C’est la fête à l’IPS chez Cisco : le fabricant s’apprête à annoncer pas moins de cinq appliances IPS et l’introduction de cette technologie au sein de ses équipements réseaux (routeurs, switches et pare-feu PIX).

L’IPS (Intrusion Prevention System) est une technologie proche de l’IDS (Intrusion Detection System) à ceci près qu’elle travaille en ligne et filtre donc le trafic au lieu de simplement l’observer. Un IPS sera capable de bloquer le trafic malicieux tout seul là où un IDS se contentera de donner l’alerte (beaucoup d’alertes, en fait) et exigera une attention permanente. En contre-partie, et pour éviter justement les fausses alertes, un IPS sera beaucoup moins sensible qu’un IDS.

Voilà pour la technologie. Mais concrètement, les IPS sont surtout la grande mode du moment. De nombreux acteurs de la sécurité pas forcément spécialisés s’y sont mis (Symantec, McAfee…) et certains spécialistes historiques de l’IDS ne jurent même désormais que par eux (ISS, par exemple). A tous les écouter, l’IDS n’était finalement qu’une très mauvaise idée vendue par accident. Mais cette fois-ci, c’est promis, l’IPS sera vraiment utile.

L’approche de ce marché par Cisco est particulièrement censée. Le fabricant proposera bien sûr des appliances indépendantes, comme ses concurrents spécialistes de la sécurité. Mais il a surtout compris que l’IPS n’est pas qu’un boîtier. C’est avant tout une technologie destinée à être embarquée partout où elle pourra être utile… c’est à dire en tout point du réseau qui voit passer un peu de trafic : le pare-feu et les routeurs, par exemple. Et Cisco est justement plutôt bien placé en ce domaine. En proposant d’intégrer l’IPS sur ses équipements, il offre donc une granularité dans la protection qu’aucun concurrent ne peut espérer atteindre à l’aide de ses boîtiers.

Certes, la majorité des IPS déployés aujourd’hui le sont en un point de passage unique du réseau, filtrant ainsi la totalité du trafic en provenance d’Internet. Mais pouvoir ajouter un soupçon d’IPS sur la totalité du réseau, de la périphérie au coeur du LAN, est probablement l’étape suivante en terme de maturité. Après tout, c’est l’exemple parfait d’une bonne « défense en profondeur » (un terme très à la mode là aussi, mais qui cache une vraie bonne pratique).

Il reste cependant à Cisco à régler deux questions avant de parader sur le marché de l’IPS : il lui faudra résoudre la question de l’administration centralisée de toutes ces touches d’IDS répartie sur l’ensemble du réseau, un aspect moins important chez ses concurrents qui offrent eux un boîtier le plus souvent déployé en un exemplaire unique.

Et il faudra également que l’IPS à la sauce Cisco soit performant et pertinant, un critère sur lequel les acteurs spécialistes pourraient bien tenter de tirer leur épingle du jeu. Mais le fabricant, déjà acteur du marché de l’IDS depuis le rachat du Wheel Group, n’est pas non plus un nouveau venu dans le domaine. Le match promet d’être intéressant.

Cisco annonce que ses IPS seront capable de calculer un indice de sévérité en fonction de l’attaque et de la criticité (pour l’entreprise) du système auquel elle se destine. Il sera alors probablement possible de demander à l’IPS d’adopter des réponses différentes en fonction de cette note. Le fabricant annonce également que ses outils sont compatibles avec les technologies de voix sur IP et qu’ils protégeront également ce trafic là.