Memoire Fatima Léonie Cissé - 3

ETUDE ET MISE EN PLACE D’UN SYSTEME DE DEFENSE CONTRE LES CYBERATTAQUES
MEMOIRE FIN DE FORMATION POUR L’OBTENTION DU DIPLOME DE

LICENCE PROFESSIONNELLE EN TELECOMMUNICATIONS ET
INFORMATIQUE
OPTION : TELECOMMUNICATION ET INFORMATIQUE

SPECIALITE : ADMINISTRATION ET SECURITE RESEAU
THEME
ETUDE ET MISE EN PLACE D’UN SYSTEME DE DEFENSE

CONTRE LES CYBERATTAQUES
Sous la direction de Présenté et Soutenu

M. Oumar Samba BA
Enseignant Chercheur à l’ESMT Mlle Fatima Léonie Cissé
Promotion 2018-2021
Octobre 2021
REALISE ET SOUTENU PAR Fatima Léonie Cissé

2020-2021 Page 1
DEDICACE
A ma famille,
A mes chers parents ,
A mes professeurs,
Amis et Camarades
Je vous dédie ce travail pour vous démontrer tout

l’amour, le respect et l’infinie gratitude que je vous
porte. Que Dieu vous bénisse et vous accorde bonheur,
santé et longévité afin que vous puissiez assister à
l’accomplissement de nos projets futurs.
Mention spéciale à mes parents, mes deux jumelles,
tous les mots ne sauraient exprimer ma considération
que j’ai à votre égard. Merci à vous pour votre
dévouement, pour vos sacrifices, votre éducation et
pour vos dures journées de travail afin de m’assurer un
bel avenir.

2020-2021 Page 2
REMERCIEMENTS
La réalisation de ce mémoire a été possible grâce à Dieu et à la contribution de plusieurs personnes à qui
nous voudrions témoigner toute notre gratitude.
Nous adressons nos remerciements :
A notre encadreur M. BA Oumar Samba pour sa disponibilité, ses conseils, et sa foi en nos capacités.
A notre famille, mes très chers frères pour leur soutien et leur encouragement.
A mes deux adorables mères pour leur attention et leur soutient.
A Mr Abdoulaye Diarra pour sa présence et son soutien morale tout au long de mon travail.
A nos promotionnaires, ce fut une chance de vous avoir côtoyé durant ces trois dernières années.

2020-2021 Page 3
GLOSSAIRE
SOC : Security Operating Center
CSIRT : Computer Security Incident Response Team
SIEM : Security Information Management System
CTI : Cyber Threat Intelligence
EDR : Endpoint Detection and Response
IDS: Intrusion Detection System
HIDS: Host Intrusion Detection Systems
NIDS : Network Intrusion Detection System
KIPS : Kernel Intrusion Prevention System
WIPS : Wireless Intrusion Prevention System
SI : Système d’Information
RSSI : Responsable Sécurité Système d’Information
TCP : Transmission Control Protocol
UDP : User Datagram Protocol
PPTP : Point-to-Point Tunneling Protocol
L2PT : Layer 2 Protocol Tunneling

2020-2021 Page 4
LISTE DES FIGURES
Figure 1 : Objectifs de la cybersécurité........................................................................15

Figure 2 : Stratégie SSI..............................................................................................18
Figure 3 : Composants SOC .......................................................................................19
Figure 4 : Limite entre SOC et CSIRT..........................................................................23
Figure 5 : Chaine de traitement d’un incident de sécurité...............................................23
Figure 6 : Mode de fonctionnement du SIEM ................................................................25
Figure 7 : Mode de fonctionnement de l’EDR ...............................................................30
Figure 8 : Tableau de bord IBM Qradar ......................................................................33
Figure 9 : Tableau de bord AlienVault .........................................................................34
Figure 11 : Tableau de bord Splunk.............................................................................35
Figure 12 : Architecture de snort ................................................................................39
LISTE DES TABLEAUX
Tableau1 : Répartition des activités SOC/CSIRT ...........................................................24

Tableau2 : Alarm type ...............................................................................................28
Tableau3 : Tableau comparatif des solution SIEM.........................................................36

2020-2021 Page 5
LISTE DES CAPTURES

Capture 1 : Architecture SI basique ............................................................................42
Capture 2 : Définition interface WAN Pfsense...............................................................44
Capture 3 : Ajout de carte réseau pour Pfsense.............................................................44
Capture 4 : Assignation des interfaces pfsense ..............................................................45
Capture 5 : Affectation IP LAN Pfsense........................................................................46
Capture 6 : Adresses IP des 4 interfaces Pfsense ...........................................................46
Capture 7 : Interface Pfsense......................................................................................47
Capture 8 : Caractéristiques machine snort..................................................................47
Capture 9 : Interface d’écoute snort ............................................................................48
Capture 10 : Réseau local ..........................................................................................48
Capture 11 : Indication chemin Community rules ..........................................................49
Capture 12 : Snort as a Service...................................................................................50
Capture 13 : Statut de snort........................................................................................50
Capture 14 : Ressources d’OSSIM...............................................................................51
Capture 15 : Adresse de connexion AlienVault..............................................................52
Capture 16 : Page Login d’AlienVault .........................................................................52
Capture 17 : Enregistrement des actifs du SI ................................................................53
Capture 18 : Déploiement de HIDS .............................................................................53
Capture 19 : Architecture SI sécurisée .........................................................................54
Capture 20 : Scan DMZ ............................................................................................55
Capture 21 : Résultat Scan du Serveur web ..................................................................56
Capture 22: règle snort défini .....................................................................................56
Capture 23: Déploiement Agent OSSEC sur Snort .........................................................57
Capture 24 : Intrusion Attaquant dans la zone DMZ ......................................................58
Capture25 : Interface Mutillidae .................................................................................59
Capture 26 : Accès à l’interface User info ....................................................................60
Capture 27 : requête d’injection SQL...........................................................................60
Capture 28 : Information extraite de la base de données ................................................61
Capture 29 : Déclenchement alerte Snort .....................................................................62
Capture 30 : Rapport SIEM Events..............................................................................62
Capture 31 : Résultat Rapport AlienVault.....................................................................63
Capture 32 : Règles Pfsense bloquant WEB vers LAN/DMZ............................................63
2020-2021 Page 6
SOMMAIRE
GLOSSAIRE .............................................................................................................. 4
LISTE DES FIGURES................................................................................................. 5
LISTE DES TABLEAUX.............................................................................................. 5
LISTE DES CAPTURES.............................................................................................. 6
Introduction............................................................................................................... 8
Chapitre I : Présentation du sujet................................................................................. 9

1 Contexte et problématique du sujet......................................................................................10
2 Pertinence du sujet .............................................................................................................11
3 Objectifs.............................................................................................................................11
4 Résultats attendus...............................................................................................................11
Chapitre II : Généralités sur la Cybersécurité...............................................................12

1 Notion de Cybersécurité .....................................................................................................13
2 Enjeux et risques de la cybersécurité en entreprise ..............................................................16
Chapitre III : Etude détaillée des solutions de cyberdéfense............................................17

1 Le SOC (Security Operating Center), La CERT/ CSIRT (Computer Security Incident Response
Team).................................................................................................................................19
2 Le SIEM (Security Information Management System) ..........................................................25
3 IDS/IPS ..............................................................................................................................26
4 EDR (Endpoint Detection Response) ...................................................................................29
Chapitre IV : Etude comparative des solutions de Cybersécurité .....................................32

1 Etude comparative des solutions SIEM ................................................................................33
2 Présentation du SIEM choisi...............................................................................................37
3 Présentation de l’IDS Snort et du pare feu Pfsense ..............................................................38
Chapitre V : Implémentation et test des solutions de Cyberdéfense retenues......................40

1 Description de l’architecture du système d’information .......................................................41
2 Implémentation et configuration des solutions .....................................................................43
3 Test des Solutions ...............................................................................................................54

2020-2021 Page 7
Introduction
Si la plupart des grandes entreprises sont déjà très avancées dans le domaine de la digitalisation, les plus petites
et moyennes entreprises commencent également à suivre leurs pas.
En effet, pour ces entités commerciales, la numérisation comporte de nombreux avantages : amélioration de
l’expérience client, optimisation des échanges d’informations et surtout évolution des méthodes et des moyens
de production. La numérisation implique donc la création et le stockage de multitudes de fichiers et de données
ainsi que la mise en place d’un réseau informatique performant.
Cela étant dit, la digitalisation comporte également des points faibles. Les systèmes d’information (SI) se
trouvent de plus en plus au contact de l’internet, siège d’une cybercriminalité de plus en plus croissante et
sophistiquée. Parmi ceux-ci, on peut notamment citer les risques de fuites de données via les cyberattaques et
autres menaces. Les entreprises étant très dépendantes de leur système informatique, la moindre action de
cybercriminalité sur leur système pourrait négativement impacter sur le déroulement des travaux et
communément au niveau financier. Il est alors crucial pour une entreprise d’assurer la sécurité de son système
informatique et la traçabilité des actions entrantes et sortantes au niveau des systèmes. Cette sécurité se traduit
tout simplement par l’assurance de la disponibilité, l’intégrité, la confidentialité et la non répudiation.
Sur ce pour mener à bien cette mission, plusieurs solutions de sécurité se présenteront à l’entreprise à savoir
la CSIRT (Computer Security Incident Response Team), SOC (Security Operating Center) associé au SIEM
(Security Information Management System) ainsi que d’autres techniques de détection et de réponse aux
incidents de sécurité informatique.
Une bonne combinaison de ces solutions pourrait permettre à atteindre une visibilité complète sur les menaces
aidant ainsi les systèmes à prévenir ou au cas extrême surmonter les attaques d’origines internes ou externes.
Ainsi pour un bon déroulement du travail, nous débuterons avec notre 1 er chapitre par une présentation de
notre sujet, puis nous ferons focus sur la notion de cybersécurité (Définitions, Enjeux et Risques) dans le 2 ème
chapitre. Ensuite une étude détaillée puis comparative de nos solutions de cybersécurité sera développée dans
les chapitres 3 et 4 et enfin nous passerons à l’implémentation puis tests de nos solutions au niveau de notre
chapitre 5.

