Bernard Alain

Une chaîne d’alerte doit s’articuler de façon à ce que le traitement d'un incident de sécurité puisse être effectué efficacement et être signalé simplement et rapidement aux autorités compétentes, y compris dans son aspect de traçabilité. Pour cela, il est possible de définir un processus de gestion des incidents à partir de la norme ISO 27035 (« Information Security Incident Management »). Dans le cadre d'un processus de gestion des incidents, la remontée d’une alerte traitée doit suivre une procédure la plus claire et la plus simple possible, connue par le plus grand nombre d’acteurs en lien direct ou indirect avec l’organisation (IT, chaîne sécurité du système d'information, responsables métiers, opérateurs, partenaires, etc.).

Chaque année, le nombre d’incidents et d’attaques ne cesse d’augmenter. Quelles que soient les méthodes d’intrusion utilisées par les attaquants, elles évoluent rapidement et aucun système d'information n'est sûr à 100 %. Beaucoup de travaux traitent du sujet de la détection d’intrusion en temps réel sous l'angle des systèmes IDS dits « passifs ». Sur la même échelle de temps et le même spectre d’analyse (un paquet, une requête), nous trouvons également des systèmes dits « actifs » de prévention d’intrusion (IPS, WAF) qui bloquent le trafic suspect. Il faut préciser que ces sondes IDS/IPS servent à détecter des tentatives d'intrusion, mais pas au sens d'attaques réussies. Elles remontent des événements en temps réel et visent à identifier de manière proactive ou réactive des comportements malveillants. Les plus efficaces d’entre elles peuvent inclure, dans leur mécanisme d’alerte, une information liée au succès de l’attaque.