Cette thèse se positionne dans le contexte des sondes de détection d'intrusion réseaux (NIDS). Elle part du constat que la grande majorité des NIDS disposent d'une vision statique des échanges réseaux : ils analysent les paquets réseaux sans tenir compte des échanges de paquets précédents. Cette vision statique limite leurs capacités à détecter des attaques se déroulant dans le temps et mettant en œuvre plusieurs paquets réseaux. Il existe bien évidemment des NIDS capables de détecter des attaques s'étalant sur plusieurs paquets, mais cela est en général réalisé à l'aide d'artifices non triviaux qui, s'ils ne sont pas correctement utilisés, peuvent pénaliser les performances globales du NIDS. Cette thèse vise alors à pallier en partie cette limitation en ajoutant aux NIDS des capacités de suivi d'état des protocoles de communication. Un tel suivi d'état permettrait d'offrir un contexte à chaque paquet, grâce à une historisation des échanges réseaux sous la forme d'états cohérents au sein de sessions d'un protocole de communication. En plus du contexte d'un paquet, un tel suivi d'état des protocoles permettrait d'identifier toute déviation au modèle du protocole et ainsi de détecter des anomalies. Pour explorer cette piste, cette thèse propose d'étudier les deux objectifs suivants:- Réaliser un état de l'art sur les NIDS et la modélisation de protocole: les travaux similaires, identifier les langages, vérifier que le suivi d'état est pertinent. Expérimenter cette piste de suivi d'état des protocoles à l'aide d'un prototype.- Définir une méthode d'inférence d'un modèle de protocole à partir d'un jeu de données. Enfin, l'état de l'art montre que, par rapport aux systèmes d'information tertiaires, les systèmes d'information industriels disposent d'un besoin accru en surveillance et que le suivi d'état et plus globalement les méthodes de détection par comportement sont plus efficaces. Un focus sera donc fait sur les cas d'usage industriels. L'état de l'art sur les NIDS en général et sur la modélisation de protocole met en évidence la pertinence d'un suivi d'état et de positionner notre proposition de suivi d'état au sein d'un NIDS parmi les moteurs de détection d'anomalie par spécification de protocole (behavior-specification-based). Il a aussi permis d'identifier plusieurs langages de modélisation tels que les ASTD (Algebraic State Transition Diagrams), les Statecharts de Harel ou LOTOS. Une nouvelle méthode d'inférence d'un modèle de protocole est proposée. Elle consiste à dériver un modèle de protocole existant en le confrontant à un cas d'usage représenté par un jeu de données, afin de définir un nouveau modèle, spécialisé sur un cas d'usage. Un prototype a été développé et une expérimentation a été réalisée à l'aide du protocole POP3.Enfin, un paradoxe a été constaté lors de l'état de l'art: depuis près de 20 ans, la littérature scientifique sur les IDS s'est essentiellement concentrée sur les méthodes basées sur les anomalies et démontre des résultats bien meilleurs que les méthodes basées sur les signatures. Or actuellement sur le marché, il n'y a que très peu de solutions s'appuyant sur des méthodes basées sur les anomalies. Ainsi, de façon connexe aux objectifs principaux de la thèse, une étude complémentaire a été réalisée et propose trois nouveaux critères de comparaison des IDS qui pourraient expliquer la faible adoption des méthodes basées sur les anomalies : la qualité d'explication des moteurs de détection, la qualité et la richesse des bases de connaissances, la facilité d'utilisation.