Extrait du document

En se basant sur les études et enquêtes menées à travers le monde, on se rend bien compte qu’il devient de plus en plus compliqué de garantir la sécurité des systèmes d’informations. Cette situation qui est essentiellement due à la multiplication inquiétante des menaces en matière de sécurité informatique s’explique par la prolifération des outils permettant de réaliser les attaques informatiques et par la décroissance continue du niveau de connaissance nécessaire pour l’utilisation de ces outils. Face à cette situation, de nouvelles solutions et mesures de sécurité n’ont pas aussi cessé de voir le jour et de se proliférer.

Cependant le problème qui se pose toujours c’est de savoir comment mettre en place ces mesures et solutions de sécurité efficacement afin de réellement protéger les systèmes d’information car le fait de juxtaposer et de multiplier les solutions de sécurité sans analyser au préalable leur compatibilité et leurs objectifs respectifs n’a jamais été une solution fiable. Dans ce contexte, les stratégies de sécurité dont l’implémentation se traduit par la définition et la mise en application d’une politique de sécurité constituent le meilleur moyen d’atteindre les objectifs de la sécurité informatique.

Malheureusement, on se rend bien compte aujourd’hui que malgré toutes les mesures et stratégies de sécurité qu’on peut mettre en place, les systèmes d’informations restent néanmoins vulnérables à certaines attaques ciblées ou à des intrusions. C’est pourquoi depuis quelques années, les experts de la sécurité parlent de plus en plus d’un nouveau concept à savoir la détection d’intrusion. L’étude de la détection d’intrusion nous permettra de mieux comprendre les systèmes de détection et de prévention d’intrusions et de voir comment ils arrivent à renforcer la sécurité en fermant les trous de sécurité laissés par les mesures classiques de sécurité.

> Retrouvez tous les cours d'informatique.

Plan du document :

Chapitre 1 : Evolutions de la sécurité informatique

     1. Evolution de l'informatique
     2. Les menaces en matière de sécurité informatique
     3. Les solutions en matière de sécurité informatique
     4. Etat des lieux de la sécurité informatique dans le monde

Chapitre 2 : Les stratégies de sécurité des systèmes d’information

     1. Définition et concepts des stratégies de sécurité
     2. Mise en place d'une démarche sécuritaire
     3. Cas pratiques d'une démarche sécuritaire au sein d'une PME

Chapitre 3 : Les systèmes de protection contre les intrusions

     1. Situation de la sécurité des systèmes d'information dans la sous-région Ouest africaine
     2. Concepts des systèmes de protection contre les intrusions
     3. Typologies et familles des systèmes de protection contre les intrusions
     4. Limites des systèmes de protection contre les intrusions
     5. Etudes comparatives de quelques systèmes de protection contre les intrusions
     6. Présentation de Snort, SnortSAM et de BASE

Conclusion

Chapitre 1 : Evolutions de la sécurité informatique

1. Evolutions de l'informatique

L'informatique peut-être définie de manière classique comme la science du traitement automatique et rationnelle de l'information. Son outil par excellence est l'ordinateur. L'informatique a connu des évolutions et parfois des révolutions qui se sont succédé au cours des années. 

L'ère des ordinateurs modernes a commencé avec le développement de l'électronique au cours de la Seconde Guerre mondiale, ouvrant ainsi la porte à la réalisation concrète de machines opérationnelles. Au même moment, le mathématicien Alan Turing théorisait le premier sur la notion d’ordinateur, avec son concept de machine universelle. L'informatique est donc une science des temps modernes, même s'il trouve ses origines dans l'antiquité (avec la cryptographie) ou dans la machine à calculer de Blaise Pascal, au XVIIe siècle. Ce n'est qu'à la fin de la Seconde Guerre mondiale qu'elle a été reconnue comme une discipline à part entière et a développé des techniques et des méthodes qui lui étaient propres.

