Un honeypot est généralement utilisé comme complément à d’autres composants de sécurité informatique comme le système de détection d’intrusion (IDS) et les pare-feu, fournissant ainsi une fonction de contrôle additionnelle. Un avantage majeur de l’utilisation d’un honeypot est l’obtention de données très pertinentes. Comme un honeypot en fonctionnement normal n’assume aucune fonction, chaque activité dans ce système de contrôle représente une attaque potentielle. Toutes les données qui sont enregistrées par le pot de miel sont donc pertinentes pour la sécurité. Toutefois si les systèmes en production sont surveillés, l’analyse des données nécessite alors une étape supplémentaire dans laquelle les données relatives à l’attaque sont filtrées de l’ensemble des données.
Cependant, il faut bien se rappeler qu’un honeypot ne fournit pas toujours des informations exploitables. Si l’appât est trop peu attractif ou difficile à atteindre, le risque est de n’avoir aucune attaque et donc un retour nul sur les investissements financiers et humains pour la mise en place de ce système de sécurité.
Le potentiel gain de données pertinentes via les honeypots pour les entreprises se caractérise aussi par un risque supplémentaire. Comme le système de diversion leurre ponctuellement les pirates, il existe toute de même un risque que ces derniers causent plus de dégâts sur le réseau lors d’une effraction du honeypot. Toutefois, vous pouvez réduire ce risque par une séparation maximale entre les systèmes en production et l’honeypot ainsi qu’en maintenant une surveillance constante de toutes les activités dans les systèmes de leurre. Il est enfin important de limiter les dégâts à l’extérieur. Pour empêcher l’utilisation d’un honeypot comme point de départ d’attaques de hackers sur d’autres systèmes, les connexions sortantes doivent être réduites à son minimum.
Équiper un honeypot côté serveur à forte interaction avec les mêmes systèmes de sécurité que le système en production peut être utile pour s’assurer de la qualité de la sécurité. Dans ce cas, les données enregistrées permettent des conclusions directes sur l’efficacité du système de sécurité. Si une récession est enregistrée au niveau du honeypot, il est alors nécessaire de vérifier si le système en production a été infiltré. En outre, les deux systèmes doivent être adaptés pour prévenir les attaques futures sur le même modèle.