Memoire Master Harris Diallo Ver 2.0 (Corrige)

Mémoire de master professionnel
SYSTÈMES D’INFORMATION
SÉCURITÉ DES SYSTÈMES D’INFORMATION
THÈME
Mécanismes de gestion des alertes et

des incidents basés sur un SIEM
Sous la direction de : Présentée et soutenu par :
M. Haikreo ADJEOUA M. Harris Assane DIALLO

Directeur Général de 4itsec-africa
Enseignant vacataire a l’ESMT
PROMOTION 2020-2021
Octobre 2021
1
Mémoire de licence professionnelle
DEDICACE
À nos très chers parents
2
REMERCIEMENTS
J’adresse mes remerciements aux personnes qui m’ont aidé dans la réalisation de ce mémoire.
En premier lieu, je remercie très sincèrement M. Adjeoua Haikreo pour sa disponibilité, son
soutient et son implication. Il m’a guidé à trouver des solutions pour avancer dans mon
travail.
Je souhaite particulièrement remercier ma famille et mes amis pour leurs encouragements et

leur précieuse aide à la relecture et à la correction du mémoire.
Je tiens à remercier Monsieur le Directeur Général de l’ESMT Dakar et tous les autres
dirigeants et formateurs de l’école pour la formation qui nous a été dispensée durant notre
cycle mais également tous ceux qui, de près ou de loin, ont œuvré pour que le présent rapport
de fin de formation soit réalisé.
3
LISTE DES SIGLES
ARP Address Resolution Protocol

CALM Compromise and Attack Level Monitor
CIA Confidentiality – Integrity - Availability
CSIRT Computer Security Incident Response Team
CTF Capture The Flag
CVE Common Vulnerabilities and Exposures
EDB Event Database
FTP File Transfert Protocole
HIDS Host Intrusion Detection System
IBM International Business Machines Corporation
IDMEF Internet Detection Message Exchange Format
IDS Intrusion Detection System
IETF Internet Engineering Task Force
IODEF Incident Object Description Exchange Format
IP Internet Protocol
IPS Intrusion Prevention System
ISO International Standard Organisation
IT Information Technology
KDB Knowledge Database
LEM Log & Event Manager
MITM Man-In-The-Middle (attack)
NIDS Network Intrusion Detection System
OSI Open Systems Interconnection
OSSIM Open-Source Information and Event Manager
PCI-DSS Payement Card Industry Data Security Standard
PDCA Plan Do Check Act
PME Petites et Moyennes Entreprises
RFC Request For Comments
4
RSSI Responsable de la Sécurité des Systèmes d'Informations

SEM Security Event Management
SIEM Security Information and Event Management
SIM Security Information Management
SMSI System Management System Information
SNMP Simple Network Management Protocol
SOC Security Operation Center
SQL Structured Query Language
SSI Sécurité des Systèmes d'Information
TPE Très Petite Entreprise
UBA User Behavior Analytics
UDB User Database
UEBA User and Event Behavior Analytics
VPLE Vulnerable Pentesting Lab Environment
VPN Virtual Private Network
XML Extensible Markup Language
5
LISTE DES FIGURES
Figure 1: Logo 4ITSEC..............................................................................................................3

Figure 2: Activité 4ITSEC.........................................................................................................5
Figure 3: Composants des SOC modernes...............................................................................13
Figure 4: Gestion des logs par le SIEM pour le SOC..............................................................14
Figure 5: Sources des SIEMs...................................................................................................15
Figure 6: Format du message IDMEF......................................................................................17
Figure 7: Schéma du fonctionnement théorique d'un SIEM....................................................19
Figure 8: Fonctionnement en 2 étapes.....................................................................................30
Figure 9: Cheminement d'une alarme......................................................................................31
Figure 10: Onglet de génération de rapports............................................................................35
Figure 11: Rapport de conformité............................................................................................36
Figure 12: Rapport d'évènements.............................................................................................37
Figure 13: Rapport d'évènements (2).......................................................................................38
Figure 14: Scan de vulnérabilité des machines VPLE et WIN7..............................................39
Figure 15: Interface montrant les évènements des machines VPLE et Win7..........................40
Figure 16: Rapport de vulnérabilité.........................................................................................41
Figure 17: Rapport de vulnérabilité (2)....................................................................................42
Figure 18: Rapport de vulnérabilité (3)....................................................................................43
Figure 19: Supervision du trafic réseau avec NetFlow............................................................44
Figure 20: Scan de port avec nmap..........................................................................................45
Figure 21: Détection du scan nmap par SENKARANGUE.....................................................45
Figure 22: Résultats du scan nmap de la machine Win7.........................................................46
Figure 23: Choix de l'exploit Eternalblue................................................................................47
Figure 24: Exécution de l'exploit Eternalblue..........................................................................47
Figure 25: Détection de l'exploit EternalBlue..........................................................................48
Figure 26: Acces au système cible et élévation des privilèges................................................48
Figure 27: Scan nmap de la machine Ubuntu VPLE...............................................................49
Figure 28: Détection du scan par Senkarangue........................................................................50
Figure 29: Résultat du scan nmap de la machine Ubuntu VPLE.............................................50
Figure 30: Choix de l'exploit Slowloris...................................................................................51
6
Figure 31: Exécution de l'exploit Slowloris.............................................................................51

Figure 32: Interface Web (Apres l'attaque DDOS)..................................................................52
Figure 33: Interface Web (Apres l'attaque DDOS)..................................................................53
Figure 34: Détection de l'attaque par Senkarangue..................................................................54
7
LISTE DES TABLEAUX
Tableau 1: Domaine d'activité [W20]........................................................................................4

