Skip to content

Expliquez la différence entre un IDS et un IPS.

Réponse courte

Un IDS (système de détection d'intrusion) surveille le trafic et lève des alertes mais ne bloque pas — il est généralement hors bande. Un IPS (système de prévention d'intrusion) se place en ligne dans le chemin du trafic et peut activement rejeter ou bloquer le trafic malveillant. L'IPS prévient, mais un faux positif peut casser du trafic légitime.

Ces deux technologies paraissent presque identiques sur le papier — toutes deux inspectent le trafic à la recherche de motifs malveillants — mais l'une observe et l'autre agit, et cette différence détermine où et comment on les déploie.

IDS — Système de détection d'intrusion

Un IDS surveille et alerte. Il reçoit généralement une copie du trafic hors bande (via un port SPAN ou un tap réseau), il n'est donc pas dans le chemin de données en direct. Lorsqu'il repère quelque chose de suspect, il génère une alerte qu'un humain doit investiguer. Comme il ne peut pas rejeter de paquets, un faux positif est inoffensif — il ne crée que du bruit. L'inconvénient est qu'il n'arrête rien de lui-même ; le temps que vous réagissiez, le trafic est déjà passé.

IPS — Système de prévention d'intrusion

Un IPS se place en ligne, directement dans le chemin du trafic, de sorte qu'il peut bloquer, rejeter ou réinitialiser des connexions en temps réel. Il peut donc réellement arrêter une attaque au moment où elle se produit. Le prix est le risque : un faux positif peut rejeter du trafic légitime et provoquer une panne, et comme il est en ligne, il peut devenir un goulot d'étranglement de performance ou un point de défaillance unique.

Méthodes de détection

Les deux peuvent utiliser la détection par signatures (correspondance avec des motifs connus comme malveillants — rapide et précise mais aveugle aux attaques inédites) et la détection par anomalies (signalement des écarts par rapport à la normale — détecte les nouvelles menaces mais génère plus de faux positifs).

Comment les équipes les utilisent

De nombreuses organisations affinent d'abord les règles de l'IDS en mode alerte seule pour mesurer les faux positifs, puis promeuvent les règles de confiance en mode blocage IPS une fois confiantes. Cela équilibre la prévention face au risque de casser la production.

Pourquoi c'est important

Les recruteurs veulent la distinction fondamentale — détecter/alerter contre en ligne/bloquer — plus la conscience du compromis. Mentionner que vous testeriez les règles en mode détection avant d'activer le blocage témoigne d'une maturité opérationnelle, pas seulement d'un rappel scolaire.

Questions de suivi probables

  • Quel est le risque de faire tourner un IPS en mode blocage ?
  • Comparez la détection par signatures et la détection par anomalies.
  • Où placeriez-vous chacun sur le réseau ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.