Un HIPS (Host Intrusion Prevention System) est un logiciel de sécurité installé directement sur un équipement (serveur, poste de travail) qui surveille et analyse en temps réel le comportement du système pour détecter et bloquer toute activité malveillante ou suspecte.
Contrairement aux solutions réseau qui analysent le trafic en transit, le HIPS agit au cœur même de l’hôte. Il surveille les appels système, les modifications de fichiers critiques, les accès au registre, les comportements applicatifs anormaux et les tentatives d’exploitation de vulnérabilités. Il constitue une dernière ligne de défense lorsqu’une menace a réussi à pénétrer le périmètre réseau.
Méthodes de détection
| Méthode | Description | Avantages | Inconvénients |
|---|---|---|---|
| Détection par signatures | Comparaison avec une base de signatures connues | Précision élevée, faible faux positifs | Inefficace contre menaces 0-day |
| Détection comportementale | Analyse des comportements anormaux par rapport à une baseline | Détecte menaces inconnues | Taux de faux positifs plus élevé |
| Analyse heuristique | Évaluation du code et des patterns suspects | Détecte variantes de malwares | Complexité d’implémentation |
| Contrôle d’intégrité | Vérification des checksums de fichiers système critiques | Fiable pour rootkits/trojans | Ne protège pas contre nouvelles menaces |
| Sandboxing | Exécution en environnement isolé pour analyse | Analyse sûre du code suspect | Consommation de ressources |
Composants architecturaux
Un HIPS typique se compose de plusieurs modules :
- Agent de surveillance : installé sur l’hôte, intercepte les appels système et surveille les processus
- Moteur de règles : applique les politiques de sécurité définies par l’administrateur
- Base de données de signatures : contient les empreintes des menaces connues
- Module de réponse : déclenche les actions correctives (blocage, alerte, quarantaine)
- Console de gestion : interface centralisée pour configurer et superviser les agents
Solutions du marché
Wazuh (retenu pour le projet)
Wazuh est un fork open source d’OSSEC, considéré comme l’une des solutions HIPS/HIDS les plus complètes du marché. Il combine détection d’intrusion sur l’hôte, monitoring d’intégrité, analyse de logs, conformité réglementaire et réponse aux incidents.
Fonctionnalités clés :
- File Integrity Monitoring (FIM) : détection de toute modification sur les fichiers système critiques
- Rootkit detection : scan régulier à la recherche de rootkits et processus cachés
- Log analysis : analyse des journaux système, applicatifs et de sécurité
- Active Response : blocage automatique d’IP suspectes via des scripts déclenchés sur événement
- Vulnerability Detection : corrélation avec des bases CVE pour identifier les vulnérabilités
- Compliance : modules CIS, PCI-DSS, HIPAA, GDPR intégrés
OSSEC
OSSEC est le précurseur de Wazuh — solution HIDS open source éprouvée, plus légère mais moins riche en fonctionnalités. Elle reste très utilisée dans les environnements aux ressources limitées.
CrowdStrike Falcon
Plateforme EDR/HIPS cloud-native reconnue comme leader dans le Magic Quadrant de Gartner. Elle utilise l’intelligence artificielle pour détecter les menaces avancées (APT, ransomwares) en temps réel. Coût : environ 8,99 $/endpoint/mois.
Autres solutions notables
| Solution | Type | OS supportés | Coût | Points forts |
|---|---|---|---|---|
| Wazuh | Open Source | Linux, Win, Mac | Gratuit | Complet, SIEM intégré |
| OSSEC | Open Source | Linux, Win, Mac | Gratuit | Léger, éprouvé |
| CrowdStrike Falcon | Commercial SaaS | Linux, Win, Mac | Élevé | IA, performance |
| Symantec EPS | Commercial | Win, Linux, Mac | Moyen/Élevé | Multicouche, complet |
| Trellix Host IPS | Commercial | Win, Linux | Moyen | Règles prédéfinies |
| AIDE | Open Source | Linux, Unix | Gratuit | Léger, FIM dédié |
Application au projet Alert’Intrusion
Dans le cadre de ce projet, Wazuh est la solution HIPS retenue pour protéger le serveur web de la DMZ. Ses capacités de détection d’intrusion hôte, de monitoring d’intégrité des fichiers et de réponse active (blocage automatique) en font la solution idéale. Les tests requis (nmap -sS, nmap -sU, nmap -sV, hping3 DDoS) pourront déclencher des alertes visibles dans le tableau de bord Wazuh.
Scénario de déploiement :
- Wazuh Server : déployé dans la zone LAN (serveur de gestion centralisé)
- Wazuh Agent : installé sur le serveur web en DMZ
- Communication chiffrée entre agent et serveur via le port 1514 (UDP/TCP) et 55000 (API REST)
- Active Response configurée : blocage automatique des IP effectuant des scans nmap ou attaques hping3