Tableau 2: SIEMs commerciaux (Comparatifs)......................................................................25
Tableau 3: SIEMs Open-Source (Comparatif).........................................................................26
Tableau 4: Matériel & Logiciels..............................................................................................33
8
9
SOMMAIRE
INTRODUCTION......................................................................................................................1
PARTIE I : CADRE DE RÉFÉRENCE ET APPROCHE MÉTHODOLOGIQUE..................2
CHAPITRE 1 : PRÉSENTATION DE LA STRUCTURE D’ACCUEIL.............................3
CHAPITRE 2 : APPROCHE MÉTHODOLOGIQUE...........................................................6
PARTIE II : SÉCURITE DES SYSTÈMES D’INFORMATION.............................................8
CHAPITRE 3 : SÉCURITÉ DES SYSTÈMES D’INFORMATION....................................9
CHAPITRE 4 : SIEM...........................................................................................................11
PARTIE III : DEPLOIEMENT DE LA SOLUTION SENKARANGUE...............................27
CHAPITRE 5 : ARCHITECTURE DE SÉCURITÉ............................................................28
CHAPITRE 6 : EXPLOITATION ET TESTS.....................................................................33
CONCLUSION........................................................................................................................55
BIBLIOGRAPHIE....................................................................................................................A
WEBOGRAPHIE......................................................................................................................B
TABLE DES MATIERES........................................................................................................D
10
INTRODUCTION
Les outils informatiques sont au cœur de toutes les activités de l'entreprise. Afin d'atteindre
efficacement leurs objectifs, il est important pour eux de se doter d'un système d'information
informatisé. À cette fin, ils investissent dans du matériel informatique, le développement de
réseaux, l'achat de logiciels et le développement de nouvelles applications. Au fur et à mesure que
l'importance des systèmes disponibles en permanence augmente, le coût des temps d'arrêt
augmente également ; le coût moyen des temps d'arrêt par minute se situe entre 5 600 et 9 000
dollars. Étant donné que chaque minute de défaillance système coûte cher, la détection en amont
des problèmes peut avoir un impact significatif sur les résultats de l'entreprise.
Les alertes informatiques sont la première ligne de défense contre les pannes ou les modifications
des systèmes qui peuvent évoluer en incidents majeurs. En surveillant automatiquement le système
et en générant des alertes pour les pannes et les modifications risqués, les équipes informatiques
peuvent minimiser les temps d'arrêt et les coûts élevés qui y sont associés.
Le présent mémoire qui rend compte de notre étude est articulée en trois (3) grandes parties. La
première partie consistera en la présentation de la structure 4ITSEC et du sujet, la deuxième portera
sur la sécurité des systèmes d’information et la troisième, sur la solution que nous mettrons en
place.
1
PARTIE I :
CADRE DE RÉFÉRENCE ET
APPROCHE
MÉTHODOLOGIQUE
PARTIE I : CADRE DE RÉFÉRENCE ET APPROCHE

MÉTHODOLOGIQUE
2
CHAPITRE 1 : PRÉSENTATION DE LA STRUCTURE D’ACCUEIL
1.1. Présentation et historique
Le développement de l’internet a fait émerger une nouvelle forme d’économie : économie

numérique. En effet, tout comme dans la vie réelle, l’économie numérique est gravement menacée
par des personnes malveillantes. Ainsi, il urge pour les gouvernements, les entreprises ou
simplement toute personne de connaitre les enjeux de la sécurité du système d’information. Faisant
suite à ces réflexions, a été fondé en 2016 for it security africa (4itsec-africa) dont la vocation est
de vulgariser l’acquisition des compétences (en sécurité de l’information) aux étudiants et de
renforcer la capacité des professionnels et enfin d’accompagner les entreprises au travers des
conseils, audit de sécurité des systèmes d’information et diverses prestations dans le domaine du
IT.
Figure 1: Logo 4ITSEC [W20]
4ITSEC-AFRICA est spécialisé en AUDIT & CONSEIL. A cet effet elle interagit avec des
Entreprise à divers niveaux et dans divers domaines.
3
Tableau 1: Domaine d'activité [W20]

Développent
Gouvernance : Expertise d’applications
Audit technique :
technique : sécurisées :
Assistance à RSSI Architecte de Audit intrusif Sur carte à puce

Diagnostic réseaux sécurités Audit de De gestion
Cybersécurité Gestion des configuration D’aide à la prise de
Mise en place SMSI incidents de sécurité Audit de code décision
Conformité et (SOC, CSIRT) RedTeam
privacy: PCI-DSS Expert cloud BlueTeam
Conformité
ISO2700X
Conformité GDPR
1.2. Objectifs
4ITSEC-AFRICA s’est donné pour objectif de :
 Donnez des compétences aux étudiants et renforcer la capacité des professionnels. Porter
assistances aux entreprises confrontées à des soucis de sécurité ;
 Aider les entreprises partenaires à prévenir et réduire considérablement les risques de sécurité
du système d’information ;
 Mener des projets d’audit de certification.
4
1.3. Formations
Apprendre l'attaque pour mieux se défendre. 4ITSEC-AFRICA donne les formations ci-dessous :
Figure 2: Activité 4ITSEC [W20]
5
CHAPITRE 2 : APPROCHE MÉTHODOLOGIQUE
2.1. Problématique et enjeux
La notion d'incident est très large et couvre de multiples domaines : incidents techniques, incidents
fonctionnels, incidents sociaux, incidents de sécurité, incidents de communication, incidents de
paiement, incidents financiers, etc. De manière générale, un incident peut être défini comme un
événement qui cause ou peut causer des dommages à une personne ou à une organisation. Quelle
que soit la méthode adoptée, l'objectif de la gestion des incidents est de détecter et de traiter les
incidents. Le processus de gestion des incidents comprend la détection, l'analyse et le diagnostic
des incidents, la résolution des incidents et/ou la restauration des services affectés.
La cybercriminalité se développant à un rythme alarmant, aucune organisation ne peut se

considérer à l'abri. Que ce soit pour gérer les logs, pour éviter les pannes ou encore pour pouvoir
réagir aux menaces potentielles, l'utilisation des solutions SIEM ne pourrait-t-elle pas être la
solution pour les entreprises ? Comment fonctionnent-t-elles ?
2.2. Objectif général
La cible des cybercriminels ne se limite pas aux grandes organisations. Au contraire, une petite
organisation peut s'avérer être une victime de choix, en raison des informations en sa possession ou
des partenaires avec qui elle travaille. Nous proposerons une alternative aux solutions SIEM qui
soit crédible et surtout accessible et ce à base d’Open Source de sorte à ce qu’il soit accessible aux
Petites et Moyennes Entreprises (PME) et aux Très Petites Entreprises (TPE).
6
2.3. Objectifs spécifiques
Plus précisément, nous mettrons en place un outil de gestion des incidents pour prendre en charge :
 La mesure et la collecte des traces des évènements qui surviennent dans les systèmes
d'information ainsi que leur corrélation, pour fournir une vue globale facilement exploitable ;
 La capacité à surveiller de manière centralisée l'équipement informatique présent dans le

système informatique de l'entreprise ;
 La détection et/ou la prévention des intrusions dans les systèmes d'information afin de
rendre les réactions plus rapides.
7
PARTIE II :
SÉCURITE DES SYSTÈMES
D’INFORMATION
PARTIE II : SÉCURITE DES SYSTÈMES

