Penetration Test:

Un test de pénétration , familièrement appelé test à la plume , pentest ou piratage éthique ,

est une cyberattaque simulée autorisée sur un système informatique, effectuée pour évaluer
la sécurité du système. Le test est effectué pour identifier les deux faiblesses (également
appelées vulnérabilités), y compris le potentiel pour les parties non autorisées d'accéder aux
fonctionnalités et aux données du système, ainsi que les points forts,permettant de réaliser
une évaluation complète des risques.

Le National Cyber Security Center , décrit les tests de pénétration comme suit: "Une méthode
pour obtenir l'assurance de la sécurité d'un système informatique en tentant de violer tout ou
partie de la sécurité de ce système, en utilisant les mêmes outils et techniques qu'un
adversaire pourrait."

Les objectifs d'un test de pénétration varient selon le type d'activité approuvée pour un
engagement donné, l'objectif principal étant de trouver des vulnérabilités qui pourraient être
exploitées par un acteur malveillant et d'informer le client de ces vulnérabilités ainsi que des
stratégies d'atténuation recommandées.

1.Trouvez une vulnérabilité exploitable.

2.Concevez une attaque autour d'elle.

3.Testez l'attaque.

4.Saisissez une ligne en cours d'utilisation.

5.Entrez dans l'attaque.

6.Exploitez l'entrée pour la récupération d'informations.

Ethical hackers:

Le terme « chapeau blanc » en argot Internet fait référence à un pirate informatique éthique ,
ou un expert en sécurité informatique , spécialisé dans les tests de pénétration et dans
d'autres méthodologies de test qui garantissent la sécurité des systèmes d'information d'une
organisation .Le piratage éthique est un terme destiné à impliquer une catégorie plus large
que le simple test de pénétration.

Suricata:

Suricata est un moteur de détection de menaces réseau gratuit et open source, mature,
rapide et robuste.

Le moteur Suricata est capable de détection d'intrusion en temps réel (IDS), de prévention des
intrusions en ligne (IPS), de surveillance de la sécurité du réseau (NSM) et de traitement PCAP
hors ligne.

Suricata inspecte le trafic réseau à l'aide de règles et d'un langage de signature puissants et
étendus, et prend en charge les scripts Lua pour détecter les menaces complexes.

OSSEC;

A la diff´erence de Snort, ` OSSEC est un syst`eme de d´etection d’intrusions bas´e sur les

syst`emes d’exploitation plutˆot que sur le r´eseau. Outil open-source maintenu par la soci´et
´e

TrendMicro et la communaut´e, il est disponible sur http://www.ossec.net/

Tout comme Snort, OSSEC est multiplateformes.

Au cours de mon stage, j’ai travaill´e sur les versions Microsoft Windows et GNU/Linux

d’OSSEC.

OSSEC a un mode de fonctionnement typique d’un IDS. Des agents sont d´eploy´es sur

chacun des syst`emes `a monitorer et s’occupent de collecter les informations importantes.

Ensuite, toutes les donn´ees sont centralis´ees sur un serveur OSSEC charg´e de les analyser.

La portabilit´e d’OSSEC permet de d´eployer des agents sur de nombreux types de

machines. Il est capable de r´ecup´erer des informations directement depuis les principaux

OS : Microsoft Windows, GNU/Linux, *BSD et Unix en g´en´eral. Cependant, la modularit´e

d’OSSEC lui permet ´egalement de collecter des journaux d’´ev`enements au format syslog
depuis les principaux ´equipements r´eseaux utilis´es dans les infrastructures. Enfin, les agents

OSSEC supportent aussi le monitoring de serveurs de bases de donn´ees, comme MySQL

ou Oracle, et les logs de nombreuses applications, comme SSH 20, l’authentification PAM.

SIEM:

Une solution SIEM combine des fonctions de gestion des informations (SIM, Security
Information Management) et des événements (SEM, Security Event Management) au sein
d'un système unique de gestion de la sécurité.

Le principe d’un SIEM consiste à examiner depuis un guichet unique les données relatives à la
sécurité de l'entreprise qui sont générées en de nombreux points. Cette approche facilite
l'identification d'éventuelles tendances et de schémas inhabituels.

Un système SEM centralise le stockage et l'interprétation des logs, et permet une analyse en
quasi-temps réel. Le personnel de sécurité peut ainsi prendre des mesures défensives plus
rapidement.

Un système SIM collecte des données et les place dans un référentiel central à des fins
d'analyse de tendances. La génération de rapports de conformité est automatisée et
centralisée. En regroupant ces deux fonctions, les systèmes SIEM accélèrent l'identification et
l'analyse des événements de sécurité, ainsi que la restauration qui s'ensuit. Ils permettent aux
responsables de satisfaire aux exigences légales de conformité de l'entreprise.

En outre, un SIEM collecte tout document lié à la sécurité, notamment les journaux, à des fins
d'analyse. La plupart des systèmes SIEM fonctionnent en déployant une multitude d'agents de
collecte de manière hiérarchique. Ces agents collectent alors des événements liés à la sécurité
sur les appareils des utilisateurs, les serveurs, les équipements réseau, voire les équipements
spécialisés de sécurité, tels que les pare-feu, ou encore les systèmes antivirus et anti-
intrusions. Les collecteurs ainsi installés font suivre les événements à une console
d'administration centralisée qui procède à des inspections et signale les anomalies.

Pour permettre au système d'identifier des événements anormaux, il est important que
l'administrateur SIEM élabore en premier lieu un profil du système dans des conditions
normales de fonctionnement.
Au niveau le plus élémentaire, un système SIEM peut reposer sur des règles ou utiliser un
moteur de corrélation statistique pour établir des relations entre les entrées du journal des
événements. Sur certains systèmes, un pré-traitement peut intervenir au niveau des
collecteurs. Seuls certains événements sont alors transmis au nœud d'administration
centralisé. Ce prétraitement permet de réduire le volume d'informations communiquées et
stockées. Toutefois, cette approche comporte le risque de filtrer des événements pertinents
de manière trop précoce.

En général, le déploiement de systèmes SIEM est coûteux, tandis que leur administration et
leur exploitation s'avèrent complexes.

Si l'impératif de conformité à la norme PCI DSS (Payment Card Industry Data Security
Standard) favorise généralement l'adoption d'une solution de ce type dans les grandes
entreprises, de nombreuses PME, inquiètes face aux menaces avancées persistantes (APT),
commencent à se pencher sur les avantages que peuvent offrir les prestataires de services de
sécurité managés proposant l'approche SIEM