Dans les années 40, un ordinateur occupait une place gigantesque et était très fréquemment soumis à des pannes. En 1947, l’invention des semi-conducteurs a permis de réaliser des ordinateurs plus petits et d’une plus grande fiabilité. Dans les années 50, les grandes organisations commencèrent à utiliser de gros ordinateurs de gestion fonctionnant avec des programmes sur cartes perforées. Puis à la fin des années 50, les circuits intégrés qui combinaient quelques transistors sur une petite puce firent leur apparition. Les années 60 virent l’utilisation massive des systèmes d’ordinateurs centraux desservant des terminaux.

Au début des années 70, le premier microprocesseur, l’Intel 4004 faisait son apparition. Il permettait d'effectuer des opérations sur 4 bits simultanément. En 1981, IBM commercialise le premier « PC » composé d'un processeur 8088 cadencé à 4.77 MHz.

Actuellement, il est très difficile de suivre l'évolution des microprocesseurs. En effet, cette évolution suit la loi de Moore qui fut énoncée en 1965 par Gordon Moore, cofondateur d'Intel qui veut que le nombre de transistors sur un processeur double tous les deux ans, augmentant ainsi ses performances. Intel est déjà arrivé à mettre jusqu’à 1,7 milliard de transistors sur une puce de 65 nm (Montecito). Pour comparaison, le fameux Pentium 4 (3,4 GHz) qu’on a tant décrié était en fait une puce de 90 nm avec seulement 125 millions de transistors. Aujourd’hui, Intel réussi à réduire la taille des puces à 45 nm.

La miniaturisation des composants et la réduction des coûts de production, associées à un besoin de plus en plus pressant de traitement des informations de toutes sortes (militaires, scientifiques, financières, commerciales, etc.) ont entraîné une diffusion de l'informatique dans tous les secteurs d’activités humaines. Quant à l’Afrique, ce n’est que dans les années 1980 qu’elle a vu le début du développement de l'informatique.

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

2. Les menaces en matière de sécurité informatique

Le concept de la sécurité informatique et de l’Internet n’a cessé de changer de visage et de dimension au même titre que l’évolution des technologies ; au cours des années 1940, la notion de sécurité informatique était essentiellement axée sur des aspects physiques. Il suffisait de sécuriser l’accès physique à l’ordinateur central (Mainframe), aux terminaux et aux médias de connexion pour empêcher tout accès aux individus non autorisés. Il était d’autant plus facile de garantir la sécurité des données puisqu’on pouvait déterminer à l’avance toutes les portes d’accès possibles et développer sa stratégie de sécurité.

La sécurité des réseaux a toujours été une préoccupation. Il a toujours existé des entités décidées à mener des actions peu recommandables à l’égard des systèmes.

Le nombre d’incidents de sécurité rapportés au Computer Emergency Response Team Coordination Center (CERT) augmente chaque année de façon exponentielle. Moins de 200 en 1989, environ 400 en 1991, 1400 en 1993 et 2241 en 1994. Au cours de la décennie 1988- 1998 le nombre d’incidents rapportés atteignit les 16.096. Ils se produisent sur les sites gouvernementaux et militaires, parmi les grosses compagnies, dans les universités et dans les petites entreprises. Certains incidents n’impliquent qu’un seul compte sur un système, tandis que d’autres peuvent impliquer plus de 500 000 systèmes à la fois. Ces nombres ne sont bien sûr que la partie émergée de l’iceberg. De nombreuses intrusions ou violations de sécurité ne sont souvent pas déclarées au Centre de Coordination du CERT ou aux autres organisations de réponse aux incidents de sécurité. Dans certains cas c’est parce que les organisations victimes préfèrent éviter toute publicité ou accusation d’imprudence, dans d’autres cas c’est parce que les intrusions ne sont même pas détectées. On ne peut estimer le nombre d’intrusions réellement détectées par les sites attaqués, mais la plus grande partie de la communauté des experts en sécurité informatique pense qu’il ne s’agit que d’un faible pourcentage. Bill Chestwick, des AT&T Bell Labs, pense que sur les attaques réussies, au moins 40% des attaquants accèdent à un compte super-utilisateur (source Firewalls Digest, 31 mars 1995).