D’INFORMATION
8
CHAPITRE 3 : SÉCURITÉ DES SYSTÈMES D’INFORMATION
La sécurité de l'information est un ensemble de stratégies de gestion des processus et des politiques
conçues pour protéger, détecter, identifier et répondre aux menaces pesant sur les informations
numériques ou non.
Dans ses responsabilités, elle doit établir un ensemble de processus pour protéger les actifs
informationnels, quel que soit le format ou le statut de l'information.
Habituellement, dans une grande entreprise, une équipe est dédiée à la mise en œuvre et à la
maintenance d'un plan de sécurité. Elle est généralement chargée de superviser la gestion des
risques. Le processus comprend l'évaluation continue de la vulnérabilité des actifs informationnels
et de leurs menaces, de décider des mesures de protection appropriées et de les appliquer. La
valeur d'une entreprise réside dans ses actifs informationnels, et leur sécurité est essentielle à leurs
activités commerciales, à leur réputation à long terme et à la confiance de leurs clients.
3.1. Principes de la sécurité de l'information
Selon l'acronyme anglais Confidentiality, Integrity, Availability, les programmes de sécurité

s'articulent autour de l'objectif fondamental de la « Triade CIA » : protéger la confidentialité,
l'intégrité et la disponibilité des systèmes d'information et des données de l'entreprise.
 Confidentialité : Ceci permet de s'assurer que les informations sensibles ne sont divulguées
qu'aux parties autorisées. Cela nécessite généralement l’utilisation du chiffrement et des clés de
chiffrement.
 Intégrité : Ceci est pour empêcher la modification non autorisée des données. Cela signifie
que les données récupérées après la lecture sont exactement les mêmes que les données écrites.
(Parfois, il est nécessaire d'envoyer les mêmes données à deux emplacements différents pour éviter
une éventuelle corruption des données dans l'un des deux emplacements.)
 Disponibilité : Ceci permet de s'assurer que les parties autorisées peuvent utiliser les
données en cas de besoin. L'objectif ici est de pouvoir rapidement utiliser les nouvelles données et
restaurer les données de sauvegarde dans un délai convenable.
9
3.2. Menaces et réactions
Les menaces qui pèsent sur les informations confidentielles et sensibles prennent de nombreuses
formes : attaques de phishing et de logiciels malveillants, usurpation d'identité et ransomware. Afin
de dissuader les pirates et de limiter les vulnérabilités, des contrôles de sécurité coordonnés sont
mis en œuvre via une défense par couches. Cela minimise l'impact de l'attaque. Pour parer aux
failles de sécurité, les équipes responsables doivent élaborer un plan de réponse aux incidents. Par
conséquent, elles doivent contrôler et limiter les dommages, éliminer la cause et appliquer des
mécanismes de défense actualisés.
Les processus et politiques de sécurité de l'information incluent habituellement des mesures

physiques et numériques pour empêcher l'utilisation, la copie ou la destruction non autorisées des
données et l'accès non autorisé aux données. Ces mesures comprennent les verrous d'accès, la
gestion des clés de chiffrement, les systèmes de détection d'intrusion réseau, les politiques de mot
de passe et la conformité réglementaire. Les audits de sécurité peuvent évaluer la capacité de
l'organisation à assurer la sécurité de ses systèmes conformément aux normes établies.
3.3. Sécurité des informations ou sécurité réseau
Dans une infrastructure informatique d'entreprise moderne, les données peuvent être dynamiques
ou statiques. C'est là qu'intervient la sécurité du réseau. Bien qu'elle fasse techniquement partie de
la cybersécurité, la sécurité des réseaux concerne principalement l'infrastructure réseau de
l'entreprise. Elle en gère tous les aspects, notamment la protection de la périphérie du réseau ; les
mécanismes de transmission des données (commutateurs, routeurs) ; les équipements techniques
qui protègent les données lorsqu'elles passent d'un nœud à un autre. La principale différence entre
la cybersécurité et la sécurité du réseau réside dans la mise en œuvre de plans de sécurité. Un plan
de cybersécurité sans plan de sécurité réseau est incomplet, mais le plan de sécurité réseau se suffit
à lui-même.
10
CHAPITRE 4 : SIEM
Avant de commencer à parler des SIEM, il est important de présenter l’équipe chargée de gérer la
mise en œuvre et la maintenance des plans de sécurité ainsi que de superviser la gestion des
risques, le SOC.
4.1. Le SOC
Le SOC est une installation qui contient un service de sécurité, qui est responsable de la
surveillance continue et de l'analyse du système de sécurité de l'entreprise. L'objectif du SOC est
de détecter, d'analyser et de répondre aux incidents de cybersécurité. Pour cela, il utilise une
combinaison de différents moyens techniques et une série de processus pour détecter et remonter le
moindre incident afin que l'équipe puisse réagir rapidement.
4.1.1. Fonctionnement
Le SOC surveille les données de sécurité générées dans l'ensemble de l'infrastructure informatique,
depuis les systèmes hôtes et applications de l'entreprise jusqu'aux réseaux et dispositifs de sécurité
(tels que les pare-feux et les antivirus). Ses principales activités consistent à :
 Prévenir, détecter et évaluer les menaces qu'elles soient internes ou externes ;