2020-2021 Page 8
Chapitre I : Présentation du sujet

2020-2021 Page 9
1 Contexte et problématique du sujet
La Transformation Digitale, la Dématérialisation ou tout simplement le développement de l’Economie

Numérique suffiraient-ils pour élucider l’origine majeure de l’explosion fulgurante des cas de cyberattaques
dans le monde ?
En effet, plus que jamais la numérisation des entreprises s’accélère ce qui semble être qu’à ses débuts . Cette
dernière se traduit par une dématérialisation massive des systèmes informatiques vers le cloud, l’explosion de
l’internet des objets, l’accumulation des données provenant des utilisateurs dans le big data. Ainsi Le
principale risque induit par cette transformation numérique est la professionnalisation de la cybercriminalité
face à un niveau de protections des entreprises nettement insuffisant ; ce qui engendrera ainsi une
multiplication des cas de cyberattaques touchant tant des acteurs institutionnels et économiques que de simples
particuliers.
Retournons tout juste 4 ans en arrière (Mai 2017), l’histoire nous décrira un ransomware du nom de WannaCry
qui a eu à infecter plus de 300.000 ordinateurs dans le monde. Il s’agit d’un programme malveillant de
chiffrement de fichier qui a exploité une faille sur les systèmes Windows ; l’enjeux était tout simplement de
crypter les données de la cible puis d’une demande de rançon afin de partager la clef de décryptage. La
propagation de ce rançongiciel a finalement été ralenti grâce à l’ingéniosité de l’expert britannique Marcus
Hutchins. Cependant cela n’empêchera pas l’éclosion d’une nouvelle attaque au mois de juillet qui exploite
non seulement la même faille que WannaCry mais ira plus loin Encore. En effet c ette attaque du nom Notpetya
crypte non seulement les fichiers de la cible mais rend le disque dur inaccessible.
Ainsi l’histoire nous démontrera que des multitudes d’attaques d’envergure internationale suivront dans le
monde informatique en regard de toutes solutions développées pour refermer les brèches d’autant plus que les
enjeux deviennent énormes :
Intérêts économiques
✓ Extorsion ou vol d’argent à un particulier ou entreprise
Intérêts politiques
✓ Vol, falsification ou corruption de données
✓ Prise de contrôle voire paralysie des systèmes de l’état
Il est alors temp de se poser la question à savoir comment aider les entreprises à mieux se protéger contre les
cyberattaques ?

2020-2021 Page 10
2 Pertinence du sujet
Une entreprise victime d’une cyberattaque, perd sa crédibilité auprès de ses clients et connait une baisse de
son chiffre d’affaires. Ce qui fait la mise en place d’un système de défense contre les cyberattaques un sujet
pertinent qui permettra d’atténuer les risques d’attaques d’autant plus que les attaqu ants font de plus en plus
preuve d’ingéniosité et leurs scénarios deviennent de plus en plus complexes.
Une étude puis mise en œuvre des solutions de sécurité nous permettront de garder nos systèmes à chaud
contre toute tentatives d’intrusions et nous donne une forte volonté de sécuriser les informations, les données
et les appareils.
Notre thème se résume tout simplement à une combinaison de solutions de sécurité afin de lutter contre les
cyberattaques. Des Solutions dont les fondements se reposeront sur la CSIRT (Computer Security Incident
Response Team) ou le SOC (Security Operating Center) qui nous fournira une équipe de base avant d’en
arriver aux matériels et technologies qui feront surement appel au SIEM (Security Information Management
System) combiné aux techniques de détection d’intrusion et pares-feux.
Ce qui nous amènera à étudier voire mettre en place un système de défense efficace pour les cyberattaques et
donc se fixer des objectifs bien définis.
3 Objectifs
Pour mener à bien notre travail, nous nous sommes fixés comme objectifs :
➢ Mener une étude détaillée et comparative des différentes solutions permettant d’éviter les
cyberattaques.
➢ De créer un environnement virtuel qui abritera notre lab.
➢ Mettre en place un Système d’information basique qui fera office de cadre d’étude et de tests.
➢ Implémenter puis tester notre système de défense contre les cyberattaques mise en place.
4 Résultats attendus
La finalité de ce mémoire consistera à schématiser un système d’information pour une entreprise fictive puis
déployer des solutions de sécurité (Equipe SOC/CERT, SIEM, IDS/IPS, Pare feux) à tout niveau afin de le
protéger de toute attaque ciblant ses actifs. En d’autres termes obtenir un SI sécurisé et immunisé contre les
cyberattaques.

2020-2021 Page 11
Chapitre II : Généralités sur la Cybersécurité

2020-2021 Page 12
L’objectif de ce chapitre est d’éclairer les lanternes sur la notion de cybersécurité et son apport aux
entreprises.
1 Notion de Cybersécurité
Depuis quelques années, la cybersécurité est devenue un sujet d’actualité pour la majeure partie de la société :
✓ Pour les entreprises et les infrastructures critiques qui ont besoin de protéger leurs installations
et leurs biens
✓ Pour les individus qui cherchent à protéger leurs installations, biens et données personnelles
✓ Pour les gouvernements dans le cadre de la Cyberguerre.
Vu son importance pour les acteurs sociaux, il serait sans aucun doute vital de bien cerner cette terminologie.
Sur ce, elle se présente comme la mise en œuvre d’un ensemble de techniques et de solutions de sécurité pour
protéger la confidentialité, l’intégrité et la disponibilité des informations. Cette protection doit couvrir tout le
cycle de vie des données, de leur génération et traitement, à leur transfert, stockage et élimination. Ce qui
équivaut à protéger les informations et les données confidentielles de votre entreprise contre tout accès non
autorisé en mettant en place plusieurs protocoles de sécurité. L'idée est d'atténuer ces menaces dan s leur
ensemble, non seulement pour l'entreprise, mais également pour ses clients. La cybersécurité prend en compte
dans ce cas :
✓ La sécurité applicative
✓ La sécurité réseau
✓ La reprise sur incident/continuité de l’exploitation
✓ La sécurité opérationnelle
✓ La sensibilisation de l’utilisateur final
Au-delà de ces définitions, elle engendre une large gamme de vocabulaires qui sont souvent cités en parallèle
et qui nous aident à mieux comprendre la notion de Cybersécurité. Il s’agit de :
• Système d’information :
C’est l’ensemble des ressources de l’entreprise qui permettent de créer, collecter, stocker, traiter et modifier
des informations sous divers formats.
• Cybercriminalité
Cette dernière est une notion large qui regroupe toutes les infractions pénales susceptibles de se commettre sur
au moins un système d’information généralement connecté à un réseau. Il s’agit d’une nouvelle forme de

2020-2021 Page 13
criminalité et de délinquance qui se distingue des formes traditionnelles car ciblant un espace virtuel, le
Cyberespace.
• Cyberespace
Il désigne le monde de l’informatique virtuelle et, plus spécifiquement un support électronique utilisé pour
former un réseau informatique mondial afin de faciliter la communication en ligne.
• Cyberattaque
C’est le fait de mettre en place un acte de malveillance envers des systèmes d’information en ciblant différents
dispositifs informatiques. Cela peut passer par des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou
non à Internet, des équipements périphériques tels que les imprimantes, ou encore des appareils communicants
comme les téléphones mobiles, les smartphones ou les tablettes.
• Cyberdéfense
Elle est l’ensemble des mesures techniques et non techniques permettant à une infrastructure de défendre dans
le cyberespace les systèmes d’information jugés essentiels.
• Cyberguerre
Elle consiste en l’utilisation d’ordinateurs et d’internet pour mener une guerre dans le cyberespace. Les acteurs
de ses attaques demeurent les groupements de pirates informatiques, les organisations terroristes, les escrocs
de tout genre mais aussi les armées et les organisations gouvernementales.
• Cyberterrorisme
C’est l’ensemble des attaques graves (virus, piratage, etc.) et à grande échelle des ordinateurs, des réseaux et
des systèmes informatiques d’une entreprise, d’une institution ou d’un état, commises dans le but d’entrainer
une désorganisation générale susceptible de créer la panique.
• La notion de Cyber Threat Intelligence

La Cyber Threat Intelligence s’est imposée comme un outil essentiel pour les entreprises désireuses de mettre
en place une réelle stratégie autour du risque cyber. La Cyber Threat Intelligence a pour but la collecte et
l’organisation de toutes les informations liées aux cybermenaces afin de dresser un portrait des attaquants et
d’en dégager des tendances (secteurs touchés, méthodes et techniques d’exploitation…). La CTI permet de
connaître, de mieux se défendre et d’anticiper pour détecter les prémices d’une attaque.
Sur ce les objectifs de la cybersécurité reposent sur le renforcement de trois capacités :

2020-2021 Page 14
• Capacités de prévention
Les vulnérabilités et les menaces sont analysées pour mettre en œuvre les mesures ou contrôles nécessaires
pour atténuer les risques pour la cybersécurité. Il peut s’agir des sensibilisations des personnes, des copies de
sauvegardes, d’installation d’antivirus et de pare-feu, de la politique de confidentialité, du cryptage des mails,
des restrictions d’accès aux informations par type d’utilisateur, etc.
• Capacités de détection des menaces
Le processus de cybersécurité doit prendre en compte la manière de détecter les nouvelles menaces complétant
ainsi les capacités de prévention. Pour cela, il est nécessaire de réaliser un suivi en temps réel du système de
cybersécurité et de gérer les vulnérabilités des différents actifs utilisés.
• Capacités de réaction
Une série de protocoles doit être incluse pour être mise en œuvre lorsqu’une cyberattaque se produit ou qu’une
menace est détectée. L’objectif est de minimiser tout dommage éventuel, d’assurer l’intégrité et la
confidentialité des informations
Figure 1 : Objectifs de la cybersécurité
Quels sont les menaces les plus redoutées auxquelles la cybersécurité tente de nous protéger ?
• Le Phishing : cette attaque consiste en l’usurpation d’identité d’un tiers de confiance (banques,
administrations, fournisseurs, etc.) afin d’obtenir des renseignements personnels et des identifiants bancaires
pour en faire un usage criminel.
• Le ransomware : les ransomware sont des logiciels informatiques malveillants qui ont infectés votre
ordinateur et pris en otage vos données personnelles. Une rançon sera alors exigée par l’auteur de c e crime en
échange de la clé de déchiffrement qui vous permettra de recouvrer – ou non – vos données.
• Les attaques DDoS : les attaques « déni de service » rendent un serveur ou une infrastructure
indisponible en envoyant de nombreuses requêtes jusqu’à saturation ou en exploitant une faille de sécurité.
• Le Cheval de Troie : le Cheval de Troie est un logiciel en apparence légitime qui a pour but de faire
entrer une fonctionnalité malveillante au sein d’un appareil et de l’installer à l’insu de son utilisateur.
• Le ver informatique : un ver informatique est un logiciel malveillant qui diffuse des virus et se
reproduit sur plusieurs ordinateurs en utilisant un réseau informatique comme internet.
• L’ingénierie sociale : ce sont des manipulations psychologiques ayant pour finalité l’escroquerie.
L’objectif est de soutirer à un utilisateur des données afin d’obtenir l’accès à un système d’information .