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

3. Les solutions en matière de sécurité informatique

Les contrôles physiques n'assurent qu'une protection limitée des données et des ressources ; d'autres sytèmes et outils comme ceux de la figure l-12 sont primordiaux pour la réalisation de la sécurité logique des données et des ressouces. 

On retrouve dans ce graphe les antivirus et les pare-feu (firewall) en tête de liste du classement des mesures de sécurité les plus utilisées en 2007 selon les auteurs du rapport 2007 du Global Security Survey [GLO 07]. Toutes ces mesures de sécurité présentées dans ce graphe visent à garantir les services de sécurité que nous allons expliciter dans la sous section suivante.

Plus loin dans la troisième partie de ce document, nous nous intéresserons aux systèmes de surveillance et de protection contre les intrusions afin de mieux comprendre leur fonctionnement et les avantages qu’ils peuvent procurer aux entreprises dans une stratégie à long terme.

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

4. Etat des lieux de la sécurité informatique dans le monde

Pour mieux prendre conscience de la problématique de la sécurité informatique et de l’Internet, les chercheurs se basent souvent sur des études, recherches de laboratoire, enquêtes et constats des centres spécialisés dans la collecte des informations concernant l’informatique et son évolution.

Le Computer Crime and Security Survey (CCSS-CSI) réalise chaque année un des sondages les plus pertinents aux Etats-Unis au sujet des problèmes menaçant la sécurité informatique. Elle mène ses recherches auprès des organismes gouvernementaux, institutions civiles, multinationales, universités, hôpitaux etc. Le 12ème sondage annuel du CSI en collaboration avec le Federal Bureau of Investigation (FBI) a fourni des chiffres et statistiques alarmants sur l’état de la sécurité informatique et de l’Internet en ce qui concerne l’année 2007.

Le Global Security Survey, une autre étude non moins intéressante émane du « It Risk Management And Security Services » du Groupe « Global Financial Services Industry (GFSI)». Ce groupe appartient au cabinet d’audit et de conseil britannique « Deloitte Touche Tohmatsu (DTT) ». Les domaines d’activité de cette multinationale sont l’audit, le juridique, la finance, l’expertise comptable, la certification, la fiscalité, la consultation en gestion et les conseils financiers. Il possède plus de 150 000 collaborateurs dans le monde avec un chiffre d’affaire s’élevant à 23,1 milliards de dollars pour l’exercice 2006-2007. Ce groupe est présent à travers 69 firmes dans 142 pays à travers le monde. Le Club de la Sécurité de l’Information Français (CLUSIF) aussi réalise chaque année un rapport intitulé « les menaces et les pratiques de sécurité ». Le rapport 2008 du CLUSIF a concerné 354 entreprises de plus de 200 salariés, 194 collectivités locales et 1139 individus issus du panel d'internautes de l'institut spécialisé Harris Interactive.

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

Chapitre 2 : Les stratégies de sécurité des systèmes d’information

Les principales préoccupations des acteurs de la sécurité sont relatives à l’appréhension globale de la maitrise des risques technologiques et informationnels via une approche intégrative et évolutive, tenant compte des facteurs d’ordre humain, technologique, économique et politique des questions de sécurité.

