Vous êtes sur la page 1sur 6

Penetration Test:

Un test de pénétration , familièrement appelé test à la plume , pentest ou piratage éthique ,


est une cyberattaque simulée autorisée sur un système informatique, effectuée pour évaluer
la sécurité du système. Le test est effectué pour identifier les deux faiblesses (également
appelées vulnérabilités), y compris le potentiel pour les parties non autorisées d'accéder aux
fonctionnalités et aux données du système, ainsi que les points forts,permettant de réaliser
une évaluation complète des risques.

Le National Cyber Security Center , décrit les tests de pénétration comme suit: "Une méthode
pour obtenir l'assurance de la sécurité d'un système informatique en tentant de violer tout ou
partie de la sécurité de ce système, en utilisant les mêmes outils et techniques qu'un
adversaire pourrait."

Les objectifs d'un test de pénétration varient selon le type d'activité approuvée pour un
engagement donné, l'objectif principal étant de trouver des vulnérabilités qui pourraient être
exploitées par un acteur malveillant et d'informer le client de ces vulnérabilités ainsi que des
stratégies d'atténuation recommandées.

1.Trouvez une vulnérabilité exploitable.

2.Concevez une attaque autour d'elle.

3.Testez l'attaque.

4.Saisissez une ligne en cours d'utilisation.

5.Entrez dans l'attaque.

6.Exploitez l'entrée pour la récupération d'informations.

Ethical hackers:

Le terme « chapeau blanc » en argot Internet fait référence à un pirate informatique éthique ,
ou un expert en sécurité informatique , spécialisé dans les tests de pénétration et dans
d'autres méthodologies de test qui garantissent la sécurité des systèmes d'information d'une
organisation .Le piratage éthique est un terme destiné à impliquer une catégorie plus large
que le simple test de pénétration.

Suricata:

Suricata est un moteur de détection de menaces réseau gratuit et open source, mature,
rapide et robuste.

Le moteur Suricata est capable de détection d'intrusion en temps réel (IDS), de prévention des
intrusions en ligne (IPS), de surveillance de la sécurité du réseau (NSM) et de traitement PCAP
hors ligne.

Suricata inspecte le trafic réseau à l'aide de règles et d'un langage de signature puissants et
étendus, et prend en charge les scripts Lua pour détecter les menaces complexes.

OSSEC;

A la diff´erence de Snort, ` OSSEC est un syst`eme de d´etection d’intrusions bas´e sur les

syst`emes d’exploitation plutˆot que sur le r´eseau. Outil open-source maintenu par la soci´et
´e

TrendMicro et la communaut´e, il est disponible sur http://www.ossec.net/

Tout comme Snort, OSSEC est multiplateformes.

Au cours de mon stage, j’ai travaill´e sur les versions Microsoft Windows et GNU/Linux

d’OSSEC.

OSSEC a un mode de fonctionnement typique d’un IDS. Des agents sont d´eploy´es sur

chacun des syst`emes `a monitorer et s’occupent de collecter les informations importantes.

Ensuite, toutes les donn´ees sont centralis´ees sur un serveur OSSEC charg´e de les analyser.

La portabilit´e d’OSSEC permet de d´eployer des agents sur de nombreux types de

machines. Il est capable de r´ecup´erer des informations directement depuis les principaux

OS : Microsoft Windows, GNU/Linux, *BSD et Unix en g´en´eral. Cependant, la modularit´e

d’OSSEC lui permet ´egalement de collecter des journaux d’´ev`enements au format syslog
depuis les principaux ´equipements r´eseaux utilis´es dans les infrastructures. Enfin, les agents

OSSEC supportent aussi le monitoring de serveurs de bases de donn´ees, comme MySQL

ou Oracle, et les logs de nombreuses applications, comme SSH 20, l’authentification PAM.

SIEM:

Une solution SIEM combine des fonctions de gestion des informations (SIM, Security
Information Management) et des événements (SEM, Security Event Management) au sein
d'un système unique de gestion de la sécurité.

Le principe d’un SIEM consiste à examiner depuis un guichet unique les données relatives à la
sécurité de l'entreprise qui sont générées en de nombreux points. Cette approche facilite
l'identification d'éventuelles tendances et de schémas inhabituels.

Un système SEM centralise le stockage et l'interprétation des logs, et permet une analyse en
quasi-temps réel. Le personnel de sécurité peut ainsi prendre des mesures défensives plus
rapidement.

Un système SIM collecte des données et les place dans un référentiel central à des fins
d'analyse de tendances. La génération de rapports de conformité est automatisée et
centralisée. En regroupant ces deux fonctions, les systèmes SIEM accélèrent l'identification et
l'analyse des événements de sécurité, ainsi que la restauration qui s'ensuit. Ils permettent aux
responsables de satisfaire aux exigences légales de conformité de l'entreprise.