2020-2021 Page 15
2 Enjeux et risques de la cybersécurité en entreprise
Il n’est plus à mettre en doute que toutes les entreprises sont la cible d’attaques sur leurs données, leurs
systèmes d’information ou leurs sites web. Qu’elles soient directement ciblées par des hackers ou victimes de
dommages collatéraux de mises à jour de sécurité défaillantes par un bot malveillant, toutes les organisations
sont sous la menace d’un risque de cybersécurité.
Une cyberattaque a lieu toutes les 39 secondes dans le monde. Dans ce cas protéger son système d’information
n’est plus un luxe ou un plus, c’est une nécessité. Désormais, aucune entreprise ne peut faire l’impasse sur
cette obligation.
De ce fait Les entreprises ont investi dans la cybersécurité ; en 2019, c’est une immense majorité, à savoir
80%, des entreprises qui ont révélé avoir été la victime d’au moins une cyberattaque. Il ne s’agit là que des
entreprises qui ont souhaité communiquer sur la question. Nombreuses sont celles qui préfèrent faire preuve
de discrétion sur la question et n’avouent pas avoir été ciblées, par crainte d’entacher de manière irréversible
leur réputation auprès de leurs clients. Face à l’accélération des cyber risques, les entreprises ont su faire face
et développer des outils d’adaptation pour répondre aux enjeux posés par la cybersécurité. En effet, 40%
d’entre elles ont installé un programme de cybersécurité pour optimiser la gestion de leurs données et réduire
leur vulnérabilité pour lutter contre les risques liés à l’utilisation croissante du cloud.
Pour autant, 32% des entreprises estiment que leur système de protection n’est pas suffisamment adapté aux
enjeux actuels et à l’évolution constante des menaces. L’un des aspects les plus problématiques de la
cybersécurité tient à la constante et rapide évolution des risques pour la sécurité. C’est pourquoi Adam Vincent
(Directeur technique pour le secteur public chez layer 7 Technologies) affirme que :
‘‘Les menaces évoluent trop vites pour que nous ayons le temp de les suivre. Elle modifie notre
perception de la notion de risque. Aujourd’hui il n’est plus possible de rédiger un livre blanc sur un
risque pour un système particulier, il faudrait le réécrire en permanence’’.
Ainsi, La cybersécurité pose de nouveaux défis à la gouvernance d’entreprise . Premièrement, elle est d’une
extrême complexité, car les changements technologiques sont très rapides et fortement interconnectés.
Deuxièmement, les cyber-risques ne peuvent pas être traités de manière traditionnelle en termes de réflexion
et d’action. Ils représentent une menace qui, sur la base des outils de planification stratégiques classiques, n’est
pas prévisible et ne se déploie pas non plus selon des règles connues. Alors que par le passé, toute défaillance
entraînait l’immobilisation complète d’un site de production, aujourd’hui, tout semble continuer à fonctionner
normalement, même lorsqu’un agresseur s’introduit dans les systèmes, pirate des identités ou fouille le réseau
de l’entreprise pour y récupérer des données de valeur.

2020-2021 Page 16
Chapitre III : Etude détaillée des solutions de cyberdéfense

2020-2021 Page 17
La sécurité d’un SI doit être abordée selon les points suivants :
❖ Gouvernance
Il s’agit de déterminer la cible de sécurité que l’entreprise s’est choisie et donc d’identifier les
acteurs, les rôles, les règles et les processus qui régissent la sécurité du SI.
❖ Protection
Etude puis mise en place des mesures de protection organisationnelles et techniques nécessaires
pour mitiger les risques afin que la sécurité du SI mise en place soit conforme à la cible de
sécurité et aux multiples exigences réglementaires auxquelles l‘entreprise est soumise.
❖ Détection/Réaction
Sélection puis mise en place des mesures de sécurités relatives à la surveillance des inc idents
de sécurité et à leur traitement.
❖ Remédiation/Reconstruction
Reconstruction de tout ou une partie du SI après une attaque réussie.
Figure 2 : Stratégie SSI
Cependant les mesures de protections ne peuvent pas être durablement efficaces. Pour la plupart des attaquants
ces mesures de sécurité ne représentent que des obstacles face à leur progression. Ainsi c’est face à cette
inefficacité des mesures de sécurité que les SIEM, SOC ou CSIRT ont été mises en place par un grand nombre
d’organisation.

2020-2021 Page 18
1 Le SOC (Security Operating Center), La CERT/ CSIRT (Computer

Security Incident Response Team)
a) Le SOC (Security Operating Center)
❖ Présentation
Le SOC implique une combinaison d’outils technologiques, de processus et de personnel dédiés à la
collecte, au tri et à l’investigation des incidents de sécurité.
• Des moyens Humains

Experts en sécurité informatiques : Opérateurs, Analystes, Pentester. Leur objectif
principal est d’analyser les événements pour répondre aux incidents dans un délai réduit.
• Des processus
Les processus du SOC sont spécifiques à la supervision et à l’administration de la sécurité du SI, la
détection et la résolution des incidents de sécurité mais également d’apporter des améliorations au
SOC.
• Des technologies
Autrement dit, l’ensemble des moyens techniques utilisés pour collecter, corréler, stocker et établir
un rapport sur les événements de sécurité. La solution de sécurité principale du SOC est le SIEM
(Security Information and Event Management).
Figure 3 : Composants SOC

2020-2021 Page 19
La mission principale d’un SOC consiste à surveiller, détecter, analyser et qualifier les évènements de sécurité.
Cette dernière se subdivise en trois activités majeures pouvant être gérées indépendamment :
➢ Supervision/Qualification/Alerting
➢ Pilotage des incidents de bout en bout
➢ Traitement Standardisé d’un incident
En plus de cette mission, le SOC peut également se voir confier des missions additionnelles en fonction des
organisations, telles que :
✓ La conservation des logs

✓ L’investigation sur incident appelée inforensic ou forensic
✓ La gestion des vulnérabilités
✓ Un rôle de sécurité opérationnelle,
✓ La sensibilisation des utilisateurs et la communication de la sécurité
✓ Classification et triage des évènements
✓ Correction et reprise
✓ Evaluation et audit
En complément des aspects organisationnels et techniques décrits dans les paragraphes précédents, Les
moyens humains sont mis à disposition en différents niveaux. Les données traitées par les acteurs du SOC sont
par définition sensibles ; ce qui fait qu’il est attendu de la part de ses acteurs un sens éthique appuyé. Les
équipes SOC sont constituées de 4 à 5 personnes ayant des rôles et des respo nsabilités :
➢ Analystes niveau 1 et 2
Leur état d’esprit souvent assimilé à celui d’un chasseur ; les analystes trouvent leur motivation dans la traque
des attaquants et l’investigation. Ils interprètent les évènements de sécurité puis traitent les alertes et incidents.
Selon les incidents, les analystes sont classés par niveau à l’image d’un centre de support :
• Les analystes de niveau 1 dégrossissent et préqualifient les alertes, appels, tickets. Leur
première tâche consiste à formaliser et enregistrer le contexte de l’incident.
• Les analystes de niveau 2 sont, quant à eux chargés de traiter les incidents ne relevant pas des
cas standards.
➢ Ingénieur de sécurité niveau 3
Ils ont souvent l’expertise sur les méthodes d’attaques et jouent le rôle de pompiers sur des interventions
d’urgence en cas de pannes informatiques. Ils rencontrent aussi régulièrement les autres employés pour les
sensibiliser aux enjeux de la sécurité. Ils sont aussi appelés à avoir un excellent niveau de capacités
rédactionnelles et de synthèses.

2020-2021 Page 20
➢ Responsable SOC
Il s’agit du dirigeant de l’équipe SOC qui allie des qualités managériales et techniques. Il fédère l’équipe et
assure une bonne communication entre le SOC et les autres entités de l’entreprise.
❖ Mode de fonctionnement
Le SOC s’appuie sur plusieurs outils pour corréler et analyser des sources de logs multiples et garantir une
protection cyber plus efficace
✓ Firewall
✓ IDS/IPS
✓ Web Application Firewall
✓ Anti-malware…
✓ EDR (Endpoint Détection and Response)
Lors d’une attaque, l’équipe qui gère les événements au sein du SIEM recoit une alerte qui amène la création
d'un ticket d'incident. Elle transmet aussitôt après les informations au niveau de l’équipe chargées d’analyser
la menace (analystes) qui fait une première qualification et une analyse initiale en suivant la documentation
relative à chaque scénario. Si l'incident n'est pas grave, il est traité directement.
Dans le cas contraire, les informations sont envoyées aux ingénieurs en sécurité ainsi qu’à l’équipe ethical
hacking qui va traiter la menace et qui travaillent en étroite collaboration avec les équipes en charge du secteur
concerné par l'attaque et peuvent aussi faire appel à l'équipe CSIRT.
❖ Avantage d’un SOC au sein d’une entreprise
Implanter un SOC dans une société permet d'améliorer trois points cruciaux pour votre système d'information :
son contrôle, la détection des attaques et la réponse aux incidents ainsi que sa mise en conformité (PCI DSS).
La surveillance 24h/24 et 7j/7 fournie par un SOC sur l’activité des données sur les réseaux, les points finaux,
les serveurs et les bases de données d'une organisation donne aux entreprises un avantage pour se défendre
contre les incidents et les intrusions, indépendamment de la source, de l'heure de la journé e ou du type
d'attaque. Avoir un centre des opérations de sécurité aide les entreprises à combler l'écart entre le temps que
prend l’hackeur pour compromettre le système et le temps de détection de la menace, ainsi qu’à rester au fait
des menaces qui pèsent sur leur environnement.

2020-2021 Page 21
b) CERT (Computer Emergency Response Team) /CSIRT (Computer Security

Incident Response Team)
Un CERT est composé d’une équipe d’experts en sécurité informatique qui a comme objectif de prévenir et
de réagir en cas d’incidents informatiques. Il doit également être en mesure d’améliorer les processus
sécuritaires des parties prenantes avant la survenue ou détection d’un incident.
L’équipe répond aux incidents en proposant des services indispensables pour le traitement des attaques. Ces
services se répartissent en 3 catégories :
• Réactifs (Alertes de vulnérabilités, gestion des incidents)

• Proactif (Détection d’intrusion, audit et diffusion d’information)
• Le traitement des artéfacts : Il s’agit de l’analyse de tout fichier ou objet présent dans un système
pouvant participer à un acte malveillant (traces de virus, vers, script, cheval de Troie). Il inclut
également le traitement et la diffusion des informations.
• Gestion de la qualité de la sécurité (Analyse de risque, Planification de la reprise après sinistre,
éducation et formation)
La différence entre les services réactifs et proactifs est que les services réactifs ont comme objectif de prévenir
les incidents en sensibilisant et en formant. Alors que les services proactifs ont pour but de gérer les incidents
et de réduisent les dommages qui en découlent
Les types d’incidents que l’équipe sera en mesure de traiter sont :
• Incidents de Dos
• Incidents de codes malveillants
• Attaque interne ou externe
• Activité illégale
Rien que pour assurer ‘La confiance numérique’ c’est à dire la protection des infrastructures, des systèmes
d’informations, du cyberespace dans l’ensemble, un état devrait mettre en place un CSIRT qui l’aidera à se
prémunir des outils, connaissances, ressources et capacités nécessaires pour éliminer toutes les vulnérabilités
des SI mais aussi de garantir la veille des cybermenaces, prévenir et réprimer les actes de cybercriminalités.
Le temps de réponse est un facteur essentiel dans la constitution, la gestion e t le déploiement d'un CSIRT
performant. En effet, une réaction rapide, bien ciblée et efficace peut réduire les dommages financiers,
matériels et logiciels provoqués par un incident donné. Une autre considération importante porte sur la capacité
du CSIRT à rechercher les responsables d'un incident afin de les mettre hors d'état de nuire et de les poursuivre