Entre besoins et solutions de sécurité, entre facilité d’utilisation et efficacité des solutions de sécurité, entre délais de disponibilité de solutions efficaces et coûts de développement et d’intégration, entre niveau de sécurité et coûts des solutions, l’équilibre à trouver passe par un compromis. Ce dernier, résultat émanant du choix consistant à privilégier un facteur au détriment d’autres. Un équilibre est à obtenir entre les besoins de sécurité et les dimensions financières et humaines de la mise en œuvre opérationnelle des solutions de sécurité viables. Le niveau de sécurité des infrastructures résulte donc d’un compromis entre trois principaux facteurs : le coût, le niveau de sécurité et le temps de livraison. Il est illusoire de croire que ces trois facteurs pourraient être satisfaisants simultanément. Des choix doivent être effectués pour déterminer le facteur à favoriser et à partir duquel, les deux autres devront être adaptés.

La sécurité informatique d’une organisation doit s’appréhender d’une manière globale. Elle passe par la définition d’une stratégie de sécurité qui se traduit par une politique de sécurité. Cette dernière comportera la motivation et la formation du personnel, la mise en place de mesures ainsi que par l’optimisation des solutions. L’utilisation d’outils ou de technologies de sécurité ne peut pas résoudre les problèmes de sécurité d’une organisation. En aucun cas, elle ne se substitue à une gestion cohérente de l’ensemble des problèmes de sécurité.

L’abandon des politiques de sécurité « alibi » qu’on rédige juste pour se donner bonne conscience, et l’évolution vers des pratiques concrètes réellement élaborées dans les processus de gestion de l’information, voila donc le défit des années futures.

1. Définitions et concepts des stratégies de sécurité

L'objet de la sécurité peut se définir comme une contribution à la préservation des forces, des moyens organisationnels, humains, financiers, technologiques et informationnels, dont s'est dotée une organisation pour la réalisation de ses objectifs. La finalité de la sécurité informatique au sein d'une organisation est de garantir qu'aucun préjudice ne puisse mettre en péril la pérennité de l'entreprise. Cela consiste à diminuer la probabilité de voir des menaces se concrétiser, à en limiter les atteintes ou dysfonctionnements induits, et à autoriser le retour à un fonctionnement normal à des coûts et des délais acceptables en cas de sinistre.

Une stratégie de sécurité consiste donc à concevoir une conduite générale de protection, d'organisation de la défense (démarche proactive) et d'élaboration de plans de réaction (démarche réactive). Elle s'inscrit dans une approche d'intelligence économique afin de permettre une véritable maîtrise des risques opérationnels, technologiques et informationnels.

> Voir schéma

Un risque est un danger éventuel plus ou moins prévisible. Il se mesure à la probabilité qu'il se produise et aux impacts et dommages consécutifs à sa réalisation. Un risque exprime la probabilité qu'une valeur soit perdue en fonction d'une vulnérabilité liée à une menace, à un danger.

La maîtrise des risques informatiques consiste à les réduire à un niveau acceptable pour l'organisation afin d'éviter de mettre en cause sa productivité et sa pérennité.

La frontière entre le risque acceptable et celui qui ne l'est pas est parfois difficile à déterminer objectivement car, elle dépend fortement des objectifs de l'organisation et du degré de criticité de ses ressources.

La mise en place d’une stratégie de sécurité repose sur des invariants qui, s’ils sont adoptés par l’ensemble de l’organisation, facilitent la mise en place et la gestion de la sécurité. Il s’agit des principes de base suivants :

• Principe de vocabulaire qui est une absolue nécessité de s'accorder, au niveau de l'organisation, sur un langage commun de définition de la sécurité ; 

• Principe de cohérence, car une accumulation d'outils sécuritaires n'est pas suffisante pour réaliser un niveau global et cohérent de sécurité. La sécurité d'un système d'information résulte de l'intégration harmonieuse des outils, mécanismes et procédures liés à la prévention, à la détection, à la protection et à la correction des sinistres relatifs à des fautes, à la malveillance ou à des éléments naturels ; 

• Principe financier : le coût de la sécurité doit être en rapport avec les risques encourus. Le budget consacré à la sécurité doit être cohérent vis-à-vis des objectifs de sécurité fixés ; 