 Intervenir quand un incident survient pour le stopper, récupérer autant de données que
possible, limiter les dégâts occasionnés, analyser pourquoi il a pu avoir lieu, proposer un
plan de reprise si nécessaire ;
 Evaluer la conformité réglementaire ;
 Réaliser de la cyberveille.
11
4.1.2. Les profils des collaborateurs travaillant dans le SOC
Afin d'optimiser le fonctionnement du SOC, il est important que plusieurs types de profils y soient
représentés :
 Des managers : ils supervisent l'ensemble des opérations ;
 Des analystes : ils surveillent le système d'information, détectent les activités suspectes,
gèrent les alertes de sécurité, mènent les investigations après des incidents avérés et
interviennent en amont pour de la prévention ;
 Des ingénieurs et des spécialistes en cybersécurité : ils œuvrent pour une amélioration
continue du SOC, paramètrent les systèmes de supervision, installent et intègrent les
différents outils, etc. ;
 Des experts en sécurité : ils font bénéficier les analystes de leur expertise spécifique pour
la résolution d'incident.
Les membres du SOC sont en relation étroite avec l'équipe d'intervention en cas d'incident de
sécurité informatique. Désignée en tant que CSIRT (Computer Security Incident Response Team),
cette équipe peut aussi être intégrée dans le SOC.
4.1.3. Les outils disponibles dans un SOC
Les outils essentiels de la pile technologique SOC sont :
 Une solution SIEM (Security Information and Event Management);
 Une surveillance comportementale ;
 La découverte d’actifs ;
 L’évaluation de la vulnérabilité ;
 La détection d’intrusion (IDS - Systèmes de Détection d’Intrusion).
12
Ceci est un schéma représentant les composants des SOC modernes.
Figure 3: Composants des SOC modernes [W2]
4.2. Le SIEM
L'un des éléments clés sur lesquels repose le SOC est le SIEM (Security Information and Event
Management). Il s'agit d'une solution de collecte, de surveillance, de corrélation et d'analyse
d'événements sur différentes sources en temps réel. C'est une combinaison de deux solutions
complémentaires :
 La première s'appelle SEM (Security Event Management), qui permet d’analyser les logs
en temps réel (ou presque) des systèmes de sécurité, réseaux, d’exploitation et applicatifs.
 Le second type est appelé SIM (Security Information Management), qui permet de fournir
des rapports conformément aux réglementations et de surveiller les menaces internes.
13
Ci-dessous une illustration de l’acheminement des logs vers le SOC.
Figure 4: Gestion des logs par le SIEM pour le SOC [W5]
4.2.1. Fonctionnement
L’objectif du SIEM est de pouvoir réagir aux menaces aussi rapidement et précisément que
possible. Cela fournit aux responsables informatiques un outil puissant pour les aider à prendre des
mesures avant qu'il ne soit trop tard. Pour cette raison, le système de SIEM tente de détecter les
attaques ou les tendances d'attaques en temps réel en collectant et en analysant les messages, les
notifications d'alerte et les fichiers logs de manière centralisée. Divers appareils, composants et
applications du réseau d'entreprise concerné peuvent servir de source :
 Les pare-feux (logiciels et matériels) ;
 Les interrupteurs ;
 Les routeurs ;
 Les serveurs (serveur de fichiers, FTP, VPN, Proxy, etc.) ;
 Les IDS et IPS.
14
Figure 5: Sources des SIEMs [W7]
Les SIEM utilisent des étapes de récupération, analyse et gestion de l’information, ce sont la
collecte, la normalisation, l’agrégation, la corrélation et la gestion des alertes.
4.2.1.1. La collecte
Le principe de collecte est de fournir des données à traiter par le SIEM. La nature de ces données
peut varier selon l'équipement ou le logiciel, mais elles peuvent également être envoyées de
manières complètement différentes. Il existe deux modes de fonctionnement :
 Mode actif : La plupart des SIEM fonctionnent en déployant un grand nombre d'agents de
collecte de manière stratifiée sur les appareils à superviser. La fonction de ces agents est de
récupérer des informations à partir des appareils des utilisateurs, des serveurs, des équipements
réseau ou de sécurité spécialisés, tels que des pare-feux ou des systèmes antivirus et anti-intrusion,
ainsi que des logiciels de sécurité et des appareils de sécurité, et de les envoyer au SIEM. Un
élément de sécurité conçu nativement pour être un agent du SIEM est appelé une « sonde » ;
 Mode passif : Le SIEM est directement à l’écoute des équipements à superviser. Ici, ce sont
les équipements qui envoient les informations sans utiliser d’intermédiaire.
15
4.2.1.2. La normalisation
Les informations collectées proviennent d'appareils et de logiciels hétérogènes, dont la plupart ont
leurs propres méthodes de formatage des données. Cette étape permet de standardiser les
informations dans un format unique pour faciliter le traitement par le SIEM. Des formats élaborés
par l’IETF (Internet Engineering Task Force) sous forme de RFC (Request For Comments, en
anglais) pour structurer des informations de sécurité, les échanger et les traiter plus facilement.
C'est pourquoi il est plus logique de les lister :
• IDMEF (Intrusion Detection Message Exchange Format) : Il s'agit d'une norme, défini dans la
RFC 4765, pour permettre l'interopérabilité des systèmes commerciaux, libres et open sources, et
les systèmes de recherche. Il est basé sur le format XML, format conçu pour définir les
événements de sécurité et les alertes. Il convient également au stockage de bases de données, à
l'affichage et à la gestion des informations.
16
Figure 6: Format du message IDMEF [B5]
• IODEF (Event Object Description and Exchange Format) : C'est une norme, en RFC 5070,
représentant les informations de sécurité échangées entre les CSIRT (Équipe d'intervention en cas
d'incident de sécurité informatique, anglais). Il est basé sur le format XML (Extensible Markup
Language), qui est un format conçu pour transmettre des événements de sécurité entre les
domaines administratifs et les parties ayant des responsabilités opérationnelles. Le modèle de
données encode les informations des hôtes, des réseaux, des services, etc.
Ainsi, la normalisation permet d'effectuer des recherches multicritères sur des champs ou des
dates. Ces événements seront enrichis d'autres données puis envoyés au moteur de corrélation.
17
4.2.1.3. L'agrégation
L'agrégation est le premier traitement des incidents de sécurité. Il se compose d'un ensemble
d'événements de sécurité basés sur des normes spécifiques. Ces normes sont généralement définies
par des règles appelées « règles d'agrégation » et s'appliquent à des événements similaires.
Plusieurs règles de filtrage peuvent être appliquées. Ils sont ensuite agrégés en fonction de la
solution, puis envoyés au moteur de corrélation.
4.2.1.4. La corrélation
La corrélation correspond à l'analyse des événements selon des critères précis. Ces normes sont
généralement définies par des règles appelées « règles de corrélation ». L'objectif de cette étape est
d'établir la relation entre les événements afin de pouvoir créer des alarmes des événements de
sécurité et des rapports d'activité associés. Elle se différencie sur plusieurs points :
 Auto-apprentissage et connaissances associées : Pour fonctionner, le moteur de

