Le rôle et les fonctionnalités d’un système IDS/IPS

Explication du rôle principal d’un système IDS/IPS

Un système IDS (Intrusion Detection System) et un système IPS (Intrusion Prevention System) sont tous deux des composants de sécurité informatique conçus pour identifier et réagir aux activités malveillantes ou suspectes au sein d’un réseau ou d’un système informatique. Bien qu’ils partagent des objectifs similaires, ils ont des rôles légèrement différents :

• IDS (Intrusion Detection System - Système de Détection d’Intrusion)

Un IDS surveille le trafic réseau et les activités système pour détecter toute tentative d’intrusion ou d’activité malveillante. Il analyse les données et les événements en temps réel à la recherche de modèles de comportement suspects ou de signatures correspondant à des attaques connues. Lorsqu’il identifie une activité suspecte, il peut générer des alertes pour les administrateurs ou les équipes de sécurité. Cependant, un IDS n’intervient pas directement pour empêcher les intrusions ; il se contente de signaler les anomalies.

• IPS (Intrusion Prevention System - Système de Prévention d’Intrusion)

Contrairement à l’IDS, un IPS agit de manière proactive pour prévenir les intrusions. Il surveille également le trafic réseau et les activités système, mais en plus de la détection, il est capable de prendre des mesures pour bloquer ou arrêter les tentatives d’intrusion en temps réel. Cela peut inclure le blocage d’adresses IP suspectes, la mise en quarantaine d’appareils compromis, la modification des règles de pare-feu ou d’autres actions visant à stopper l’attaque en cours.

En combinant ces deux systèmes, on arrive à avoir un système de protection global et performant pour protéger un système informatique.

Les composants d’un système IDS/IPS

Un système IDS/IPS (Intrusion Detection System / Intrusion Prevention System) est généralement composé de plusieurs éléments qui travaillent ensemble pour détecter et prévenir les intrusions dans un réseau ou un système informatique. Voici les principaux composants d’un tel système :

• Les capteurs

Les capteurs sont les points de surveillance du réseau ou du système. Ils collectent les données sur le trafic réseau, les journaux d’événements système, les activités applicatives, etc. Ces données sont ensuite analysées pour détecter des comportements anormaux ou des signatures d’attaques connues.

• Les analyseurs de données

Les données collectées par les capteurs sont analysées par l’analyseur de données. Celui-ci compare les modèles de trafic et les signatures connues d’attaques pour identifier des anomalies ou des activités malveillantes. L’analyseur peut utiliser des techniques de détection basées sur des règles, des statistiques, des modèles comportementaux, etc.

• La base de données de signatures

Cette base de données contient des signatures de différentes attaques connues. Les signatures sont des empreintes digitales spécifiques à chaque type d’attaque. L’analyseur de données les utilise pour comparer les modèles de trafic observés et identifier des correspondances potentielles.

• Le moteur de détection

Le moteur de détection est responsable de l’application des règles, des modèles et des signatures pour déterminer si une activité est malveillante ou non. Il génère des alertes lorsqu’il détecte une activité suspecte.

• Le gestionnaire d’alertes

Le gestionnaire d’alertes reçoit les alertes générées par le moteur de détection. Il peut classer les alertes en fonction de leur gravité et de leur importance. Les alertes sont ensuite relayées aux administrateurs ou aux équipes de sécurité pour une action appropriée.

• Le système de réponse automatisée (IPS)

Dans le cas d’un IPS, un système de réponse automatisée peut être présent. Lorsqu’une activité malveillante est détectée, le système IPS peut prendre des mesures immédiates pour bloquer ou limiter cette activité. Cela peut inclure la modification des règles de pare-feu, la mise en quarantaine d’un appareil, etc.

• Le tableau de bord et interfaces de gestion

Un système IDS/IPS est généralement accompagné d’interfaces de gestion conviviales. Les administrateurs peuvent surveiller les alertes, ajuster les paramètres de détection, examiner les journaux et les rapports, et prendre des mesures en cas d’incident.

Ces composants travaillent de concert pour surveiller et sécuriser un réseau ou un système informatique en identifiant les intrusions potentielles, en générant des alertes et, dans le cas d’un IPS, en prenant des mesures pour empêcher les attaques en temps réel.

