IDS / IPS (Intrusion Detection / Prevention System)

Les IDS (Intrusion Detection System) et IPS (Intrusion Prevention System) sont des dispositifs de sécurité qui analysent le trafic réseau ou les activités systèmes pour détecter (IDS) et bloquer (IPS) les tentatives d'intrusion. La distinction principale : un IDS alerte uniquement, un IPS agit (block, drop, reset connection) en temps réel.

Deux familles principales : NIDS/NIPS (Network-based, surveillent le trafic réseau via mirror port ou inline) et HIDS/HIPS (Host-based, surveillent un système précis via agents — fichiers, processus, registry). Les méthodes de détection : signatures (patterns connus, comme un antivirus), anomalies (comportement atypique vs baseline), heuristique.

Produits commerciaux : Cisco Firepower, Palo Alto Threat Prevention, Fortinet FortiGate IPS, Snort (open source historique racheté par Cisco), Suricata (open source moderne), OSSEC (HIDS open source). Les NGFW (Next-Generation Firewall) intègrent généralement IPS, deep packet inspection, contrôle applicatif. Les certifications : PCNSA/PCNSE (Palo Alto), NSE 4/7 (Fortinet), CCNP Security.