corrélation a besoin d'informations sur les systèmes et le réseau de l'infrastructure. Ces
informations peuvent être collectées automatiquement et/ou saisies manuellement.
 Temps réel et données retardées : Dans certains cas, l'événement d'origine est envoyé
directement pour être corréler en temps réel. Dans d'autres, les événements sont d'abord stockés
puis envoyés après un premier traitement (agrégation), et leur envoi peut être conditionné.
 Corrélation active et passive : La corrélation active peut collecter des informations
supplémentaires pour compléter les événements reçus afin de prendre des décisions. La corrélation
passive est une corrélation qui ne peut pas interagir avec son environnement, elle reçoit des
événements et prend des décisions.
Les règles de corrélation permettent d’identifier les événements à l’origine de plusieurs autres. Si
le SIEM est relié avec des outils appropriés, il peut remonter les alertes via SMS, mail ou ouvrir un
ticket.
18
Figure 7: Schéma du fonctionnement théorique d'un SIEM [B5]
4.2.1.5. La gestion des alertes
Pour la gestion des alertes les SIEM disposent de diverses fonctionnalités comme :
 Le reporting
Les SIEM permettent de créer et générer des tableaux de bord et des rapports. Ainsi, les différents
acteurs du système d'information, responsables sécurité du système d'information, administrateurs,
19
utilisateurs peuvent avoir une visibilité sur le système d'information (nombre d'attaques, nombre
d'alertes par jour...).
 Le stockage
Les solutions SIEM sont utilisées également pour des raisons juridiques et réglementaires. Un
archivage à valeur probante permet de garantir l'intégrité des traces. Par exemple, les solutions
peuvent utiliser du chiffrement pour garantir l'intégrité des traces.
Les alertes, incidents et rapports peuvent être stockés dans des bases de données afin qu'ils
puissent être analysés ultérieurement par le moteur de corrélation.
 La réponse
Les mécanismes de réponse aux alertes doivent permettre d'empêcher automatiquement une
attaque ou de limiter son impact. La réponse à l'intrusion dépend de la politique de sécurité
 Le rejeu des évènements
La majorité des solutions permettent de rejouer les événements passé pour mener des enquêtes post
incidents. Il est également possible de modifier des règles et de rejouer les événements pour voir
leurs comportements.
4.2.2. Types de SIEM
Lorsque l’on veut installer une solution SIEM, trois (3) modes sont possible.
4.2.2.1. In-house SIEM
Dans cette configuration, l'organisation contrôle entièrement sa solution SIEM. Ils implémentent
cette solution dans leurs installations physiques. Elle devient donc une partie du SOC.
L’organisation peut personnaliser ce SIEM interne pour répondre à ses besoins de sécurité et faire
les mises à jour comme elle le souhaite. Cependant, étant donné qu'aucun tiers n'est impliqué et
que toutes les informations relatives à la sécurité sont toujours internes, l'organisation sera seule
20
responsable. Ce type de SIEM nécessite un investissement initial important ainsi que des coûts de
maintenance, de correctifs et de mises à jour.
4.2.2.2. Cloud-based SIEM
Les solutions SIEM basées sur le cloud peuvent être utilisées avec des abonnements et les
responsabilités de maintenance matérielle sont minimisées. Les clients peuvent décider de
l'implémenter pour leur organisation sans recourir à un tiers.
4.2.2.3. Managed SIEM
Ici, Le SIEM peut être interne ou basé sur le cloud, mais avec l'aide du fournisseur de services. Le
fournisseur devient un soutien pendant la mise en œuvre. La solution est hébergée sur le serveur du
fournisseur et surveille le réseau client pour détecter d'éventuelles menaces de sécurité. Ce type de
SIEM offre un déploiement plus rapide, une maintenance négligeable, des options de tarification
flexibles et la disponibilité d'experts SIEM sur appel.
4.2.3. Avantages et inconvénients des S.I.E.M
Il est vrai que s'équiper d'un SIEM demande beaucoup d'investissement du fait de la complexité de
sa mise en œuvre. Cependant, bien que conçu à l'origine pour les grandes entreprises, le SIEM
offre des avantages à tous les types d'organisations :
21
4.2.3.1. Avantages
Le déploiement d’une solution SIEM offre de nombreux avantages comme :
 Détection proactive d'incidents
Un SIEM peut détecter des incidents de sécurité qui passent inaperçus. La raison est simple : les
nombreux hôtes qui enregistrent les événements de sécurité n'ont pas de capacités de détection
d'incident. Le SIEM a cette capacité de détection en raison de sa capacité à corréler les
événements.
Contrairement aux systèmes de prévention d’intrusions qui identifient les attaques isolées, le SIEM
voit au-delà. Les règles de corrélation lui permettent d'identifier les événements qui ont conduit à
la génération de plusieurs autres événements. Dans ces cas, la plupart des solutions ont la capacité
de prendre des mesures indirectes sur la menace. Le SIEM communique avec d'autres outils de
sécurité mis en place dans l'entreprise et fait des modifications pour bloquer l’activité malveillante.
En conséquence, des attaques que l'entreprise ne remarquerait même pas sont déjouées.
Une organisation peut choisir d'intégrer dans son S.I.E.M. une « Cyber Threat Intelligence »
(C.T.I., cyber menace intelligence, français). Selon la définition de GARTNER, la CTI est « la
connaissance fondée sur des preuves, y compris le contexte, les mécanismes, les indicateurs, les
implications et des conseils concrets, concernant une menace nouvelle ou existante ou un risque
pour les actifs d'une organisation qui peuvent être utilisés afin d'éclairer les décisions concernant
la réponse du sujet à cette menace ou un danger » [W8]. La C.T.I. comprend donc la collecte et
l'organisation de toutes les informations liées aux menaces et aux cyber-attaques afin de dresser les
profils des attaquants ou de mettre en évidence des tendances (zones d'activité visées, méthodes
d'attaque utilisées, etc.). Cela permet de mieux prédire les événements.
 Conformité et reporting
A l'heure de l'augmentation des normes et certifications en matière de cybersécurité, le SIEM est