Les solutions IDS/IPS présentes sur le marché

Il existe de nombreuses solutions IDS/IPS (Intrusion Detection System/Intrusion Prevention System) sur le marché, proposées par divers fournisseurs et adaptées à différents besoins et environnements. Voici quelques-unes des solutions populaires dans ce domaine.

Snort

Snort est l’une des solutions IDS open source les plus populaires. Il utilise une approche basée sur les règles pour la détection d’intrusion et peut être personnalisé pour répondre aux besoins spécifiques.

Suricata

Également open source, Suricata est un système IDS/IPS haute performance qui prend en charge la détection basée sur les règles, les signatures, ainsi que l’analyse comportementale.

Cisco Firepower

Cisco propose des solutions de sécurité intégrées incluant des fonctionnalités IDS/IPS. Cisco Firepower combine détection, prévention, visibilité et gestion centralisée.

Il existe beaucoup d’autres solutions sur le marché en open source ou propriétaire. Chacune de ses solutions peut être utilisée de manière logicielle, c’est-à-dire pouvant être installée comme un applicatif ou utilisée comme système d’exploitation sur un serveur ou en machine virtuelle. 

Enfin, il est possible d’utiliser ces solutions avec un matériel dédié comme avec Cisco qui propose des solutions implémentées dans leur matériel (switch ou routeurs).

La détection et la prévention des intrusions

La coopération des différents composants des systèmes IDS/IPS pour la détection des intrusions

La coopération des différents composants d’un système IDS/IPS est essentielle pour assurer une détection efficace des intrusions.

La prévention des intrusions

La prévention des intrusions est une fonctionnalité clé des systèmes IPS (Intrusion Prevention System), qui agissent pour bloquer ou limiter les tentatives d’intrusion en temps réel. En fonction des composants installés, les solutions IDS/IPS agissent comme des boucliers contre les intrusions. Cependant, il est nécessaire de bien comprendre leur mode de fonctionnement.

Détection avancée

Les systèmes IPS utilisent des techniques sophistiquées pour détecter les activités malveillantes. Cela peut inclure la détection basée sur des signatures, des règles, des modèles comportementaux et même des approches basées sur l’intelligence artificielle pour repérer les anomalies et les menaces émergentes.

Comparaison avec les signatures connues

Un IPS peut comparer le trafic réseau et les activités système avec des signatures d’attaques connues. Si une correspondance est trouvée, l’IPS peut immédiatement bloquer cette activité.

Adaptation des règles

Les systèmes IPS sont souvent configurables et peuvent être ajustés en fonction des besoins de l’entreprise. Les administrateurs peuvent créer et modifier des règles pour définir comment l’IPS doit réagir à différentes menaces.

Gestion centralisée

Dans les environnements complexes, la gestion centralisée des IPS permet de gérer plusieurs dispositifs IPS depuis un emplacement central. Cela permet de coordonner les actions de prévention des intrusions à travers tout le réseau.

Les actions curatives et préventives pour la sécurité des données et des utilisateurs

La sécurité des données et des utilisateurs est cruciale pour toute organisation. Les Systèmes de Détection d’Intrusion (IDS) et de Prévention d’Intrusion (IPS) sont des outils essentiels pour protéger ces actifs. Voici des actions curatives et préventives que vous pouvez mettre en place pour renforcer la sécurité des données et des utilisateurs en utilisant IDS et IPS :

1. Actions préventives

Mise à jour régulière des signatures et segmentation du réseau

Assurez-vous que les signatures de vos IDS/IPS sont régulièrement mises à jour pour détecter les dernières menaces et vulnérabilités. Si cela est possible, il faut penser à diviser votre réseau en segments pour limiter la propagation d’intrusions. Un IPS peut aider à détecter et bloquer les intrusions entre ces segments.

Surveillance continue du trafic réseau et la surveillance des journaux d’événements

Configurez votre IDS pour surveiller en continu le trafic réseau à la recherche d’anomalies. L’analyse et les journaux générés par vos IDS/IPS sont d’excellents outils pour aider à la prévention des attaques, par exemple créer une liste noire d’applications non autorisées ou encore une liste d’adresses IP bannies en cas d’attaque (Brut force notamment).

