diff --git a/content/secu_reseaux/4_detection/index.md b/content/secu_reseaux/4_detection/index.md
new file mode 100644
index 0000000..87c9401
--- /dev/null
+++ b/content/secu_reseaux/4_detection/index.md
@@ -0,0 +1,42 @@
+---
+title: "Sécurité des réseaux : Détection - analyse"
+date: 2022-09-27
+tags: ["Mirai", "DDOS"]
+categories: ["Sécurité des réseaux", "Cours"]
+---
+
+Afin de se protéger contre les attaques sur un réseau, nous avond plusiseurs
+outils à notre disposition :
+
+ * les IDS pour *Intrusition Detection System*;
+ * les pots de miel;
+ * les SIEM pour Security *Information and Events Management*;
+
+## Détection d'intrusion
+
+Pour surveiller un réseau au sens large, il faut installer des **sondes** sur
+son ensemble. Le travail d'une sonde est de **détecter* le trafic malicieux.
+
+**Tout l'enjeu est de séparer le trafic malicieux de celui légitime**
+
+Trois type d'IDS sont disponibles:
+
+ 1. basé sur des **signatures** (les modes opératoires des attaquants), cette
+   méthode est efficace sur les attaques déjà connues;
+ 2. par **politique**: nous somme en mesure de caractériser le trafic légitime
+   et donc d'écarter celui malicieux;
+ 3. par **apprentissage**;
+
+## Le pot de miel
+
+Mettre en place des leurres afin d'attirer les attaquants. Tout le trafic de et
+vers les pots de miel est donc **suspect**.
+
+Une phase d'apprentissage et nécessaire ensuite pour en tirer les informations
+utiles.
+
+## Le SIEM
+
+C'est le chef d'orchestre des outils vu précédemment. Il est là pour mettre en
+relation des évènements qui peuvent paraître sans liens de prime abord. Il
+**contextualise** en agrégeant les information de toutes les sources.