2020-2021 Page 22
en justice. Enfin, un troisième aspect concerne le « renforcement » des logiciels et de l'infrastructure dans le
but de réduire le nombre d'incidents susceptibles de se produire à long terme.
c) SOC et CSIRT
➢ La limite entre SOC et CSIRT

Elle n’est pas toujours évidente à tracer. Seul un modèle de gouvernance et des responsabilités clairement
établies permettent de partager détection, réaction et suivi des incidents. Les adhérences entre le modèle de
sécurité de l’Entreprise et l’organisation de l’Entreprise peuvent constituer un frein supplémentaire au partage
des tâches et responsabilités (il n’est pas rare que les fonctions/rôles des deux entités soient p ortés par les
mêmes personnes). Il est cependant communément admis que le SOC est responsable de la gestion des
vulnérabilités, de la détection et de la qualification des incidents de sécurité alors que le CSIRT est responsable
de la gestion de crise cyber (notion plus large que la réaction à un incident de sécurité) et de la veille autour
des cybermenaces (y compris les analyses forensiques).
Figure 4 : Limite entre SOC et CSIRT
➢ Synergies entre SOC et CSIRT

Si la limite entre les deux entités n’est pas clairement définie, les adhérences et interfaces n’en sont que plus
nombreuses. Ainsi, en considérant la chaîne plus détaillée présentée ci-dessous, le curseur du partage des
missions est laissé à l’appréciation de l’organisation. L’efficacité de la sécurité dépend de la complétude de la
chaine et non de la répartition des missions. Si le traitement et la veille sont généralement confiés au CSIRT,
il faut noter que l’objectif est que le SOC gagne en maturité et en efficacité au fur et à mesure du traite ment
des incidents. Selon ce modèle de maturité, le CSIRT n’est alors sollicité (en escalade) qu’en cas de nouvelle
attaque (inédite) nécessitant une expertise spécifique.
Figure 5 : Chaine de traitement d’un incident de sécurité

2020-2021 Page 23
Le tableau ci-dessous propose une répartition typique des activités. Comme précisé dans les paragraphes ci-
dessus, chaque organisation est libre d’adapter les missions des entités SOC et CSIRT du moment que la
chaine de traitement est considérée de bout en bout.
SOC CSIRT
Gestion des vulnérabilités sur le Responsable Contribue (cf. Veille)
périmètre
Collecte des événements sur le périmètre Responsable
Gestion des règles de corrélation Responsable
d’évènements
Pondération des événements => émission Responsable
d’alertes
Qualification de l’incident(instruction) Responsable/Contributeur Responsable/Contributeur
Pilotage de la remédiation Contribue Responsable. Veille à
l’industrialisation de la
remédiation
Gestion de cybercrise Contribue Responsable
Veille technologique / Veille menaces Responsable
Analyse post-mortem Responsable
Tableau1 : Répartition des activités SOC/CSIRT

2020-2021 Page 24
2 Le SIEM (Security Information Management System)

a) Présentation
Le « Security Information and Event Management » appelé également « Security Event Information
Management » est un outil de gestion des données liées à la sécurité d’une entreprise ou d’une quelconque
organisation dotée d’un réseau informatique.
Une solution de SIEM combine des fonctions de gestion des informations SIM (Security Information
Management) et des évènements SEM (Security Event Management) au sein d’un système unique de gestion
de la sécurité.
➢ Un système SIM collecte des données et les place dans un référentiel central à des fins d’analyse
de tendances puis génère un rapport de conformité qui sera automatisé et centralisé.
➢ Un système SEM centralise le stockage et l’interprétation des logs. Il peut effectuer la surveillance
des menaces, la corrélation des événements et la réponse aux incidents en analysant les données
du journal et des événements en temps réel. Il permet une analyse en quasi-temp réel qui donnera
l’opportunité au personnel de sécurité d’agir le plus rapidement possible.
b) Mode de fonctionnement
Le SIEM se présente en principe sous forme de logiciel qui centralise toutes les données récoltées et fournies
par les différents équipements de sécurité, les applications ainsi que les ordinateurs hôtes d’une entreprise :
les pares-feux, les routeurs, les interrupteurs, les serveurs, les systèmes de détection et de prévention
d’intrusion, … L'étape suivante consistera à effectuer une analyse pour l'identification et la catégorisation des
incidents et événements. C’est à partir de là que les outils SIEM vont déterminer s’il y a ou non des menaces
telles que la déstabilisation, l’espionnage, le sabotage ou encore la cybercriminalité, portée à l’encontre du
système d’information. Ces outils SIEM émettront alors des alertes dans la mesure où ces menaces sont
avérées.
Figure 6 : Mode de fonctionnement du SIEM

2020-2021 Page 25
3 IDS/IPS
a) Présentation
Avec sa technologie polyvalente, un système de détection d’intrusion peut déceler les attaques qu’un pare feu
classique ne peut détecter
On appelle IDS (Intrusion Detection System) un ensemble de composants logiciels et matériels

écoutant le trafic réseau de manière furtive afin de repérer toute entrée non autorisée et / ou
tout activité malveillante. L’objectif principal de tout IDS est de prendre sur le fait les auteurs
avant qu’ils ne puissent vraiment endommager vos ressources. Ils peuvent être utilisés pour
collecter des informations sur une intrusion, gérer de manière centralisée les attaques, effectuer
un 1 er diagnostique sur la nature d’une attaque, analyser l’intégrité des données, des
configurations et du réseau contre toute vulnérabilité.
On appelle IPS (Intrusion Prevention System) un mécanisme qui s’implémente en mode inline
et qui permet de détecter, prévenir et réagir automatiquement à un trafic ou programme
malveillant. Ils constituent un système de control qui accepte ou rejette un paquet suivant de
nombreuses règles.
Et donc les systèmes IDS et IPS sont complémentaires et peuvent être déployés sur le réseau
sous différentes technologies selon la localisation et la fonction remplie :
✓ NIDS (Network-based Intrusion Detection System)
✓ HIDS (Host-based Intrusion Detection System)
✓ NIPS (Network-based Intrusion Prevention System)
✓ HIPS (Host-based Intrusion Prevention System)
✓ KIPS (Kernel Intrusion Prevention System)
✓ WIPS (Wireless Intrusion Prevention System)
La technologie IDS / IPS recouvre, dans ce cas, des taches spécifiques et importantes en matière de stratégie
de cybersécurité :
✓ Application de la politique
✓ Automatisation
✓ Conformité

2020-2021 Page 26
Les différentes méthodes de détection peuvent être étudié selon deux principales approches :
✓ Approche par scénarios ou détection d’abus (misuse détection)
C’est un système de détection à base de signatures qui consiste à rechercher, dans l’activité de l’élément
surveillé, les signatures (empreintes) d’attaques répertoriées dans une base de données ce qui fait qu’il ne
détecte que les attaques dont il possède l’empreinte.
Il existe différentes sous méthodes dans cette approche :
• Recherche de motif (pattern Matching)

Elle se base sur la recherche de chaines de caractères ou suites d’octets au sein du flux de données qui
permettent de reconnaitre les paquets suspects
➢ Recherche générique
➢ Contrôle d’intégrité
➢ Approche comportementale ou détection d’anomalies (anomalie détection)
• La détection d'anomalies
La détection d'anomalies consiste à détecter toute déviation par rapport à un modèle qui correspondrait à un
comportement normal.
✓ Approche Comportementale
Il s’agit tout simplement d’ignorer tout ce qui est ‘normal’ et déclencher une alerte si l’évènement s’écarte de
la ‘normal’.
Cette approche peut être divisée en 2 sous-catégories :
• Approche probabiliste
Des probabilités représentent une utilisation courante d’une application ou d’un protocole. Ainsi toute activité
ne respectant pas ce modèle générera une alerte
• Approche statique
Le but est de quantifier les paramètres liés à l’utilisateur : taux d’occupation de la mémoire, nombre d’accès à
l’intranet par jour, sites les plus visités. Cependant cette méthode est très difficile à mettre en place.

2020-2021 Page 27
En somme, l’IPS effectue une inspection des paquets en temp réel, inspectant en profondeur chaque paquet
qui circule dans le réseau. Si des paquets malveillants ou suspects sont détectés, l’IPS effectuera une des
actions suivantes :
➢ Mettre fin à la session TCP et empêcher l’IP source d’atteindre la cible de manière contraire à
l’éthique
➢ Supprimer ou remplacer tout contenu malveillant sui reste sur le réseau après une attaque
➢ Surveiller l’exécution des processus et les tuer s’ils ont l’air menaçant
➢ Bloquer le trafic ou envoyer des messages à d’autres routeurs pour modifier leur liste d’accès
➢ Reprogrammer ou reconfigurer le pare-feu pour éviter qu’une attaque similaire ne se reproduise
à l’avenir.
Pour un IDS, on peut envisager 4 comportements recensés dans le tableau suivant en fonction de la présence
d’intrusion dans le système informatique et de l’émission ou non d’une alerte provenant du système de
détection d’intrusions :
Alarm Type Network Activity IDS ACTIVITY Outcome

True positive Attack Traffic Alarm generated Ideal setting
True negative Normal user traffic No alarm generated Ideal setting
False positive Normal user traffic Alarm generated Tune alarm
False negative Attack traffic No alarm generated Tune alarm
Tableau2 : Alarm type
Figure3 : Mode de fonctionnement IDS

2020-2021 Page 28
4 EDR (Endpoint Detection Response)

a) Présentation
Tous les jours des milliers de terminaux (Endpoint) sont compromis par des hackers. Une approche
traditionnelle de la cybersécurité n’est désormais plus suffisante. Nous avons besoin d’outils avancés, comme
un système de détection et de réponse sur les points de terminaison, afin de faire face aux menaces avancées
L’EDR est un outil de sécurité complémentaire de l’antivirus Next gen avec lequel il travaille afin de bloquer
les menaces connues comme inconnues (zero-days). Il surveille les terminaux (ordinateurs, serveurs, tablettes,
téléphones…) et non le réseau du système d’information. L’avantage d’une solution EDR est de permettre à
une entreprise de se protéger à la fois contre les attaques connues (ex : un virus) mais aussi inconnues, en
analysant des comportements suspects. Il est caractérisé par ses capacités de détection, d’investigation et enfin
de remédiation.
b) Différence avec un antivirus ?