Formation des utilisateurs

Sensibilisez les employés aux pratiques de sécurité, aux attaques courantes et à la manière de signaler les incidents. La formation des utilisateurs est la pierre angulaire de la sécurité de nos jours. Plus les utilisateurs seront sensibilisés aux menaces présentes sur Internet, plus la sécurité des données de l’entreprise sera garantie. Les grandes entreprises ont créé des chartes d’utilisation du réseau et matériel informatique afin de lister autant que faire se peut les actions autorisées et interdites au sein de l’entreprise.

2. Actions curatives

Alertes en temps réel

Configurez votre IDS pour générer des alertes en temps réel lorsqu’il détecte des activités suspectes. Réagissez rapidement à ces alertes. En cas d’attaque, un IPS peut être configuré pour bloquer automatiquement le trafic malveillant et ainsi bloquer la tentative d’intrusion. Si cela n’est pas suffisant ou qu’une faille est détectée par le système, isolez rapidement les systèmes compromis pour éviter une propagation ultérieure.

Analyse post-incident

Après un incident, effectuez une analyse approfondie pour comprendre comment l’intrusion s’est produite et pour renforcer vos mesures de sécurité. L’analyse d’une faille de sécurité peut permettre de mettre en place des dispositifs d’urgence lorsque des vulnérabilités critiques sont exploitées.

Mise en quarantaine des utilisateurs compromis et revoir les politiques de sécurité

Si des utilisateurs sont compromis, mettez-les en quarantaine pour éviter qu’ils ne causent davantage de dégâts. Après un incident, il est nécessaire de’ revoir les politiques de sécurité afin de s’assurer que celle-ci correspond toujours aux standards de sécurité et ainsi enrichir le système des précédentes tentatives d’intrusions. En effet, les données collectées lors de la tentative d’intrusion viennent enrichir la base de données et permettent ainsi d’éviter ou de bloquer des attaques utilisant des processus similaires.

En mettant en œuvre ces actions curatives et préventives, vous pouvez améliorer considérablement la sécurité des données et des utilisateurs en utilisant des IDS et des IPS. N’oubliez pas que la sécurité est un processus continu, et il est essentiel de rester vigilant et de s’adapter aux nouvelles menaces et vulnérabilités.

Le déploiement d’une infrastructure IDS/IPS (Inline, Monitor, promiscuous)

Le mode de déploiement « Inline »

Le déploiement « Inline » d’un système IDS/IPS (Intrusion Detection and Prevention System) signifie que le système est intégré directement dans le chemin du trafic réseau. Cela permet de surveiller, détecter et potentiellement bloquer les activités malveillantes ou non autorisées au fur et à mesure qu’elles se produisent. Ce type de déploiement est couramment utilisé pour une protection proactive des réseaux et des systèmes.

Voici comment fonctionne généralement le déploiement « Inline » d’un IDS/IPS :

Placement dans le réseau

L’IDS/IPS est positionné directement entre le pare-feu et le reste du réseau, ou à un endroit stratégique à l’intérieur du réseau, où il peut surveiller le trafic entrant et sortant. Il s’agit d’une position clé pour détecter et bloquer les menaces.

Analyse en temps réel

Le système IDS/IPS analyse le trafic réseau en temps réel à la recherche de comportements malveillants ou d’anomalies. Il utilise des signatures, des règles de comportement et d’autres techniques pour identifier les menaces.

Détection des menaces

Lorsque l’IDS/IPS détecte une menace, il peut générer une alerte et prendre des mesures pour bloquer ou neutraliser la menace. Cela peut inclure la suppression de connexions réseau malveillantes, la modification de la configuration du pare-feu pour bloquer le trafic provenant de l’adresse IP source, ou d’autres actions spécifiques définies par les règles de l’IDS/IPS.

Gestion et règles personnalisées

Les administrateurs de sécurité peuvent personnaliser les règles de l’IDS/IPS en fonction des besoins spécifiques de leur réseau et de leur environnement. Cela permet d’ajuster la sensibilité de la détection et de prendre en compte les exigences de conformité.

Le mode de déploiement Monitor

Le déploiement « Monitor » d’un système IDS/IPS ne fonctionne pas de la même manière différente que le mode « Inline ». Le mode Monitor configure le système pour surveiller le trafic réseau et détecter les activités malveillantes ou suspectes. Cependant, ce mode de protection ne bloque pas le trafic. Il informe en temps réel s’il détecte une anomalie ou un comportement suspect. Il revient à l’administrateur d’autoriser ou d’interdire l’action une fois qu’il a été averti par le système.