En outre, un SIEM collecte tout document lié à la sécurité, notamment les journaux, à des fins
d'analyse. La plupart des systèmes SIEM fonctionnent en déployant une multitude d'agents de
collecte de manière hiérarchique. Ces agents collectent alors des événements liés à la sécurité
sur les appareils des utilisateurs, les serveurs, les équipements réseau, voire les équipements
spécialisés de sécurité, tels que les pare-feu, ou encore les systèmes antivirus et anti-
intrusions. Les collecteurs ainsi installés font suivre les événements à une console
d'administration centralisée qui procède à des inspections et signale les anomalies.

Pour permettre au système d'identifier des événements anormaux, il est important que
l'administrateur SIEM élabore en premier lieu un profil du système dans des conditions
normales de fonctionnement.

Au niveau le plus élémentaire, un système SIEM peut reposer sur des règles ou utiliser un
moteur de corrélation statistique pour établir des relations entre les entrées du journal des
événements. Sur certains systèmes, un pré-traitement peut intervenir au niveau des
collecteurs. Seuls certains événements sont alors transmis au nœud d'administration
centralisé. Ce prétraitement permet de réduire le volume d'informations communiquées et
stockées. Toutefois, cette approche comporte le risque de filtrer des événements pertinents
de manière trop précoce.

En général, le déploiement de systèmes SIEM est coûteux, tandis que leur administration et
leur exploitation s'avèrent complexes.

Si l'impératif de conformité à la norme PCI DSS (Payment Card Industry Data Security
Standard) favorise généralement l'adoption d'une solution de ce type dans les grandes
entreprises, de nombreuses PME, inquiètes face aux menaces avancées persistantes (APT),
commencent à se pencher sur les avantages que peuvent offrir les prestataires de services de
sécurité managés proposant l'approche SIEM

Le  SIEM (Security Information and Event Management) est avant tout un système de supervision
centralisé de la sécurité. Il se compose de deux solutions qui se complètent : le SIM – Security Incident
Management, qui sera focalisé sur l’analyse à-postériori, l’archivage, la conformité et le reporting et le
SEM – Security Event Management qui cherche à collecter et traiter des données en quasi temps réel.

L’objectif d’un SIEM est, notamment, de permettre aux équipes sécurité de détecter des attaques grâce à
l’exploitation,le filtrage et à la corrélation de ces (millions) de logs provenant de multiples sources
d’information (interne ou externe à l’organisation).
Graylog
Présentation de Graylog
Graylog est une solution open-source de gestion de messages/texte/logs. Chaque message
reçu par un nœud serveur est enregistré dans une base de données Mongo DB indexée via
Elasticsearch. Une interface web permet de gérer et analyser les données
Composants :

Graylog est une solution composée de 3 briques :

 Elasticsearch qui est le moteur d’indexation des documents

 Mongodb qui est une base NoSQL permettant de stocker la configuration et quelques autres
paramètres

 Graylog-server et graylog-web-interface pour la collecte et la visualisation des logs (ces 2 outils


vont fusionner dans la prochaine version)

Principe technique de graylog :

Graylog permet d’intégrer des logs au format syslog, des messages en provenance d’un Rabbit MQ mais
également des documents au format GELF. Le GELF est une sorte de syslog améliorée contenant des
meta-datas et qui n’a pas de limite de taille sur la longueur du message. Les logs sont traités par la partie
serveur et enregistrées dans Elasticsearch.
La partie IHM vous permet d’effectuer des recherches et de configurer :

 des streams : un stream permet de catégoriser vos logs pour mieux les retrouver. En spécifiant
des critères sur la source, le niveau d’erreur, le message, … un log pourra être stocké dans un ou
plusieurs streams.

 des alertes : sur chaque stream, il est possible de définir des alertes afin d’être prévenu s’il y a
plus de 10 logs d’erreur sur les 5 dernières minutes par exemple. L’alerte peut être de différents
types : par mail, par message slack, via un appel de web-services, …

 des tableaux de bords : vous pouvez créer des widgets et les intégrer à des tableaux de bords. A
ce jour, il existe beaucoup moins de widgets que sur Kibana, mais des nouveautés arrivent avec
la prochaine version de Graylog
 des utilisateurs et des droits d’accès : l’accès à l’interface web nécessite un login et un mot de
passe. L’outil propose également une gestion de droit complète permettant de définir les accès
aux streams et dashboard pour chaque utilisateur. Il est même possible de brancher Graylog
avec le LDAP de votre entreprise