• Principe de simplicité et d'universalité : les mesures de sécurité doivent être simples, souples, compréhensibles pour tous les utilisateurs et doivent s'appliquer à l'ensemble du personnel ; 

• Principe de dynamicité : la sécurité doit être dynamique pour intégrer la dimension temporelle de la vie des systèmes et de l'évolution des besoins et des risques ; 

• Principe de continuum : l'organisation doit continuer à fonctionner même après la survenue d'un sinistre. Pour cela, il faut disposer de procédures d'urgence et de reprise ; 

• Principe d'évaluation, de contrôle et d'adaptation : il est impératif de pouvoir évaluer constamment l'adéquation des mesures de sécurité au regard des besoins effectifs de la sécurité. Cela permet de contrôler et de vérifier que les risques sont maitrisés de manière optimale dans un environnement dynamique et d'adapter si nécessaire les solutions de sécurité mis en oeuvre. Des outils de type  « tableau de bord » de la sécurité favorisent le suivi de la sécurité par une meilleur appréciation de la variabilité des critères de sécurité de l'entreprise, qui sont par nature évolutifs, est un soucis constant du responsable sécurité. 

Une organisation peut ainsi renoncer à mettre en oeuvre un dispositif de secour (backup) de son centre in,formatique au regard de son coût récurent. En effet, ce coût peut s'avérer être très élevé en termes de ressources et de procédures à utiliser si l'on tient compte : 

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

2. Mise en place d'une démarche sécuritaire

La stratégie de sécurité réside dans un compromis judicieux entre le coût des outils et des procédures à supporter pour pallier les risques réels qui pourraient affecter le patrimoinede l'entreprise et le coût des impacts de la réalisation des risques. 

Il n'existe pas de stratégie prédéterminée ou générale, ni de recette pour définir une stratégie. Chaque contexte d'organisation, de scénario de risques ou d'environnement est particulier. On ne peut définir de règles générales qui déterminent quelles sont les stratégies ou solutions de sécurité à implanter pour maîtriser un risque donné.

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

3. Cas pratique d'une démarche sécuritaire au sein d'une PME

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

Chapitre 3 : Les systèmes de protection contre les intrusions

Dans le langage courant, une intrusion est une action visant à s’introduire sans autorisation dans un lieu dont on n’est pas le propriétaire. En Informatique aussi la même définition est applicable ; elle signifie la pénétration des systèmes d’information, mais aussi les tentatives des utilisateurs locaux d’accéder à de plus haut privilèges que ceux qui leur sont attribués, ou tentatives des administrateurs d’abuser de leurs privilèges. Elle peut aussi résulter d’un ver cherchant à assurer sa propagation, ou encore d’une attaque automatisée.

Les deux premières parties de ce document ont traité des évolutions de la sécurité informatique, d’un état des lieux de la sécurité des systèmes d’information dans le monde et des stratégies de sécurité des systèmes d’information qui sont d’usage pour se mettre à l’abri des menaces courantes. Cependant, le rapport menaces / mesures, loin d’être satisfaisant demeure toujours une préoccupation majeure pour les organisations et les spécialistes de la sécurité des systèmes d’information.

En effet, beaucoup de spécialistes s’accordent avec Natalie Dagorn pour clamer qu’ «aucun système d’information n’est sûr à 100%! Parmi les préceptes connus sur la sécurité informatique se trouve celui énonçant que, pour une entreprise connectée à l’Internet, le problème aujourd’hui n’est plus de savoir si elle va se faire attaquer, mais quand cela va arriver ; une solution possible est alors d’essayer de repousser les risques dans le temps par la mise en œuvre de divers moyens destinés à augmenter le niveau de sécurité » [DAG].