Par contre, comme pour le mode « Inline », l’IDS doit respecter l’implémentation suivante.

Positionnement dans le réseau

L’IDS/IPS est généralement placé à un emplacement stratégique dans le réseau où il peut surveiller le trafic entrant et sortant, mais sans interférer avec la transmission des données.

Détection des menaces

Lorsque l’IDS/IPS détecte une menace, il génère des alertes en temps réel. Cependant, au lieu de bloquer activement le trafic, il peut transmettre ces alertes à un système de gestion des événements de sécurité (SIEM) ou à une console de gestion de sécurité.

Logs et alertes

L’IDS/IPS enregistre des journaux détaillés des événements détectés et génère des alertes en temps réel. Ces logs et alertes sont transmis à un SIEM ou à un autre système de gestion de la sécurité pour une analyse plus approfondie et une réponse aux incidents.

Gestion des alertes

Les équipes de sécurité surveillent les alertes générées par l’IDS/IPS via le SIEM ou la console de gestion de sécurité. En fonction de la gravité de l’alerte, des mesures de réponse appropriées peuvent être prises, telles que l’investigation, la quarantaine d’un système compromis ou la mise en place de contre-mesures.

Le mode « Promiscuous »

Le déploiement « Promiscuous » est le troisième mode de déploiement d’un IDS/IPS. Le système est configuré pour surveiller le trafic réseau sans être directement en ligne avec le flux de trafic. Cela signifie que l’IDS/IPS ne fait pas partie intégrante du chemin du trafic réseau, mais il écoute plutôt le trafic (« Promiscuous mode ») pour analyser les paquets qui passent sur le réseau.

Le déploiement « Promiscuous » d’un IDS/IPS est souvent utilisé dans des environnements où l’impact sur la performance du réseau doit être minimisé et où la continuité du trafic est cruciale. Cependant, comme il ne bloque pas activement les menaces, il repose davantage sur l’intervention humaine pour répondre aux alertes et prendre des mesures correctives. Ce mode de déploiement est également adapté aux environnements où il est difficile ou impossible d’intégrer l’IDS/IPS en ligne avec le trafic, par exemple, en raison de contraintes de réseau ou de pare-feu. En raison de la difficulté d’implémentation de ce mode de réseau, il est peu utilisé de nos jours, car il est préférable d’opter pour une sécurité plus « proactive » que passive.

Les avantages et inconvénients des différents modes de déploiement

Les avantages des modes Inline, Monitor et Promiscuous

Les trois modes de déploiement d’un système IDS/IPS (Intrusion Detection and Prevention System) - Inline, Monitor et Promiscuous - ont leurs avantages et leurs inconvénients, et leur choix dépend des besoins spécifiques de sécurité, de la continuité du trafic et des contraintes de l’infrastructure réseau.

1. Les avantages du mode « Inline »

Blocage actif des menaces

L’IDS/IPS en mode Inline peut bloquer activement les menaces en temps réel, réduisant ainsi le risque d’atteinte à la sécurité.

Réponse plus rapide

Il peut prendre des mesures immédiates pour bloquer les menaces, ce qui réduit le temps de réaction aux incidents de sécurité.

Protection plus robuste

Il offre une protection plus robuste contre les attaques en bloquant activement les intrusions et les comportements malveillants.

2. Les avantages du mode « Monitor »

Pas de perturbation du trafic

Le mode monitor ne perturbe pas le trafic réseau, ce qui garantit la continuité des opérations.

Moins de risques de faux positifs

Étant donné qu’il ne bloque pas le trafic, il a tendance à générer moins de faux positifs.

Surveillance passive

Il offre une visibilité passive du trafic, ce qui peut être utile pour la détection des menaces sans perturber le réseau.

3. Les avantages du mode « Promiscuous »

Pas de perturbation du trafic

Comme le mode monitor, il ne perturbe pas le trafic réseau, assurant la continuité des opérations.

Moins de risques de faux positifs

Étant donné qu’il ne bloque pas le trafic, il a tendance à générer moins de faux positifs.

Surveillance passive

Il offre une visibilité passive du trafic pour la détection des menaces sans perturber le réseau.