Un antivirus fonctionne avec un système de détection basé sur les signatures. Malheureusement c’est ici que
l’antivirus devient obsolète puisque si le malware analysé est inconnu des registres, il sera classé comme
fichier légitime. De plus, Les cybercriminels ne se cloîtrent plus à des méthodes d’attaques uniquement basées
sur des signature.
Beaucoup plus évolué qu’un antivirus traditionnel, l’EDR s’appuie sur des algorithmes d’intelligence
artificielle lui donnant la faculté d’être auto-apprenant et ainsi d’évoluer.
c) Mode de fonctionnement
Lorsque la solution EDR signale une menace, cinq options différentes sont proposées :
❖ Mesures préventives
➢ Stopper
Bloque immédiatement l’attaque en mettant fin à son processus

➢ Mettre en quarantaine
Déplace tous les exécutables qui constituent une menace vers une zone isolée
➢ Déconnecter du réseau
D éconnecte un terminal du réseau, évite ainsi la propagation

2020-2021 Page 29
❖ Mesures correctives
➢ Corriger
Supprime les dommages causés par la menace

➢ Restaurer
Restaure le terminal à partir d’un instantané et annule tous les dommages
Figure 7 : Mode de fonctionnement de l’EDR
d) Importance
Pour répondre aux attaques zero-day ou une menace persistante avancée (APT pour Advanced Persistent
Threat) et en analysant les comportements des services et fichiers présents sur la machine, l’EDR a la capacité
d’endiguer la menace proactivement de manière automatisée.
L’EDR est capable de surveiller l’exploitation de failles de sécurités en surveillant les appels noyaux et les
différents services habituellement ciblés notamment chez Windows. Cette capacité de surveillance et la
corrélation d’évènements lui permettent de reconnaître des méthodes et habitudes qu’ont les hackers et dont
il est plus difficile de se prémunir.
L’analyse comportementale est un autre point étudié par les EDR et qui permet de reconnaître des
comportements déviant d’une norme, après une phase d’ap prentissage. Grâce à cette analyse, l’EDR peut
émettre des alertes qui seront vérifiées et renforceront l’apprentissage. L’intérêt de cette technique est qu’elle
permet de stopper un attaquant dans son élan : si un PDF contient un script qui ouvre powershell et ouvre une
connexion sur un port classique d’un serveur extérieur au SI alors cette suite d’action sera considérée comme
anormale et va être bloquée par l’EDR. Cette visibilité est une grande force de l’EDR car elle permet une
remédiation à la source de l’infection.

2020-2021 Page 30
5 Les Pares-feux
a) Présentation
Le pare-feu est un matériel ou logiciel qui sert à déterminer les types de communications autorisés dans un
réseau informatique. Il surveille et contrôle les applications et les flux de données entre différentes zones
auxquelles on attribue un certain degré de confiance. Ce filtrage est basé sur plusieurs critères tels que :
✓ L’origine ou la destination des paquets (Adresse IP, port TCP ou UDP, interface réseau, etc.)
✓ Les options contenues dans les données (fragmentation, validité, etc.)
✓ Les données elle-même (taille, Correspondance à un motif, etc.)
✓ Les utilisateurs pour les plus récents
Il existe 2 types de pare feu :
✓ Le pare feux sans état qui ne mémorisent pas les états de connexion
✓ Le pare feux avec état qui lui mémorise pour permettre de laisser passer les paquets de réponse dans le
cadre du 3-way handshake (TCP).
Un système pare-feu contient un ensemble de règles prédéfinies permettant :
• D'autoriser la connexion (allow) ;
• De bloquer la connexion (deny) ;
• De rejeter la demande de connexion sans avertir l'émetteur (drop).
L'ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la politique de
sécurité adoptée par l'entité. On distingue habituellement deux types de politiques de sécurité permettant :
• Soit d'autoriser uniquement les communications ayant été explicitement autorisées
• Soit d'empêcher les échanges qui ont été explicitement interdits.
c) Importance
Une véritable protection contre les logiciels malveillants et les attaques déguisés en hackers. Ce système de
protection nous permet également de restreindre l’utilisation d’Internet pour bloquer les contenus
inappropriés ou interdits. Il surveille ef ficacement votre navigation, conserve une trace des pages parcourues
et évite tout accès à distance non autorisé.

2020-2021 Page 31
Chapitre IV : Etude comparative des solutions de Cybersécurité

2020-2021 Page 32
L’objectif principal de ce chapitre portera essentiellement sur une étude comparative des outils SIEM qui
constituent la base de notre système de défense. Puis, la présentation de snort et pfsense qui ont été
expressément choisis pour des questions d’efficacité, de ressources et pour un bon déroulem ent du travail.
1 Etude comparative des solutions SIEM

Le marché des outils SIEM est bien fourni avec plus d’une quarantaine de fournisseurs. Choisir un SIEM est
une tâche délicate. Le choix est justifié par les fonctions fournies, les spécifications et les besoins présents ou
futurs de l’entreprise. Nous allons nous fier aux avantages et inconvénients ainsi qu’à certaines caractéristiques
pour montrer différentes approches dans le choix d’un outil SIEM.
Nous allons poursuivre notre analyse en faisant l’étude de certains SIEM très utilisés à savoir IBM Qradar,
AlienVault OSSIM, SolarWinds, Splunk Enterprise.
a) IBM Qradar : The intelligent SIEM
IBM QRadar SIEM est un excellent outil de détection qui permet aux équipes de sécurité de comprendre les
menaces et d’hiérarchiser les réponses. Le Qradar prend les données d'actif, d'utilisateur, de réseau, de cloud
et de point de terminaison, puis les met en corrélation avec les informations sur les menaces et les
vulnérabilités. Après cela, il applique des analyses avancées pour détecter et suivre les menaces au fur et à
mesure qu'elles pénètrent et se propagent dans les systèmes.
IBM QRadar convient aux moyennes et grandes entreprises et peut être déployé en tant que logiciel, matériel
ou appareil virtuel sur un environnement sur site, cloud ou SaaS.
Figure 8 : Tableau de bord IBM Qradar

2020-2021 Page 33
b) AlienVault OSSIM
OSSIM (Open Source Security Information Management) est un système open source de gestion
d'informations et d'événements de sécurité, intégrant une sélection d'outils conçus pour aider les
administrateurs de réseaux dans la sécurité informatique, la détection et la prévention des intrusions .
En tant que système SIEM, OSSIM est destiné à donner aux analystes de sécurité et aux administrateurs une
vue plus complète de tous les aspects liés à la sécurité de leur système, en combinant la gestion des journaux
qui peut être étendue avec des plugins et la gestion et la découverte des actifs avec des informations de sécurité
de l'information dédiée.
En outre, AlienVault est disponible dans des plans flexibles pour s'adapter à toutes les tailles d'organisations.
Figure 9 : Tableau de bord AlienVault
c) SolarWinds Event Manager
Solarwinds dispose de capacités étendues de gestion des journaux et de rapports, réponse aux incidents en
temps réel. Il peut analyser et identifier les exploits et les menaces dans des domaines tels que les journaux
d'événements Windows, permettant ainsi aux équipes de surveiller et de traiter les systèmes contre les
menaces. Security Event Manager dispose d'outils de visualisation simples à utiliser qui permettent aux
utilisateurs d'identifier facilement les activités suspectes ou les anomalies. Il dispose également d'un tableau
de bord détaillé et facile à utiliser en plus d'un excellent support de la part des développeurs . La solution
SolarWinds convient aux petites et grandes entreprises. Il propose des options de déploiement sur site et dans
le cloud et fonctionne sous Windows et Linux.

2020-2021 Page 34
Figure 10: Tableau de bord Solarwinds Event Manager
d) Splunk Enterprise Security
Splunk Enterprise Security (ES) est une solution de sécurité de l'information et de gestion des événements
(SIEM) offrant un aperçu global des données générées à partir de technologies de sécurité comme les réseaux,
leurs extrémités, leurs points d'accès, les malwares, les vulnérabilités système et les renseignements d'identité.
L’un des leaders du marché, Splunk est relativement simple à utiliser et rapide à mettre en œuvre. Il possède
une interface graphique conviviale. De plus Splunk rime avec é volutivité : Votre réseau peut s’agrandir,
Splunk suivra. Il possède plusieurs méthodes de capture standard et personnalisées. Splunk dispose également
de forwarders à installer sur les équipements à superviser afin qu’ils puissent lui envoyer leurs log.
Figure 11 : Tableau de bord Splunk

2020-2021 Page 35
e) Tableau Comparatif
Splunk Entreprise Solarwinds Event Alien Vault OSSIM IBM Qradar

Security Manager
✓ Offrir un ✓ Détection ✓ Excellent filtrage
✓ Détecter les
aperçu global rapide des pour produire les
menaces en temps
des données activités résultats souhaités
réel
générée suspectes et
des menaces ✓ Capacité avancée
✓ Intègre de chasse aux
également des ✓ Surveillance ✓ Aide l'organisation menaces
F mécaniques de continue de la à se conformer aux
O réponses aux sécurité exigences PCI- ✓ Capacité
N menaces DSS d'analyser
C rapidement les
T ✓ Prend en ✓ Analysez un large données en vrac
I ✓ Permet de charge la éventail de
O lancer des conformité aux journaux de ✓ Détecter les
N actions de réglementation différentes threads cachés
N réponse s DSS, technologies et
A automatisées HIPAA, SOX, fabricants tout en ✓ Analyse du
L pour accélérer PCI, STIG, générant des comportement
I les tâches DISA et informations des utilisateurs
T manuelles autres. exploitables
E ✓ Modélisation des
S risques
Tableau3 : Tableau comparatif des solution SIEM

2020-2021 Page 36
2 Présentation du SIEM choisi

AlienVault OSSIM, Open Source Security Information and Event Management (SIEM), nous offre un SIEM
open source riche en fonctionnalités avec collection d’événements, normalisation et corrélation. Lancé par des
ingénieurs en sécurité en raison du manque de produits open source disponibles, AlienVault OSSIM a été créé
spécifiquement pour répondre à la réalité à laquelle sont confrontés de nombreux professionnels de la sécurité
: un SIEM, qu’il soit open source ou commercial, est pratiquement inutile sans les contrôles de sécurité de
base nécessaires à la visibilité de sécurité.
Notre SIEM Open Source (AlienVault OSSIM) aborde cette réalité en fournissant une plate-forme unifiée
avec plusieurs capacités de sécurité essentielles dont nous avons besoin comme :
➢ Découverte d’actifs
➢ Évaluation de la vulnérabilité
➢ Détection des intrusions à temp réel
➢ Surveillance comportementale
➢ Rapports détaillés de toutes les analyses de sécurité faite
De plus OSSIM offre plusieurs fonctionnalités. La première étape avant d’entrer dans le système consiste à
configurer les interfaces réseaux, à déployer les HIDS (Host-Based Intrusion Detection System) sur les
périphériques Windows / Linux pour assurer l’intégrité des fichiers, la surveillance, la détection des rootkits
et la collecte des journaux d’évènements.
Sur ce dans notre projet l’objectif majeur recherché est tout d’abord une analyse de sécurité de tous les actifs
de notre LAB avant d’en arriver à la corrélation des évènements, mais aussi d’une communication accrue entre
notre SIEM et notre paire IDS/Pare-feu. Ce qui a fait que notre choix s’est porté principalement sur AlienVault
au lieu du leader Splunk même s’ils ont quelques points en commun.

