Comment tester un IDS
Dans un rapport dense de 21 pages, le NIST (National Institute of Standards and Technology) se penche sur la méthodologie de test des systèmes de détection d'intrusion. Comment choisir son IDS et l'évaluer en fonction de quels critères ? Et de déplorer les carences constatées par les multiples « banc d'essais » publiés tant par la presse (notre confrère Network World notamment) que par des organismes officiels ou privés. S'en suite un cahier des charges relativement précis, une approche très « pratique » de la chasse à l'intruder ne reposant pas uniquement, comme c'est souvent le cas, sur les trois ou quatre caractéristiques communes quantifiables facilitant la vie du vendeur de benchmark. Le document est passionnant... hélas, la conclusion ne laisse planer aucun doute. A la question « comment tester des IDS », le Nist répond « peine perdue ». Non seulement il serait nécessaire de maintenir une plateforme en évaluation permanente, mais encore les méthodologies nécessaires à cette évaluation « idéale » s'avèreraient aussi lourdes que coûteuses... sans pour autant être particulièrement précises. Les attaques varient en fonction des « cibles », des lieux et des moments... charge donc à la communauté de codifier et quantifier tout çà (traduction : çà nous dépasse, on s'en lave les mains). Il est des instants où le contribuable américain, surtout s'il a fonction de RSSI, doit être particulièrement heureux de remplir sa feuille d'IRS.