Les inconvénients des modes Inline, Monitor, Promiscuous

Comme pour les avantages des trois modes, les inconvénients sont aussi à prendre en compte pour assurer la meilleure sécurité possible. Même si le risque zéro n’existe pas, il est nécessaire de prendre en compte les principaux inconvénients des trois modes de déploiement afin de choisir la solution la mieux adaptée à son système.

1. Les inconvénients du mode « Inline »

Risque de faux positifs

Le blocage actif peut entraîner des faux positifs, c’est-à-dire le blocage de trafic légitime par erreur.

Impact sur la performance

Le traitement en ligne peut avoir un impact sur les performances du réseau, en particulier dans les environnements à forte charge.

2. Les inconvénients du mode « Monitor »

Réponse manuelle nécessaire

L’intervention humaine est nécessaire pour répondre aux alertes et prendre des mesures contre les menaces détectées, ce qui peut entraîner des délais dans la réaction aux incidents.

Moins de protection proactive

En raison de la non-intervention, il peut ne pas être aussi efficace pour bloquer activement les menaces en temps réel.

3. Les inconvénients du mode « Promiscuous »

Réponse manuelle nécessaire

Tout comme le mode monitor, une intervention humaine est nécessaire pour répondre aux alertes et prendre des mesures contre les menaces détectées.

Moins de protection proactive

Comme il n’effectue pas de blocage actif, il peut ne pas être aussi efficace pour bloquer les menaces en temps réel.

La compatibilité avec les autres systèmes de sécurité

Intégration avec une solution de pare-feu

L’intégration d’un IDS/IPS avec un pare-feu est une étape importante pour renforcer la sécurité de votre réseau. Cette intégration permet au pare-feu et à l’IDS/IPS de travailler de manière coordonnée pour détecter, prévenir et réagir aux menaces de manière efficace.

Choisissez des produits compatibles

Assurez-vous que votre IDS/IPS et votre pare-feu sont compatibles en termes de protocoles de communication et d’interopérabilité. Les fabricants de matériel et de logiciels fournissent souvent des guides sur la manière d’intégrer leurs produits.

Positionnement stratégique

Placez votre IDS/IPS de manière stratégique sur le réseau, généralement en amont du pare-feu. Cela permet à l’IDS/IPS de surveiller tout le trafic entrant avant qu’il n’atteigne le pare-feu. L’IDS/IPS peut également être placé en aval du pare-feu pour surveiller le trafic sortant.

Configuration des règles de pare-feu

Configurez les règles de votre pare-feu pour acheminer le trafic vers l’IDS/IPS pour inspection. Les règles devraient spécifier quel type de trafic doit être redirigé vers l’IDS/IPS (par exemple, tout le trafic HTTP ou FTP).

Inspection en profondeur du trafic

Lorsque le trafic est redirigé vers l’IDS/IPS, il est inspecté en profondeur à la recherche d’anomalies ou d’activités suspectes. L’IDS/IPS utilise des signatures, des règles de comportement et d’autres méthodes pour détecter les menaces.

Réponse aux alertes et configuration du pare-feu

Si l’IDS/IPS détecte une menace, il peut générer une alerte. Vous pouvez configurer l’IDS/IPS pour prendre automatiquement des mesures préventives. En travaillant avec une solution de pare-feu, il est possible par exemple de bloquer une adresse IP (celle d’où provient l’attaque). L’intégration d’un IDS/IPS avec un pare-feu permet une défense en profondeur en combinant la détection et la prévention des intrusions.

Intégration avec un système SIEM

L’intégration d’un IDS/IPS avec un SIEM (Security Information and Event Management) est une pratique essentielle pour une gestion efficace des événements de sécurité et une réponse aux incidents. Voici comment vous pouvez intégrer ces deux systèmes :

Configuration de l’IDS/IPS

Configurez l’IDS/IPS pour générer des journaux détaillés, des alertes et des rapports sur les événements de sécurité détectés. Vous pouvez personnaliser les paramètres pour spécifier quels événements doivent être enregistrés.

Configurez l’IDS/IPS pour envoyer ces journaux et alertes au SIEM. Vous pouvez généralement le faire via le protocole Syslog, SNMP, ou d’autres protocoles pris en charge par votre SIEM.