2020-2021 Page 37
3 Présentation de l’IDS Snort et du pare feu Pfsense

a) Pfsense
Pfsense est un routeur et ou un pare feu open source basé sur le système d’exploitation FreeBSD. Il prend le
relai de monowall et dispose d’un ensemble assez diversifié de services que nous retrouvons généralement sur
des routeurs professionnels. Tout ceci pour dire que son usage convient aussi bien aux grandes e ntreprises
qu’aux réseaux de moins envergures. Parmi ces fonctionnalités, Pfsense permet :
• De filtrer le traffic en fonction de l’adresse IP source et destination et du protocole de

transport utilisé (TCP ou UDP)
• Un routage assez simplifié et d’un portail captif
• L’usage du NAT avec une redirection des adresses privées vers les adresses publiques mais
aussi les redirections des ports
• De Load Balancing ou Répartition de charges
b) Snort
Il existe plusieurs logiciels de détection d'intrusion mais notre choix c'est porté sur snort. SNORT est un IDS
open source disponible sur les plateformes Windows, linux et mac et offre une mise en œuvre basique rapide.
De nouveaux plugins et règles sont régulièrement proposés. Les docum entions pour comprendre et
implémenter snort sont nombreux et les fichiers d'alertes utilisables pour sa configuration sont très complets
(entêtes des paquets, lien vers la description de l'attaque...). Parmi les autres solutions on peut citer tiger,
tripwire, Check point, AIDE, etc.… qui sont soit des logiciels libres ou payants mais n'offrent forcément pas
les mêmes possibilités que SNORT.
SNORT permet d'analyser le trafic réseau de type IP, il peut être configuré pour fonctionner en trois modes :
- Le mode sniffer : dans ce mode, SNORT lit les paquets circulant sur le réseau et les affiche d'une
façon continue sur l'écran ;
- Le mode « packet logger » : dans ce mode SNORT journalise le trafic réseau dans des répertoires sur
le disque ;
- Le mode détecteur d'intrusion réseau (NIDS) : dans ce mode, SNORT analyse le trafic du réseau,
compare ce trafic à des règles déjà définies par l'utilisateur et établit des actions à exécuter
Les règles de snort sont composées de deux parties distinctes : le header et les options.
- Le header permet de spécifier le type d'alerte à générer (alert, log, pass, activate, dynamique) et
d'indiquer les champs de base nécessaires au filtrage : le protocole (TCP, UDP ou ICMP), l'orientation

2020-2021 Page 38
du trafic auquel la règle s'applique (unidirectionnel ou bidirectionnel) ainsi que les adresses IP et ports
sources et destination.
- Les options, spécifiées entre parenthèses, permettent d'affiner l'analyse, en décomposant la signature
en différentes valeurs à observer parmi certains champs du header ou parmi les données.
Figure 12 : Architecture de snort

2020-2021 Page 39
Chapitre V : Implémentation et test des solutions de Cyberdéfense retenues

2020-2021 Page 40
1 Description de l’architecture du système d’information
a. Description de l’environnement de travail (GNS3)
GNS3(Graphical Network Simulator), est un logiciel libre qui permet la simulation d’un réseau informatique,
c’est un émulateur qui est proche de la réalité. GNS3 permet d’avoir un routeur Cisco virtuel sur un ordinateur.
L’objectif de GNS3 est d’apporter aux étudiants et professionnels des nouvelles technologies de
communication travaillant dans le domaine de l’administration systèmes et réseaux une solution pour
virtualiser et modéliser fidèlement des réseaux
Pour fournir des simulations complètes et précises, GNS3 est fortement lié à :
✓ Dynamips : est un émulateur de matériel Cisco (en rapport avec les processeurs Mips utilisés).
✓ Dynagen : est un produit complémentaire écrit en Python, s’interfaçant avec Dynamips grâce au mode
hyperviseur. Dynagen facilite la création et la gestion de maquettes grâce à un fichier de configuration
simple décrivant la topologie du réseau à simuler et une interface texte interactive.
✓ Qemu : est une machine source de l’émulateur et de virtualisation générique et ouverte. Il est utilisé
par GNS3 pour exécuter Cisco ASA, PIX et IDS ainsi que tout Système d’exploitation classique
✓ VMware ou machine virtuelle : est un logiciel de virtualisation de système d’exploitation qui permet
de créer un ou plusieurs ordinateurs virtuels dans lesquels s’installent d’autres systèmes d’exploitation
(systèmes invités), et de faire fonctionner plus d’un système d’exploitation en même temps en toute
sécurité
b. Scénario étudié
En réponse au problématique posé par le sujet l’objectif dans notre cas de figure est d’abord de mettre en place
une Entreprise fictive avec son Système d’information classique (services fondamentaux Web, DNS, FTP ;
des actifs de l’entreprise qui seront illustrés tels des machines virtuelles sous GNS3 puis mis en réseau).
Ensuite, tels des RSSI nous procèderons à la mise en place d’un e équipe SOC pour l’entreprise avant d’en
venir aux moyens technologiques à savoir l’installation et la configuration de la technologie SIEM AlienVault
OSSIM choisie, le pare feu PfSense et l’IDS Snort qui seront positionnés de tels sorte que chaque actif de
l’entreprise sera surveillé et protégé. Enfin à des fins de test des pentest et contournements seront illustré après
implémentation et configuration de chaque dispositif de sécurité.

2020-2021 Page 41
c) Topologie SI existante
La structure de notre topologie est celle d’un réseau d’entreprise, elle est constituée de 2 sites :
❖ 1 site qui représente le réseau local de l’entreprise centralisé

• Sous une machine Windows Server avec un domaine Active Directory ou s’implantera
le serveur mail (Hmail).
• Un utilisateur Admin tournant sur du Ubuntu 18 et 2 utilisateurs simples
• Une machine linux qui fera office de serveur FTP au sein du domaine
❖ 1 site qui représente la zone DMZ de l’entreprise qui comporte :

• Un Serveur Web tournant sur linux hébergeant le site web de l’entreprise
• Un Serveur DNS qui viendra en support au serveur web
❖ On note une zone externe a l’entreprise illustrée par l’internet qui est accessible en passant par
notre Routeur_Principal.
Capture1 : Architecture SI basique
NB :
- L’architecture de base a été mise en place tout en tenant compte de la limitation des ressources sous
gns3.
- Elle tend à être améliorée au cours du travail

2020-2021 Page 42
❖ Plan d’adressage du réseau
Default
Device Interface IP Address Subnet Mask Gateway Switch Port
Fa0/0 192.168.1.1 255.255.255.0 N/A S1 Eth4

Routeur
Fa0/1 192 .168.28.1 255.255.255.0 N/A S2 Eth2
Principal
Fa1/0 172.20.10.1 255.255.255.0 N/A Eth
Admin NIC 192.168.1.5 255.255.255.0 192.168.1.1 S1 Eth2
User1 NIC 192.168.1.6 255.255.255.0 192.168.1.1 S1 Eth5
User2 NIC 192.168.1.7 255.255.255.0 192.168.1.1 S1 Eth6
FTP_Server NIC 192.168.1.129 255.255.255.0 192.168.1.1 S1 Eth1

Mail_Server NIC 192.168.1.9 255.255.255.0 192.168.1.1 S1 Eth0
DNS_Server NIC 192.168.28.136 255.255.255.0 192.168.28.1 S2 Eth1
Web_server NIC 192.168.28.147 255.255.255.0 192.168.28.1 S2 Eth0
2 Implémentation et configuration des solutions

Dans cette partie nous allons successivement procéder à l’installation du pare-feu Pfsense, de l’IDS Snort, du
SIEM AlienVault OSSIM puis les intégrer à notre architecture de base tout en étudiant les positions adéquates.
a) Installation de PfSense
• Prérequis
Hardware Compatibility : « Workstation 11.x ou Workstation 12.x »
Guest Operating System : « Other à FreeBSD 64-bit »
Number of Processors and Cores : « 1 »
Memory for this Virtual Machine : « 512 MB »
Max Disk Size : « 5 GB » « Store Virtual Disk as a single file »
• Installation
Après avoir préparé l’environnement et mis en place l’iso de pfsense téléchargé, on démarre la machine puis
on suit les étapes suivantes avant d’en arriver à la configuration
« Boot Multi User » <Entrée> accepter les conditions <Entrée>

2020-2021 Page 43
• Choisir le clavier « French » <Entrée>

• Montez d’un cran pour continuer avec le clavier « French.kbd keymap » <Entrée>
• Partitioning : « Auto (UFS) Guided Disk Setup » <Entrée>
• Manual Configuration « No » <Entrée>
• « Reboot » <Entrée> N’oubliez pas de démontez l’ISO pour éviter de redémarrer dessu s.
Au démarrage, on a droit à une suite de questions que nous tenterons de répondre
Capture 2 : Définition interface WAN Pfsense
Nous ne pouvons pas définir l’interface LAN pour l’instant, il n’y a qu’une seule carte réseau. Nous allons
rajouter 3 autres et configurer les 3 sous-réseaux LAN Segments depuis VMware Workstation
Capture 3 : Ajout de carte réseau pour Pfsense

2020-2021 Page 44
Relancer pfSense pour prendre en compte les nouvelles cartes réseaux qu’on vient de rajouter. Nous allons
maintenant les configurer sous pfSense en attribuant chaque carte réseau à une interface donnée
Tapez « 1 » pour « Assign Interfaces » <Entrée>
Capture 4 : Assignation des interfaces pfSense

2020-2021 Page 45
On peut maintenant configurer les adresses IP pour chaque carte réseau. Comme vous pouvez le constater, le
WAN est en DHCP. Nous allons maintenant définir les IP pour l’interface LAN, OPT1, OPT2.
Tapez « 2 » pour « Set interface(s) IP address » <Entrée>
Capture 5 : Affectation IP LAN PfSense
C’est bon pour le réseau LAN (LAN-local). L’interface web de pfSense est accessible à l’adresse
http://192.168.1.1/ avec le ID par défaut suivant : admin – pfsense. La même démarche sera opérée pour les
3 autres pour obtenir au final toutes nos cartes adressées selon notre table d’adressage.
Capture 6 : Adresses IP des 4 interfaces Pfsense

2020-2021 Page 46
Avant d’accéder à l’interface pfSense, j’ai dû configurer le réseau de ma VM Admin Ubuntu. Se connecter à
l’interface pfSense à l’adresse suivante (dans mon cas) : http://192.168.1.1 – user : admin | password : pfsense.
Capture 7 : Interface Pfsense
b) Installation de snort
• Prérequis
Notre IDS Snort sera installé sur un Ubuntu 18.04.5-desktop-amd64 et nécessitera les ressources ci-dessous
pour un bon fonctionnement.
Capture 8 : Caractéristiques machine snort
• Installation
Nous commencerons par mettre à jour notre système, ouvrons un terminal et tapons les deux commandes
suivantes :
Sudo apt-get update
Sudo apt-get upgrade

2020-2021 Page 47
Une fois le système mis à jour, nous allons installer Snort, pour cela tapons la commande suivante :
Sudo apt-get install snort
Nous arrivons sur l’assistant de configuration de Snort, on tape « Entrer » sur la fenêtre de présentation. Nous
devons par la suite renseigner l’interface sur laquelle l’outil écoutera le réseau, sélectionnons l’interface reliée
à notre réseau local.
Capture 9 : Interface d’écoute snort
Nous allons ensuite devoir renseigner la plage IP de notre réseau au format CIDR :
Capture 10 : Réseau local
• Configuration
A partir de là nous allons devoir configurer les règles pour lesquelles notre outil devra émettre une alerte. Deux
choix s’offrent à nous, soit définir les règles nous-même ou télécharger des règles sur le site de Snort afin
d’être protégé contre les menaces connues ou tout simplement combiner les deux.

