Visitez notre kiosque à CANSEC les 27-28 mai
Quand votre système de détection d'intrusion devient aveugle
Trois couleurs. Vert, orange, rouge. Une métrique simple pour évaluer en temps réel la sécurité de réseaux répartis sur plusieurs sites. Derrière cette apparente simplicité se cache une innovation qui résout un problème critique: comment détecter qu'un attaquant a compromis vos propres outils de surveillance.
Le paradoxe de la détection
Les systèmes de détection d'intrusion traditionnels souffrent d'un défaut fondamental. Si un attaquant réussit à compromettre le système de détection lui-même, celui-ci cesse de signaler les activités malveillantes. Le réseau semble sain alors qu'une attaque est en cours. Notre recherche propose une solution élégante: comparer deux vues distinctes de la sécurité du même site.
Une double perspective
Le système calcule le niveau de sécurité réel d'un site en analysant toutes les alertes générées par l'ensemble des capteurs locaux. Simultanément, il calcule un niveau de sécurité approximatif en analysant uniquement les journaux de capteurs spécifiquement sélectionnés, transmis vers un site distant. Cette redondance crée une capacité d'auto-vérification.
La détection par divergence
Lorsque ces deux évaluations concordent, le système fonctionne normalement. Mais lorsqu'elles divergent significativement, cela signale un problème structurel. Si le niveau approximatif indique un danger élevé alors que le niveau réel suggère que tout va bien, l'infrastructure de surveillance locale a probablement été compromise.
Un cas d'école révélateur
Le scénario d'évaluation illustre la puissance de cette approche. Un attaquant compromise un système de détection d'intrusion réseau, stoppe sa génération d'alertes, puis attaque un serveur web. L'analyseur local, privé des données du système compromis, conclut que tout est normal. Mais l'analyseur distant, recevant les journaux du serveur web via un canal indépendant, détecte l'activité malveillante. La divergence entre ces deux évaluations déclenche immédiatement une alerte orange ou rouge selon le niveau de sécurité statique du site.
Une métrique basée sur trois piliers
Le niveau de sécurité statique évalue l'infrastructure de base: compétence des administrateurs, politique de sécurité, pare-feu, plans de continuité. Le niveau de sécurité réel mesure les menaces actuelles détectées localement. Le niveau approximatif fournit une vue externe indépendante. La combinaison de ces trois dimensions permet d'identifier non seulement les attaques, mais aussi les défaillances des systèmes de défense eux-mêmes.