Configuration du SIEM

Configurez votre SIEM pour collecter, normaliser et analyser les journaux et les alertes générés par l’IDS/IPS. Il est possible de créer des règles et des filtres dans le SIEM pour identifier les événements de sécurité pertinents et hiérarchiser les alertes en fonction de leur gravité puis utilisez les fonctionnalités de corrélation du SIEM pour détecter les menaces en reliant les événements de sécurité de l’IDS/IPS à d’autres sources de données, comme les journaux du système, les données d’authentification, etc. Cela permet de détecter les attaques complexes.

Les avantages et valeurs ajoutées

Le renforcement général du système

Le déploiement d’un IDS/IPS peut renforcer considérablement la sécurité de votre réseau et de vos systèmes en identifiant, détectant et prévenant les activités malveillantes ou non autorisées. Voici comment un IDS/IPS peut renforcer la sécurité :

Détection précoce des menaces

Un IDS/IPS peut détecter les menaces dès qu’elles se produisent, y compris les activités suspectes, les attaques de logiciels malveillants, les tentatives d’intrusion, et plus encore. Cela permet une réponse précoce aux menaces avant qu’elles ne causent des dommages.

Blocage actif des attaques

Si vous utilisez un IPS, il peut bloquer activement les attaques en temps réel, réduisant ainsi la probabilité de succès des attaques.

Réduction des faux positifs

Les IDS/IPS modernes utilisent des méthodes avancées de détection des menaces pour minimiser les faux positifs, ce qui signifie moins de temps perdu à examiner des alertes inutiles.

Surveillance du trafic chiffré

Certains IDS/IPS sont capables de surveiller le trafic chiffré, offrant ainsi une protection contre les attaques qui utilisent des connexions chiffrées pour dissimuler leurs activités malveillantes.

Réponse aux incidents

Les alertes générées par un IDS/IPS peuvent être utilisées pour déclencher des processus de réponse aux incidents, notamment l’investigation, la quarantaine des systèmes compromis et la réparation des vulnérabilités.

Conformité et audit

Un IDS/IPS peut aider à satisfaire aux exigences de conformité en matière de sécurité en surveillant et en enregistrant les activités susceptibles de violer les réglementations de sécurité.

Le renforcement de la sécurité réseau

Le renforcement de la sécurité réseau par in IDS/IPS constitue un vrai rempart contre les attaques utilisant les communications réseau. Il permet d’analyser le trafic, qu’il soit chiffré ou non, en fonction de la solution retenue pour garantir une sécurité maximale du réseau d’entreprise.

Au travers de son positionnement stratégique au niveau du réseau, il permet d’analyser tout le trafic selon des règles prédéfinies ou personnalisées. Mais il peut aussi s’auto-configurer et effectuer un auto-apprentissage pour avoir comme modèle un trafic réseau dit « normal ». Cela lui permet d’être extrêmement proactif et d’alerter si des communications ou des comportements suspects sont détectés.

En couplant ce système proactif avec un SIEM pare feu et antispam par exemple, il est possible d’éviter une large majorité d’attaques et de garantir autant que faire ce peu une sécurité réseau optimale.

La mise en place d’un antispam

Les solutions antispam sont conçues pour détecter et filtrer le courrier électronique indésirable, également connu sous le nom de spam. Elles se concentrent principalement sur le filtrage du courrier électronique entrant pour bloquer les e-mails non sollicités. Les solutions antispam utilisent des techniques telles que la liste noire d’expéditeurs connus, l’analyse de contenu, la détection de signatures et l’analyse heuristique pour identifier les e-mails indésirables et les bloquer ou les placer dans des dossiers de quarantaine.

Les solutions antispam sont généralement déployées au niveau du serveur de messagerie ou dans le cloud pour filtrer le courrier électronique entrant avant qu’il n’atteigne la boîte de réception de l’utilisateur, mais elles peuvent travailler en collaboration avec une grande majorité des systèmes IDS IPS présents sur le marché.

Bien que les IDS/IPS et les solutions antispam se concentrent sur des types de menaces différents, ils peuvent être complémentaires en termes de sécurité globale.

Par exemple, un IDS/IPS peut être configuré pour détecter des activités malveillantes liées à des attaques de phishing par e-mail, ce qui peut aider à bloquer les tentatives d’usurpation d’identité ou d’attaque de malware via des e-mails.

De plus, un IDS/IPS peut être utilisé pour surveiller les activités réseau associées à des campagnes de spam ou de phishing, ce qui peut aider à identifier et à arrêter ces activités malveillantes plus rapidement.