Evaluation des Systemes de Detection et de Prevention des Intrusions

D'une maničre générale, l'efficacité d'un systčme de détection d'intrusion dépend de sa "configurabilité" (possibilité de définir et d'ajouter de nouvelles spécifications d'attaque), de sa robustesse (résistance aux défaillances) et de la faible quantité de faux positifs (fausses alertes) et de faux négatifs (attaques non détectées) qu'il génčre. Une lutte entre techniques d'intrusion et IDS s'est engagée, les IDS ayant pour conséquence une plus grande technicité des attaques sur IP, et les attaques actuelles imposant aux IDS d'ętre plus complets et plus puissants. Néanmoins, comme tous les outils techniques, ils ont des limites que seule une analyse humaine peut compenser. A la maničre des pare-feu, les détecteurs d'intrusion s'améliorent chaque jour grâce ŕ l'expérience acquise, mais ils deviennent aussi de plus en plus sensibles aux erreurs de configuration et de paramétrage. Par conséquent, il est plus que fondamental de former correctement les personnes chargées de la mise en oeuvre et de l'exploitation des IDS. Malheureusement, il semble que subsiste lŕ une grande partie de la difficulté. A ce jour, aucun outil ne permet de remplacer l'ętre humain dans un test d'intrusion.