devenu un élément clé pour tout système d'information. Il s'agit d'un moyen relativement simple de
répondre à plusieurs exigences de sécurité (par exemple : historique et surveillance des logs,
rapports de sécurité, alarmes, etc.). D'autant plus que le SIEM peut générer des rapports très
22
personnalisables en fonction des exigences des différentes réglementations. Cet avantage à lui seul
suffit à convaincre les organisations de déployer le SIEM car, quelle que soit la source des fichiers
logs (également générés dans un format propriétaire), la génération d'un rapport unique couvrant
tous les incidents de sécurité pertinents peut faire gagner un temps précieux.
 Amélioration des activités de gestion des incidents
Le SIEM permet également de mieux réagir face aux incidents. Avoir un SIEM, c'est la garantie
d'identifier rapidement les menaces et de raccourcir le temps de réponse avec des ressources
réduites. C’est l’aperçu des incidents de sécurité reçus des applications, des systèmes d'exploitation
et de divers dispositifs de sécurité, qui permet l’identification des attaques et les dangers potentiels.
Il est à noter que le SIEM intègre également des fonctions d'analyse du comportement des
utilisateurs et des entités, fonctions précieuses qui aident les entreprises à détecter les menaces
provenant des personnes et/ou des logiciels.
Ces solutions SIEM, bien qu’ayant de nombreux avantages, ont aussi quelques inconvénients.
4.2.3.2. Inconvénients
Déployer une solution SIEM ne suffit pas pour protéger pleinement une organisation. Sans
support adéquat ni solutions tierces, elles sont très limites et donc pas optimales. Contrairement à
des solutions de sécurité de type IPS ou Pare-feu, le SIEM ne surveille pas les événements de
sécurité, mais utilise les données enregistrées par les fichiers logs. Il est donc important de ne pas
négliger la mise en œuvre de ces solutions.
 Une configuration quelques fois trop complexe
Les SIEM sont des produits complexes qui nécessitent un support pour assurer une intégration
réussie avec les contrôles de sécurité de l'entreprise et les nombreux hôtes de son infrastructure. Il
est important de ne pas simplement installer le SIEM avec les configurations par défaut, car elles
ne suffisent généralement pas car ; pour bien fonctionner, elles ont besoin d’être personnalisées et
adaptées aux besoins.
23
 Des coûts de déploiement qui peuvent être élevés
L’exécution des fonctions du SIEM en fonction des évènements de sécurité semble relativement
simple. Cependant, il n'est pas facile de collecter, de stocker, d’exécuter des rapports de
conformité, d'appliquer des correctifs et d'analyser tous les incidents de sécurité qui se produisent
sur le réseau de l'entreprise car il faut prendre en compte la taille du support de stockage, la
capacité de l'ordinateur à traiter les informations, le temps d'intégration des équipements de
sécurité, le réglage des alarmes, etc.
L'investissement initial peut se chiffrer en centaines de milliers de FCFA, en plus de

l’accompagnement annuel dans le cas d'une solution payante. L'intégration, la configuration et
l'analyse des rapports nécessitent des compétences d'expert. Aussi, faire appel à un prestataire
externe ayant une expertise dans le domaine est généralement la méthode utilisée par les
entreprises.
 Un grand volume d'alertes à réguler
Les solutions SIEM reposent généralement sur des règles pour analyser toutes les données
enregistrées.
Cependant, un réseau d'entreprise génère un grand nombre d'alertes (en moyenne 10 000 par jour),
qui peuvent très bien être positives ou pas. Par conséquent, le nombre de fichiers log non pertinent
complique l'identification des attaques potentielles. La solution serait de définir des règles et des
limites précises pour la surveillance : Priorité de surveillance (Réseau, système ou application),
Technologie à privilégier et beaucoup plus. A cause du grand nombre d'alarmes à gérer, des
employés formés ou des équipes dédiées sont nécessaires pour consulter les logs, effectuer des
examens périodiques et en extraire des rapports pertinents.
24
4.2.4. SIEM Commerciaux
Un SIEM « commercial » ou « propriétaire » est un SIEM qui n'appartient qu'à la personne morale
ou physique qui l'a développé. Contrairement à l'Open Source, la version propriétaire et son code
source ne peuvent être étudiés, modifiés ou diffusés sans l'autorisation formelle de son créateur ou
éditeur.
Tableau 2: SIEMs commerciaux (Comparatifs)

Plateforme
SIEM Cible Déploiement Essai gratuit Prix
OS
Petites,
Windows,
moyennes et Sur site et
SolarWinds Linux, Mac, 30 jours À partir de 4665 $.
grandes dans le cloud
Solaris.
entreprises.
Obtenir un devis
Moyennes et Selon les avis en ligne :
Sur site,
IBM grandes À partir de 800 $/mois.
Linux SaaS et 14 jours
Qradar entreprises. Pour l'appliance
Cloud
virtuelle de 100
EPS,10700 $/mois
Splunk Enterprise :
60 jours
Splunk Cloud : 15
Petites, jours
moyennes et Windows, Splunk Light : 30
Sur site et
Splunk grandes Linux, Mac, jours Obtenir un devis
SaaS
entreprises. Solaris. Splunk Free :
échantillon gratuit
pour la plate-forme
d'entreprise
principale.
25
4.2.5. SIEM Open-Source
Un SIEM Open source ou « code source ouvert » fait référence à un SIEM dont le code source est
librement accessible à tous, et il peut être consulté, modifié et redistribué conformément aux
normes fixées par l'Open Source Initiative (OSI). Les développeurs et les entreprises peuvent
utiliser le code source pour l'adapter à leurs besoins métiers ou améliorer son intégration avec
d’autres systèmes d'information.
Tableau 3: SIEMs Open-Source (Comparatif)
SIEM Cible Plateforme OS Déploiement
Alienvault Très petites, petites et

Linux Sur site, SaaS
OSSIM moyennes entreprises.
Très petites, petites et

SNORT moyennes entreprises. Windows, Linux Sur site, Saas

ELK Linux Sur site, SaaS
moyennes entreprises.