2020-2021 Page 48
✓ Règles manuelles
Pour définir des règles manuellement, éditons le fichier « local.rules » avec la commande ci-dessous puis y
écrire notre règle :
Sudo nano /etc/snort/rules/local.rules
✓ Règles Snort
Pour utiliser les règles présentes sur le site de Snort, nous allons télécharger le fichier community.rule.tar.gz
correspondant à la version installée de snort puis on décompresse le fichier avec la commande suivante en
remplaçant XXX par le nom du fichier :
Sudo tar zxvf XXX
Ensuite Allez dans le dossier décompressé et déplacez le f ichier « community.rules « dans le répertoire
contenant les règles de Snort :
sudo mv community-rules /etc/snort/rules
Quand on édite le fichier, on remarque que l’ensemble est commenté. Bien entendu, nous décommenterons
uniquement les règles dont nous utiliserons le protocole. Nous allons maintenant indiquer à l’outil qu’il doit
prendre en compte le fichier « community.rules » pour générer des alertes.
Capture 11 : Indication chemin Community rules
Nous pouvons lancer Snort en tâche de fond (service) pour cela nous allons créer un script de démarrage.
Créez le fichier suivant :
sudo nano /lib/systemd/system/snort.service

2020-2021 Page 49
Dans ce fichier, entrons ce texte (n’oubliez pas d’adapter le nom de l’interface à votre cas) :
Capture 12 : Snort as a Service
Sauvegardons le fichier et redémarrez systemctl qui est l’outil de gestion des services. Ensuite, Démarrons le
service Snort que nous venons de créer puis vérifions le statut du service :
Capture 13 : Statut de snort

2020-2021 Page 50
c) Installation de Alien Vault OSSIM
• Prérequis
La mise en place d’OSSIM nécessite beaucoup de ressources :
✓ 2CPU
✓ Au minimum 4Go de RAM
✓ Au minimum 50G d’espace mémoire
Capture 14 : Ressources d’OSSIM
• Installation
Pour installer OSSIM, nous nous sommes rendus sur le site

https://dlcdn.alienvault.com/AlienVault_OSSIM_64bits.iso pour le téléchargement de l’iso 64bit
d’AlienVault OSSIM.
Dès le démarrage de la machine virtuelle, l’installation d’AlienVaut se déroulera comme suit :
• Choisir la langue
• Configurer le réseau (Paramètres TCP/IP du serveur d’AlienVault) : 192.168.1.12/24 et

comme passerelle 192.168.1.12
• Définir le mot de passe Root
• Terminer l’installation

2020-2021 Page 51
Après l’installation, il faut se connecter en tant que root pour accéder à l’interface graphique depuis notre
machine Admin. Pour ce cas, l’adresse IP du serveur sera notre adresse de connexion
Capture 15 : Adresse de connexion AlienVault
Par la suite il faudra créer un compte admin pour pouvoir se connecter à la plateforme.
Capture 16 : Page Login d’AlienVault

2020-2021 Page 52
• Configuration
Ossim offre plusieurs fonctionnalités. La 1 ère étape avant d’entrer dans le système consiste à :
✓ Configurer les interface réseaux du serveur puis enregistrer les actifs du SI
Capture 17 : Enregistrement des actifs du SI
✓ Déployer les HIDS (Host-base Intrusion Detection System) sur les périphériques Windows/Linux
pour assurer l’intégrité des fichiers, la surveillance, la détection des rootkits et la collecte des journaux
d’évènements.
Capture 18 : Déploiement de HIDS
Enfin Nous terminerons la configuration pour atterrir au tableau de bord de notre SIEM AlienVault.
2020-2021 Page 53
3 Test des Solutions

✓ Au niveau de cette partie, l’objectif est d’abord d’ajouter nos solutions de sécurité au niveau de notre
architecture de base. Nous procéderons donc à l’ajout d’une 3 e zone qu’est le SOC illustré dans notre
architecture par notre SIEM AlienVault OSSIM (qu’utilise l’équipe SOC) qui sera connecté à notre
LAN et à notre DMZ à travers les IDS Snort implémentés respectivement dans nos 2 zones pour une
vision plus claire des intrusions dans les 2 zones.
Capture 19 : Architecture SI sécurisée

2020-2021 Page 54
✓ Notre 2 e objectif est de faire des tests d’intrusion depuis internet vers notre LAN et notre DMZ puis
faire le constat sur le comportement respectif de l’IDS, et du SIEM avant d’en arriver à l’équipe SOC
de base de l’entreprise.
➢ Tests d’intrusion
❖ Scénario
Dans ce cas nous débuterons nos tests avec notre zone DMZ plus précisément notre serveur Web (IP :
192.168.28.147). Après un enregistrement de tous nos actifs avec AlienVaut, nous avons voulu débuté par un
scan de vulnérabilités de nos machines web et de notre IDS snort avant toute exploitation.
Capture 20 : Scan DMZ
Ce scan nous a permis de découvrir que notre serveur web présentait plusieurs vulnérabilités (118) dont la
majorité pourrait s’avérer exploitable.

2020-2021 Page 55
Capture 21 : Résultat Scan du Serveur web
Après ce scan un petit test d’intrusion a été stimulé à l’encontre de notre serveur web afin de voir le
comportement de notre IDS Snort et de notre SIEM.
Au préalable il nous a fallu un laboratoire qui sera essentiellement constitué de :
✓ Une machine attaquante tournant sur du Kali Linux 20.04 (IP 192.168.28.136)
✓ Notre serveur web Métasploitable configuré avec une base de données MySQL (Un serveur Ubuntu
intentionnellement vulnérable à des fin de test) (IP 192.168.28.147)
✓ Notre IDS Snort installé sur une machine Ubuntu 18.04 (IP 192.168.28.159)
✓ Notre SIEM AlienVault basé sur Debian 10.x (IP changé 192.168.28.12 pour une meilleure
communication dans la zone DMZ)
Dans ce contexte l’attaquant tente de procéder à une attaque par injection SQL afin d’accéder aux informations
de carte de crédit stockés sur le serveur Web.
• Avant toute chose nous définissons manuellement les règles snort qui émaneront des alertes dès la
tentative d’injection de code sur le serveur Web dans le fichier /etc/snort/rules/local.rules
Capture 22 : règle snort défini

2020-2021 Page 56
• Ensuite nous allons relier notre SIEM et notre IDS en finalisant le déploiement des HIDS entamé depuis
l’installation d’AlienVaut. Pour se faire nous allons implémenter l’agent OSSEC dans notre IDS Snort
Capture 23 : Déploiement Agent OSSEC sur Snort
• Puis nous allons vérifier si notre agent est bien connecté à notre serveur

2020-2021 Page 57
• Après activation de notre agent nous allons lancer notre commande snort -A console -i ens33 -u snort -
c etc/snort/snort.conf qui permettra d’être en écoute à partir de notre interface IDS
• Maintenant nous allons montrer l’entrée en jeu de notre attaquant à travers son DHCP request repéré
par notre SIEM dans notre zone DMZ
Capture 24 : Intrusion Attaquant dans la zone DMZ

2020-2021 Page 58
• Après cela notre attaquant réussit à s’incruster dans notre réseau avec l’IP 192.168.28.136 et donc dans
le même réseau que notre serveur web puis procède à l’attaque. Il commencera par faire son scan avec
nmap pour repérer une vulnérabilité exploitable dans cette zone.
Capture 24 : Nmap de la zone DMZ
• Après scan, l’attaquant ping notre serveur web avant d’y accéder depuis son navigateur pour ensuite
cliquer sur Mutillidae pour accéder à un site web vulnérable
Capture25 : Interface Mutillidae

2020-2021 Page 59
• Après cela l’attaquant se rend au chemin OWASP Top 10, A1-injection, SQli-Extract Data, User info
pour accéder à l’interface de connexion des utilisateurs ayant leur carte de crédit afin de procéder à une
injection de code
Capture 26 : Accès à l’interface User info
• Puis il inspecte la zone nom dans la console et modifier la valeur 20 par 100 pour injecter une longue
chaine (‘union select ccid, ccnumber,ccv,expiration, null from credit_cards --) dans le champ nom et
par la suite cliquer sur View Account détails pour extraire les informations des cartes de crédit dans la
base de données Owasp10
Capture 27 : requête d’injection SQL

2020-2021 Page 60
• Maintenant, défilons la page pour voir les résultats. Le résultat indique que l’attaquant a extrait avec
succès les informations des cartes de crédit dans la base de données avec l’aide de l’injection SQL. Une
information qui devrait être disponible qu’aux utilisateurs concernés.
Capture 28 : Information extraite de la base de données

2020-2021 Page 61
• Cependant une question se pose ; ou est passé notre IDS ET SIEM pendant tout ce temp ?
❖ Pour le cas de notre IDS Snort dès que l’attaquant a abouti à l’interface des utilisateurs une activité
suspecte a été détecté puis une l’alarme a été généré
Capture 29 : Déclenchement alerte Snort
❖ Pour le cas du SIEM elle constatera d’abord que l’IDS est entré en mode écoute en temp réel
depuis sa rubrique SIEM Event Manager
❖ Ensuite une Génération du rapport de la rubrique SIEM Events par l’équipe SOC apportera plus
d’éclaircissement sur l’attaque ciblée du serveur web
Capture 30 : Rapport SIEM Events

2020-2021 Page 62
❖ Donc ce rapport nous montrera les découvertes faites depuis que le scan nmap de l’attaquant a été
fait jusqu’à la fin de l’attaque (le scan nmap et ses résultats, les mots de passe en clair, le code
CVE de la vulnérabilité exploité).
Capture 31 : Résultat Rapport AlienVault
Après cette attaque l’équipe SOC devra renforcer ses règles pares-feux interdisant tout accès externe
vers le LAN ou la zone DMZ ensuite faire le ménage de ses serveurs vers d’autres moins vulnérables
et moins accessibles.
Capture 32 : Règles Pfsense bloquant WEB vers LAN/DMZ

2020-2021 Page 63
L’équipe SOC renforcera les règles snort pour tout type d’attaque
Règles Snort téléchargées

Pour enfin créer des alarmes au sein du SIEM pour détecter à temp réel tout tentative d’intrusion
notamment sur le serveur web et y remédier
Alarme AlienVaut

2020-2021 Page 64
Conclusion
Avec l'augmentation du volume et de la sophistication cybermenaces et attaques, les équipes de sécurité

sont, la plupart du temps, débordées et parfois incapables de tout suivre. Pour protéger les actifs et les
données informatiques critiques, les entreprises doivent déployer les outils appropriés pour automatiser
les tâches répétitives, surveiller et analyser les journaux, détecter les activités suspectes et autres
problèmes de sécurité.
Cette perspective nous a poussé à s’incruster dans le monde de la cybersécurité à travers notre projet
de mise en place d’un système de défense contre les cyberattaques. Un travail fastidieux mais
passionnant que nous avons eu à développer en 5 parties allant de la présentation du sujet, une étude
détaillée et comparative des solutions à leurs implémentations et tests ; pour enfin finir avec des
recommandations.
Les problèmes rencontrés au courant de ce travail furent nombreux (Travailler dans un environnement
virtuel assez instable, des ressources limitées) mais ce fut assez passionnant de créer le lab, découvrir
les vulnérabilités, attaquer, détecter puis tenter d’apporter des solutions.
Bien se protéger, c’est anticiper les risques, détecter les tentatives d’intrusion et réagir en temps réel.
Les bons conseils à retenir sont tester régulièrement son système de sécurité, se maintenir informé des
nouvelles menaces, bien s’entourer d’experts en cybersécurité, déployer les solutions adaptées à son
contexte et ne pas oublier que la sécurité se travaille à tout niveau. Elle n’est pas le terrain de jeu de
quelques experts dans l’entreprise mais l’affaire de tous. Chaque poste de travail peut être un risque,
donc chaque salarié doit avoir la culture de la sécurité et les bons réflexes face à une menace .
La perspective pour ce projet sera d’automatiser les méthodes de détection de nos outils de sécurité
pour une rapide réaction des experts face aux attaques.

