières semaines ou mois?

Pour vérifier votre débit, il suffit d’ouvrir un écran de statut dans votre logiciel IDPS. Si le nombre est 0, votre système ne fonctionne pas.

  1. Vos polices IDPS s’annulent-elles mutuellement?

Si les politiques que vous appliquez à vos appareils IDPS se chevauchent, elles peuvent s’annuler mutuellement. Par exemple, si vous redéfinissez un objet pré-filtre, il peut contourner toutes vos politiques existantes. Ensuite, vos appareils ne fonctionneront plus.

Testez chaque politique pour vous assurer qu’elles ne se chevauchent pas et ne bloquent pas leur propre fonctionnement. Est-ce que certaines de vos polices s’emportent les unes sur les autres? Et vos politiques et paramètres de configuration pré-filtrés permettent-ils une inspection complète de votre solution IDPS?

  1. Votre solution IDPS est-elle au sommet du quadrant magique de Gartner ou vérifiée par des analystes?

Il est important de choisir un IDPS de premier ordre qui a été vérifié par les analystes.

Si jamais vous devez défendre votre stratégie de détection d’intrusion devant les tribunaux, vous devez prouver que vous utilisez l’un des meilleurs produits IDPS sur le marché et que vous avez fait les meilleurs efforts pour protéger vos données clients. C’est difficile de se défendre si vous avez acheté de la technologie non éprouvée ou à rabais.

  1. Qui est responsable de vos PDI?

Beaucoup de directeurs de l’information (DSI) n’ont pas d’équipe de sécurité dédiée. Ils demandent donc à leur équipe de réseautage de s’occuper des IDPS et peuvent confier la tâche à un ingénieur junior.

Ensuite, l’équipe de réseautage ne reçoit aucune alerte. Comme tout est calme, ils supposent que le PDP fonctionne bien.

Pas de nouvelles, ce n’est pas de bonnes nouvelles. Si vous ne recevez pas d’alertes, votre IDPS ne fonctionne pas.

  1. Avez-vous une équipe dédiée assignée à vos PDI?

Vous tirerez le plus de valeur de vos IDPS lorsque vous assignerez une équipe dédiée pour s’en occuper. Les équipes réseau, c’est comme des électriciens qui peuvent faire passer des fils et démarrer le courant. Mais si vous voulez redessiner votre réseau électrique, vous ferez appel à un ingénieur électricien.

Une technologie de sécurité complexe, comme un IDPS, nécessite une équipe expérimentée et dévouée.

  1. Quel est votre budget de sécurité et combien avez-vous consacré aux déplacés internes?

Lorsque vous planifiez votre budget de sécurité, envisagez de confier la gestion de votre IDPS à un partenaire.

IDPS est un candidat idéal pour l’externalisation, car il est plus rentable de travailler avec un partenaire que d’engager un expert interne. Le salaire d’un analyste en cybersécurité possédant des compétences en détection d’intrusion peut atteindre 120 000 $ par année.

Votre partenaire IDPS veillera à ce que votre système critique soit surveillé 24h/24, mis à jour en continu et toujours fonctionnel. Ils peuvent offrir une variété de services, selon votre environnement et vos besoins, comme la surveillance sur site, dans le nuage ou une version hybride. Dans de nombreux cas, l’administration des PDI peut être effectuée entièrement à distance.

Un partenaire peut aussi vous aider à démarrer rapidement. Si votre équipe n’a pas d’expérience en IDPS, cela peut vous prendre des mois pour commencer et tester toutes vos politiques. Un partenaire expérimenté peut installer et configurer vos IDPS en environ 10 heures. Ils peuvent aussi compléter vos tests en quelques semaines – pas en mois.

Est-ce que votre PDI fait son travail?

Si vous ne pouvez pas répondre aux questions ci-dessus (ou si vous n’êtes pas satisfait de vos réponses), votre IDPS ne fonctionne probablement pas.

Puisque gérer cette technologie complexe peut imposer un énorme fardeau aux équipes TI qui manquent de temps, cherchez un fournisseur de solutions capable de gérer vos PDI. Un partenaire de sécurité peut configurer votre système en une fraction du temps que vous prendriez à l’interne, tout en vous offrant une protection continue et de haute qualité.

Est-ce que votre PDI fait son travail? Ou gaspillez-vous des millions dans des technologies non fonctionnelles qui vous mettent en danger?

Téléchargez la liste de vérification de configuration IDPS pour découvrir les étapes exactes à suivre pour bloquer les menaces et garder vos données hors de portée des cybercriminels.