OSSEC moyennes entreprises. Linux Sur site, Saas
26
PARTIE III :
DEPLOIEMENT DE LA
SOLUTION
SENKARANGUE
27
PARTIE III : DEPLOIEMENT DE LA SOLUTION

SENKARANGUE
28
CHAPITRE 5 : ARCHITECTURE DE SÉCURITÉ
L’idée de la création de SENKARANGUE qui veut dire « Notre sécurité ! » vient du problème
d’accessibilité des SIEM commerciaux. Nous avons donc modifié un logiciel Open Source afin de
le créer et ainsi le rendre bien plus accessible.
5.1. Présentation de la solution
SENKARANGUE permet de collecter des informations à partir de divers fichiers logs d'entreprise,
tels que les contrôles de sécurité d'entreprise, les systèmes d'exploitation et les applications. Elle
convertit les données collectées dans un format qu'elle peut comprendre. A l'aide de
SENKARANGUE, il est possible de définir des règles de sécurité liées à la stratégie de sécurité
adoptée, comprendre la cartographie du réseau et associer différents outils afin d’optimiser la
supervision.
SENKARANGUE assure toutes les fonctionnalités d’un SIEM que sont :
 La collecte des logs ;

 L’agrégation ;
 La normalisation ;
 La corrélation ;
 Le reporting ;
 L’archivage ;
 L’interprétation des évènements.
Elle intègre en plus des outils Open Source tels que :
 Des détecteurs d’intrusion : Snort (NIDS) Ossec (HIDS) ;

 Des détecteurs de vulnérabilités : Nesus, OpenVAS ;
 Des détecteurs d’anomalies : Arp Watch, p0f, pads ;
 Un gestionnaire de disponibilité : Nagios ;
 Un outil de découverte du réseau : Nmap ;
 Un inventaire de parc informatique : OCS-Inventory ;
29
 Un analyseur de trafic en temps réel : Ntop, TCPTrack, Netflow.
5.1.1. Principe de la solution
Le Framework au cœur de SENKARANGUE a pour objectif de centraliser, d’organiser et

d’améliorer la détection et l’affichage pour la surveillance des événements liés à la sécurité du
système d’information d’une entreprise. SENKARANGUE fournit donc par le biais de son
Framework, un outil administratif qui permet de configurer et d’organiser les différents modules
natifs ou externes qui vont composer la solution.
Le Framework est ainsi constitué des éléments de supervision suivants :
 Un panneau de contrôle ;
 Des moniteurs de supervision de l’activité et des risques ;
 Des moniteurs de supervision réseau et des consoles d’investigation.
5.1.2. Architecture
SENKARANGUE repose principalement sur trois composants :

 Le serveur : Il contient les différents moteurs d’analyse, de corrélation ainsi que les bases
de données.
 L’agent : C’est celui qui est en charge de la collecte et de l’envoie des évènements au
serveur
 Le Framework : Il regroupe la console d’administration, les outils de configuration et
ceux de pilotage. Il assure également la gestion des droits d’accès.
Le fonctionnement de SENKARANGUE est divisé en 2 principales étapes :

 Pré-processing : C’est la partie de la collecte des événements afin de les normaliser. Elle
est gérée par des équipements comme les IDS et les sondes de collecte d’information.
 Post- processing : Ici c’est la prise en charge des informations brute. Elles sont analysées,
traitées et stockées dans la base de données.
Toutes ces informations collectées sont spécifiques et ne représentent qu'une partie des
informations diffusées dans le réseau de l'entreprise. La possibilité d'utiliser les informations
30
renvoyées par les détecteurs pour compléter et augmenter le niveau d'information à l'aide d'un
nouveau niveau de traitement est appelée corrélation. Par rapport à la quantité d'informations
disponibles sur le réseau, son objectif est de rendre ce retour plus efficace.
La figure suivante illustre le fonctionnement en 2 étapes. Il existe différentes bases de données
pour ces étapes, permettant de stocker des informations intermédiaires (corrélés).
Figure 8: Fonctionnement en 2 étapes
Définition des bases de données utilisées :
31
EDB : Base de données d'événements, la plus grande des bases de données qui stocke toutes les
alarmes individuellement.
KDB : Base de données des connaissances, qui enregistre les configurations créées par
l'administrateur responsable de la sécurité.
UDB : Base de données des profils utilisateurs, qui stocke toutes les informations du moniteur de
profils.
5.2. Fonctionnement
Le schéma de la figure ci-dessous, illustre le cheminement d’une alarme
32
Figure 9: Cheminement d'une alarme
Le cheminement de l’alarme s’effectue par étapes numérotées de 1 à 10 :
1) Le détecteur détecte les événements suspects (via des signatures ou des heuristiques)
2) Les alarmes sont regroupées par le détecteur pour réduire le trafic réseau si nécessaire.
3) Le collecteur reçoit les alarmes par différents protocoles de communication ouverts.
4) Le parser normalise et enregistre les alarmes dans l’EDB
5) Le parser attribue la priorité aux alarmes reçues selon la configuration de la politique de
sécurité définie par l'administrateur de sécurité
6) L'analyseur évalue le risque direct représenté par l'alerte et envoie une alerte interne au
panneau de contrôle si nécessaire
33
7) Les alarmes sont maintenant envoyées à tous les processus de corrélation qui mettent à jour
leurs états, et il est possible d'envoyer une/des alarmes internes plus précises (du groupe
d'alarmes venant de la corrélation) au module de centralisation.
8) Le moniteur de risques affiche régulièrement l'état de chaque risque calculé par CALM10.
9) Le panneau de contrôle affiche les alarmes les plus récentes et met à jour l'indice d'état par
rapport au seuil défini par l'administrateur. Si l’indice est supérieur au seuil configuré, une
alarme interne sera émise.
10) Depuis le panneau de contrôle, l’administrateur peut utiliser la console forensic pour
afficher et rechercher des liens entre différentes alertes.
34
CHAPITRE 6 : EXPLOITATION ET TESTS
Nous allons dans ce chapitre, effectuer des tests de la solution ainsi que quelques attaques pour
observer le comportement de SENKARANGUE face à elles.
6.1. Environnement de travail
Dans cette section, nous allons présenter les machines que nous avons utilisées ainsi que
l’environnement créer pour effectuer les tests.
6.1.1. Choix du matériel
Tableau 4: Matériel & Logiciels

