Expliquez la différence entre un IDS et un IPS.
Réponse courte
Un IDS (système de détection d'intrusion) surveille le trafic et lève des alertes mais ne bloque pas — il est généralement hors bande. Un IPS (système de prévention d'intrusion) se place en ligne dans le chemin du trafic et peut activement rejeter ou bloquer le trafic malveillant. L'IPS prévient, mais un faux positif peut casser du trafic légitime.
Ces deux technologies paraissent presque identiques sur le papier — toutes deux inspectent le trafic à la recherche de motifs malveillants — mais l'une observe et l'autre agit, et cette différence détermine où et comment on les déploie.
IDS — Système de détection d'intrusion
Un IDS surveille et alerte. Il reçoit généralement une copie du trafic hors bande (via un port SPAN ou un tap réseau), il n'est donc pas dans le chemin de données en direct. Lorsqu'il repère quelque chose de suspect, il génère une alerte qu'un humain doit investiguer. Comme il ne peut pas rejeter de paquets, un faux positif est inoffensif — il ne crée que du bruit. L'inconvénient est qu'il n'arrête rien de lui-même ; le temps que vous réagissiez, le trafic est déjà passé.
IPS — Système de prévention d'intrusion
Un IPS se place en ligne, directement dans le chemin du trafic, de sorte qu'il peut bloquer, rejeter ou réinitialiser des connexions en temps réel. Il peut donc réellement arrêter une attaque au moment où elle se produit. Le prix est le risque : un faux positif peut rejeter du trafic légitime et provoquer une panne, et comme il est en ligne, il peut devenir un goulot d'étranglement de performance ou un point de défaillance unique.
Méthodes de détection
Les deux peuvent utiliser la détection par signatures (correspondance avec des motifs connus comme malveillants — rapide et précise mais aveugle aux attaques inédites) et la détection par anomalies (signalement des écarts par rapport à la normale — détecte les nouvelles menaces mais génère plus de faux positifs).
Comment les équipes les utilisent
De nombreuses organisations affinent d'abord les règles de l'IDS en mode alerte seule pour mesurer les faux positifs, puis promeuvent les règles de confiance en mode blocage IPS une fois confiantes. Cela équilibre la prévention face au risque de casser la production.
Pourquoi c'est important
Les recruteurs veulent la distinction fondamentale — détecter/alerter contre en ligne/bloquer — plus la conscience du compromis. Mentionner que vous testeriez les règles en mode détection avant d'activer le blocage témoigne d'une maturité opérationnelle, pas seulement d'un rappel scolaire.
Questions de suivi probables
- Quel est le risque de faire tourner un IPS en mode blocage ?
- Comparez la détection par signatures et la détection par anomalies.
- Où placeriez-vous chacun sur le réseau ?