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

1. Situation de la sécurité des systèmes d'information dans la sous-région Ouest africaine

Le but de ce document étant de montrer l’i politiques de sécurité, il nous a semblé opportun de compléter les études et sondages utilisés dans la première partie par une enquête beaucoup plus ciblée. Elle concerne la sous Ouest africaine. Nous avons porté notre choix sur 29 organisations du Bénin, Niger et du Togo. L’enquête a porté principalement sur des questions mettant de coté les mesures classiques de sécurité telles que les pare-feux et les réseaux privés et virtuels. Le tableau suivant montre les entreprises concernées par l'enquête : 

> Voir tableau 

La première question de cette enquête auprès de ces entreprises était  « Disposez-vous d'une stratégie de sauvegarde hors-site (Backup off-site) »

Une véritable stratégie de sauvegarde doit ressembler à celle mise en place par AfriNIC (registre africain d’Internet) qui ayant son siège principal à Johannesburg (Afrique du S dispose d’un site de réplication de ses données au Caire (Egypte). off-site, car ces deux endroits sont géographiquement assez éloignés pour qu’une catastrophe naturelle même importante ne puisse priver AfriNIC de ses ressour quotidiennement effectuées en ligne.

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

2. Concepts des systèmes de protection contre les intrusions 

> Définition et principes de fonctionnement 

On entend par systèmes de protection contre les intrusions le logiciels ou «appliances » (c'est-à-dire des boîtes noires) capables de protéger les réseaux et systèmes informatiques contre les intrusions. Comme nous l'avons mentionné précédemment, ces systèmes se basent surtout sur les différentes techniques de détection d'intrusions qui existent aujourd'hui. 

Ainsi, il existe des systèmes de détection d'intrusions dites  « passifs » qui ont été déployés de plus en plus largement et qui sont talonnées aujourd'hui par des systèmes dits  «actifs » de prévention d'intrusions. La recherche et les découvertes en détection et prévention d'instrusions sont toujours d'actualité, notamment en raison des évolutions rapides et incessantes des technologies des systèmes d'information. 

La détection d'intrusions peut se définir comme l'ensemble des pratiques et des mécanismes utilisés qui permettent de détecter les actions visan l’intégrité ou la disponibilité d’une ressource. La notion d'intrusion est à considérer au sens large et comprend les notions d'anomalies et d'usage abusif des ressources.

D'un côté, il y a les systèmes de détection d'intrusion (IDS pour Intrusion Detection System) qyui sont des mécanismes destinés à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Ils permettent ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions. 

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

3. Typologies et familles des systèmes de protection conte les intrusions

> Typologies des systèmes de protection contre les intrusions

La caractérisation des différents systèmes de protection contre les instructions permet de les différencier suivant un certain nombre de caractéristiques. Cette caractérisation a conduit à la classification terminologique présentée dans la figure suivante :

> Voir figure

Dans un premier temps, on peut faire une distinction assez fondamentale sur la méthode de détection utilisée par les systèmes de protection contre les intrusions. Il existe deux grandes catégories de méthodes de détection :

• celles basées sur une approche comportementale (par exemple, l'analyse statistique, l'analyse bayésienne, les réseaux neuronaux)

• et celles basées sur une approche par scénarii (par exemple la recherche de signatures ou le pattern matching).

Globalement, les approches comportementales visent à reconnaître un comportement anormal, que ce soit par rapport à une définition du comportement normal ou anormal fournie au systèùe de détection d'intrusion (par exemple une spécification de protocole de communication) ou par rapport à une modélisation des comportements normaux ou anormaux apprise à partir 'une observation préalable du système (en salle blanche, ou tout simplement en réel). Dans le cadre d'une approche comportementale, l'apprentissage semble donc possible, tout comme la possibilité de détecter des attaques inconnues au moment de la conception de l'IDS, à condition qu'elles génèrent des anomalies perceptibles dans le fonctionnement normal.