2020-2021 Page 65
WEBOGRAPHIES
❖ https://all-it-network.com/snort/ (septembre 2021) Installation de Snort
❖ https://www.youtube.com/watch?v=Xys9-yH5gOQ&t=644s (septembre 2021) Installation

d’AlienVault OSSIM
❖ https://pixelabs.fr/installation-configuration-pfsense-workstation/ (septembre 2021) Installation

de Pfsense
❖ https://www.gatewatcher.com/fr/nos-actualites/blog/cyber-threat-intelligence-mieux-connaitre-
son-adversaire-pour-anticiper (septembre 2021) Article Sur la Cyber Threat Intelligence
❖ https://www.emajit.com/conseils-informatique-cybersecurite/qu-est-ce-qu-un-edr/ (septembre
2021) Différence entre Antivirus et EDR
❖ https://kifarunix.com/how-to-install-and-configure-ossec-agent-on-linux-host/ (septembre 2021)

Installer et Configurer un agent ossec AlienVault sous linux
❖ https://success.alienvault.com/s/question/0D50Z00008oGr4vSAC/ossim-55-iso-link (septembre
2021) Lien pour télécharger AlienVault OSSIM
❖ https://orangecyberdefense.com/fr/solutions/soc-cybersoc/ (septembre 2021) Documentation

sur le SOC
❖ https://www.linkbynet.com/fr/security-operations-center-la-tour-de-controle-une-dsi-moderne
(Aout 2021) Documentation sur le SOC
❖ https://pictime-groupe.com/nos-services/security-management (Aout 2021) Enjeux de la

cybersécurité en entreprise
❖ https://solutions.lesechos.fr/tech/c/ne-prendre-otage-identifiez-exposition-a-wannacry-notpetya-
5356/ (Aout 2021) Documentation sur les attaques WannaCry et Notpetya
❖ https://www.youtube.com/watch?v=knv9YFGRPzQ (Aout 2021) Top 10 des SIEM

2020-2021 Page 66
BIBLIOGRAPHIES
❖ https://international.scholarvox.com/reader/docid/88875304/page/1?searchterm=cybersécurité
(Aout 2021) Ouvrage sur la cybersécurité de Ghernaouti, Solange Date de publication : année
2019
❖ Mémoire Etude et Analyse d’une cyberattaque et proposition de contre-mesures de Mr Korka

Jean Perrin HABA (Aout 2018) Consulté à la bibliothèque le 10/9/21
❖ Mémoire Mise en place d’une solution de cybersécurité pour les infrastructures : le SOC de
Mlle Annie kokoe AMAH THOUTHCHOUI (Aout 2019) Consulté à la bibliothèque le
27/8/21

2020-2021 Page 67
Table des Matières

GLOSSAIRE .............................................................................................................. 4
LISTE DES FIGURES................................................................................................. 5
LISTE DES TABLEAUX.............................................................................................. 5
LISTE DES CAPTURES.............................................................................................. 6
Introduction............................................................................................................... 8
Chapitre I : Présentation du sujet................................................................................. 9

1 Contexte et problématique du sujet......................................................................................10
2 Pertinence du sujet .............................................................................................................11
3 Objectifs.............................................................................................................................11
4 Résultats attendus...............................................................................................................11
Chapitre II : Généralités sur la Cybersécurité...............................................................12

1 Notion de Cybersécurité .....................................................................................................13
2 Enjeux et risques de la cybersécurité en entreprise ..............................................................16
Chapitre III : Etude détaillée des solutions de cyberdéfense............................................17

1 Le SOC (Security Operating Center), La CERT/ CSIRT (Computer Security Incident Response
Team) ......................................................................................................................................19
a) Le SOC (Security Operating Center) ................................................................................................. 19
b) CERT (Computer Emergency Response Team) /CSIRT (Computer Security Incident Response Team) .......... 22
c) SOC et CSIRT ................................................................................................................................. 23
2 Le SIEM (Security Information Management System) ...........................................................................25

a) Présentation......................................................................................................................... 25
b) Mode de fonctionnement ........................................................................................................ 25
3 IDS/IPS 26
a) Présentation......................................................................................................................... 26

2020-2021 Page 68
4 EDR (Endpoint Detection Response) .....................................................................................................29

a) Présentation......................................................................................................................... 29
b) Différence avec un antivirus ?................................................................................................. 29
c) Mode de fonctionnement ........................................................................................................ 29
d) Importance .......................................................................................................................... 30
5 Les Pares-feux .....................................................................................................................................31

a) Présentation......................................................................................................................... 31
c) Importance .......................................................................................................................... 31
Chapitre IV : Etude comparative des solutions de Cybersécurité .....................................32
1 Etude comparative des solutions SIEM..................................................................................................33

a) IBM Qradar : The intelligent SIEM ......................................................................................... 33
b) AlienVault OSSIM................................................................................................................. 34
c) SolarWinds Event Manager .................................................................................................... 34
d) Splunk Enterprise Security ..................................................................................................... 35
e) Tableau Comparatif .............................................................................................................. 36
2 Présentation du SIEM choisi................................................................................................................37
3 Présentation de l’IDS Snort et du pare feu Pfsense ................................................................................38

a) Pfsense................................................................................................................................ 38
b) Snort................................................................................................................................... 38
1 Description de l’architecture du système d’information .........................................................................41

a) Description de l’environnement de travail (GNS3) ..................................................................... 41
b) Scénario étudié..................................................................................................................... 41
2 Implémentation et configuration des solutions .......................................................................................43

a) Installation de Pfsense ........................................................................................................... 43
b) Installation de snort .............................................................................................................. 47
c) Installation de Alien Vault USM .............................................................................................. 51
3 Test des Solutions.................................................................................................................................54

2020-2021 Page 69

Memoire Fatima Léonie Cissé - 3

Transféré par

Droits d'auteur :

Formats disponibles

Memoire Fatima Léonie Cissé - 3

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Memoire Fatima Léonie Cissé - 3

Transféré par

Droits d'auteur :

Formats disponibles

ETUDE ET MISE EN PLACE D’UN SYSTEME DE DEFENSE CONTRE LES CYBERATTAQUES

MEMOIRE FIN DE FORMATION POUR L’OBTENTION DU DIPLOME DE

OPTION : TELECOMMUNICATION ET INFORMATIQUE

ETUDE ET MISE EN PLACE D’UN SYSTEME DE DEFENSE

Sous la direction de Présenté et Soutenu

REALISE ET SOUTENU PAR Fatima Léonie Cissé

Je vous dédie ce travail pour vous démontrer tout

REALISE ET SOUTENU PAR Fatima Léonie Cissé

Nous adressons nos remerciements :

REALISE ET SOUTENU PAR Fatima Léonie Cissé

SOC : Security Operating Center

CSIRT : Computer Security Incident Response Team

SIEM : Security Information Management System

CTI : Cyber Threat Intelligence

EDR : Endpoint Detection and Response

IDS: Intrusion Detection System

HIDS: Host Intrusion Detection Systems

NIDS : Network Intrusion Detection System

KIPS : Kernel Intrusion Prevention System

WIPS : Wireless Intrusion Prevention System

RSSI : Responsable Sécurité Système d’Information

TCP : Transmission Control Protocol

UDP : User Datagram Protocol

PPTP : Point-to-Point Tunneling Protocol

L2PT : Layer 2 Protocol Tunneling

REALISE ET SOUTENU PAR Fatima Léonie Cissé

LISTE DES FIGURES

Figure 1 : Objectifs de la cybersécurité........................................................................15

LISTE DES TABLEAUX

Tableau1 : Répartition des activités SOC/CSIRT ...........................................................24

REALISE ET SOUTENU PAR Fatima Léonie Cissé

LISTE DES CAPTURES

Chapitre I : Présentation du sujet................................................................................. 9

Chapitre II : Généralités sur la Cybersécurité...............................................................12

Chapitre III : Etude détaillée des solutions de cyberdéfense............................................17

Chapitre IV : Etude comparative des solutions de Cybersécurité .....................................32

Chapitre V : Implémentation et test des solutions de Cyberdéfense retenues......................40

REALISE ET SOUTENU PAR Fatima Léonie Cissé

REALISE ET SOUTENU PAR Fatima Léonie Cissé

Chapitre I : Présentation du sujet

REALISE ET SOUTENU PAR Fatima Léonie Cissé

1 Contexte et problématique du sujet

La Transformation Digitale, la Dématérialisation ou tout simplement le développement de l’Economie

REALISE ET SOUTENU PAR Fatima Léonie Cissé

REALISE ET SOUTENU PAR Fatima Léonie Cissé

Chapitre II : Généralités sur la Cybersécurité

REALISE ET SOUTENU PAR Fatima Léonie Cissé

REALISE ET SOUTENU PAR Fatima Léonie Cissé

• La notion de Cyber Threat Intelligence

Sur ce les objectifs de la cybersécurité reposent sur le renforcement de trois capacités :

REALISE ET SOUTENU PAR Fatima Léonie Cissé

Figure 1 : Objectifs de la cybersécurité

REALISE ET SOUTENU PAR Fatima Léonie Cissé

2 Enjeux et risques de la cybersécurité en entreprise

REALISE ET SOUTENU PAR Fatima Léonie Cissé

Chapitre III : Etude détaillée des solutions de cyberdéfense

REALISE ET SOUTENU PAR Fatima Léonie Cissé

La sécurité d’un SI doit être abordée selon les points suivants :

Figure 2 : Stratégie SSI