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

4. Limites des systèmes de protection contre les intrusions 

La plupart des reproches faits aux systèmes de protection contre les intrusions concerne en réalité les systèmes de détection d'intrusion. C'est pourquoi les systèmes de prévention d'intrusions sont souvent considérés comme les améliorations des IDS. 
Les systèmes de protection contre les intrusions doivent pouvoir supporter le trafic maximal attendu à l'endroitoù ils sont placés. Si un capteur ne peut pas gérer le débit, des paquets de données seront perdus,e t les données transistant par ce point ne seront pas toutes analysées. Cette situation peut même avoir un impact sur les performances globales du réseau en créant un goulet d'étranglement. Il est donc préférable de surestimer le trafic réseau potentiel transistant par le poihnt de déploiement du capteur que le contraire.

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

5. Etudes comparatives de questions systèmes de protection contre les instrusions

Dans cette partie, nous allons effectuer une comparaison de quelques IDS et IPS. Il s’agit de les comparer suivant les critères comme l’analyse du trafic en temps réel, la capacité de blocage des attaques, les alertes en temps réel, la mise en log des paquets de données, les méthodes de filtrage. En analysant le tableau de comparaison suivant, on constate que tous les systèmes étudiés disposent des qualités suivantes :

• L'analyse en temps réel ; 

• La détection des virus, des vers et des chevaux de troie ; 

• La détection des attaques internes et externes ; 

• La capacité de blocage des attaques ; 

• La détection des sondes externes et internes ; 

• La capacité de blocage des sondes .

Parmis ces systèmes, seuls Juniper IDP et Snort 2.1.3 peuvent s'exécuter dans les environnements Linux. Les autres pour la plupart fonctionnent dans les systèmes d'exploitation Windows. Quand à SonicWALL IPS Service, il peut s’exécuter dans tous les environnements IP.

> Voir tableau

 En ce qui concerne les alertes en temps réel, tous ces systèmes en sont dotés diversement. On a des alertes par SMS, par courrier électronique, sur les consoles, par le démon SYSLOG, les pagers etc. Snort 2.1.3 et SonicWALL IPS ne font pas la mise en log des paquets de données. Cependant dans ce domaine le meilleur système est le McAfee Intrushield serie I car il peut travailler en interaction avec deux des meilleurs SGBD qui existent. Il s’agit de MySQL et Oracle.

6. Présentaiton de Snort, SnotSAM et de BASE

> Description 

Snort est un NIDS / NIPS provenant du monde Open Source. C’est pourquoi nous le recommandons fortement aux entreprises et organisations africaines en général car ces dernières n’ont pas souvent suffisamment de ressources financières à accorder à l’achat des logiciels propriétaires. Avec plus de 2 millions de téléchargements, il s'est imposé comme le système de détection d'intrusions le plus utilisé. Sa version commerciale, plus complète en fonctions de monitoring, lui a donné bonne réputation auprès des entreprises.

Snort est capable d'effectuer une analyse du trafic réseau en temps réel et est doté de différentes technologies de détection d'intrusions telles que l'analyse protocolaire et le pattern matching. Snort peut détecter de nombreux types d'attaques : buffer overflows, scans de ports furtifs, attaques CGI, sondes SMB, tentatives de fingerprinting de système d'exploitation etc.

Snort est doté d'un langage de règles permettant de décrire le trafic qui doit être accepté ou collecté. De plus, son moteur de détection utilise une architecture modulaire de plugins.

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

Conclusion

Aujourd'hui, personne ne semble maitriser l'évolution des technologies de l'électronique et de l'informatique distribuée. LE tableau que nous peint les diffférentes études et statistiques de ce document nous édifient assez sur le caractère préoccupant que prend la sécurité informatique dans le monde et plus particulièrement en Afrique. Dans ce sombre décor, l'unique porte de sortie pour les entreprises et organisations demeure la conduite d'une véritable démarche sécuritaire aboutissant sans équivoque à la définition d'une stratégie de sécurité claire et adaptée ; elle-même, conduisant à la mise en application d'une politique de sécurité fiable et rigoureuse. 

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

.