Matériel
& Description
Logiciel
DELL (AlienWare) Utilisé pour l’environnement de virtualisation i7 8th Gen 16Go
ram
VMware Workstation Environnement de virtualisation utilisé
Pro
SENKARANGUE Logiciel de gestion de la sécurité
Windows 7 (CTF) Machine virtuelle Windows vulnérable utilisée à des fins de test
Ubuntu 18.04.5 (VPLE) Machine virtuelle Ubuntu vulnérable utilisée à des fins de test
Kali Linux 2021.2 Machine virtuelle Linux utilisée pour faire les tests de
pénétration
35
6.1.2. Architecture implémentée
L’architecture ci-dessous est celle que nous avons utilisée pour les tests.
Figure 10: Architecture de test
36
6.2. Test de la solution
Dans cette section, nous allons effectuer des tests des fonctionnalités de notre solution
SENKARANGUE.
6.2.1. Conformité avec le standard ISO 27001
La norme ISO 27001 définit une méthodologie pour identifier les cyber-menaces, maîtriser les
risques associés aux informations cruciales des organisations, mettre en place les mesures de
protection appropriées afin d’assurer la confidentialité, la disponibilité, l’intégrité de l’information
ainsi que la conformité légale. Elle se base sur un modèle d’amélioration continue, le modèle
PDCA. Elle se compose de 4 phases : Plan (planifier), Do (faire), Check (vérifier) et Act (agir) afin
d’améliorer le SMSI (Système de management de la sécurité de l'information). La plate-forme
SENKARANGUE offre de nombreuses fonctionnalités de sécurité essentielles nécessaires pour
démontrer la conformité à la norme ISO 27001, ainsi que des modèles de rapports prêts à l'emploi
spécialement conçus pour la norme ISO 27001.
Figure 11: Onglet de génération de rapports
37
Cette capture est un exemple de rapport d'activité et de conformité ISO PCI.
Figure 12: Rapport de conformité
38
Cette capture est un exemple de rapport d’évènements SIEM.
Figure 13: Rapport d'évènements
39
Cette capture est un autre exemple de rapport d’évènements SIEM.
Figure 14: Rapport d'évènements (2)
6.2.2. Scan de vulnérabilité avec OpenVAS
OpenVAS, une application utilisée pour analyser les points de terminaison et les applications Web
afin d'identifier et de détecter les vulnérabilités. Elle est couramment utilisée par les entreprises
dans le cadre de leurs solutions d'atténuation pour identifier rapidement toute lacune dans leurs
serveurs ou applications de production ou même de développement.
 Machine 1 (Ubuntu VPLE) : 192.168.1.19/24

 Machine 2 (Windows 7 CTF) : 192.168.1.36/24
40
Dans l’onglet Environnement, il est possible de lancer des scans de vulnérabilité pour les machines
choisies.
Figure 15: Scan de vulnérabilité des machines VPLE et WIN7
41
Ici nous peut voir les résultats des scans de vulnérabilité, les évènements et les alarmes trouvés sur
les machines monitorées.
Figure 16: Interface montrant les évènements des machines VPLE et Win7
42
Cette capture montre qu’un rapport peut aussi être généré sous format PDF et se présentera comme
suit :
Figure 17: Rapport de vulnérabilité
43
Ce rapport contient en plus des détails sur les vulnérabilités trouvées, des propositions de solution
pour y remédier.
Les parties en rouge représentent les vulnérabilités à risque élevé.
Figure 18: Rapport de vulnérabilité (2)
44
Les parties en jaune représentent les vulnérabilités à risque moyen.
Figure 19: Rapport de vulnérabilité (3)
45
6.2.3. Supervision réseau avec NETFLOW
NetFlow est un protocole réseau développé par Cisco pour collecter des informations sur le
trafic IP et surveiller le flux réseau. En analysant les données NetFlow, on obtient une vue
d’ensemble du flux et du volume de trafic réseau.
Figure 20: Supervision du trafic réseau avec NetFlow
46
6.2.4. EternalBlue
La vulnérabilité « Eternal Blue » CVE-2017-0143 permet à des individus ou à des logiciels

malveillants d'exploiter cette faille de sécurité afin d’accéder à une machine. Il utilise le port 445
pour exploiter une faille de sécurité qui existaient dans la première version du protocole SMB
(Server Message Block).
Le protocole SMB est un protocole qui permet de partager des ressources (fichiers, imprimantes,
etc.) avec des machines exécutant le système d'exploitation Windows sur le réseau local.
 Machine de l'attaquant (Kali linux) : 192.168.1.37/24

 Machine de la victime (Windows CTF) : 192.168.1.36/24
Nous commençons par faire un scan de la machine cible avec nmap en utilisant le script « vuln »
qui contient une liste de vulnérabilités connu dont EternalBlue.
Figure 21: Scan de port avec nmap
Ici nous peuvons voir que SENKARANGUE a détecté le scan de la machine Win7 2 minutes après
le lancer du scan.
Figure 22: Détection du scan nmap par SENKARANGUE
47
Les résultats montrent que la machine est bel et bien vulnérable sur le protocole SMBv1
Figure 23: Résultats du scan nmap de la machine Win7
48
Nous recherchons l’exploit à utiliser.
Figure 24: Choix de l'exploit Eternalblue
Puis nous exécutons l’exploit choisi.
Figure 25: Exécution de l'exploit Eternalblue
49
SENKARANGUE détecte en temps réel l’exécution de l’exploit EternalBlue.
Figure 26: Détection de l'exploit EternalBlue
Apres avoir accéder à la machine, nous complétons l’exploit en élevant nos privilèges.
Figure 27: Accès au système cible et élévation des privilèges
50
6.2.5. DDOS
Les attaques DDoS sont conçues pour rendre les serveurs, les services ou l'infrastructure
indisponibles. Les attaques peuvent prendre différentes formes : la bande passante du serveur est
saturée pour le rendre inaccessible ou encore épuiser les ressources système de la machine,
l'empêchant de répondre au trafic légitime. Lors d'une attaque DDoS, un grand nombre de requêtes
sont envoyées simultanément depuis plusieurs points du Web. L'intensité de ce « tir croisé » rend
le service instable voire indisponible.
Slowloris est un programme d'attaque par déni de service qui permet à un attaquant de submerger
le serveur cible en ouvrant et en maintenant un grand nombre de connexions HTTP simultanées
entre l'attaquant et la cible. C’est une attaque de couche application qui utilise des requêtes HTTP
partielles. L'attaque fonctionne en ouvrant des connexions avec le serveur Web cible et en les
maintenant ouvertes aussi longtemps que possible.
Nous utiliserons l‘attaque DOS (CVE-2017-6750) Slowloris avec les machines suivantes :
 Machine de l'attaquant (Kali linux) : 192.168.1.37/24

 Machine de la victime (Ubuntu VPLE) : 192.168.1.16/24
D’abord faire un scan de la machine cible avec nmap en utilisant le script « vuln » pour vérifier
que la machine cible est bien vulnérable à l’attaque DDOS avec Slowloris.
Figure 28: Scan nmap de la machine Ubuntu VPLE
51
SENKARANGUE a détecté le scan de la machine Ubuntu VPLE
Figure 29: Détection du scan par Senkarangue
Le résultat du scan nmap montre que la machine Ubuntu VPLE est bien vulnérable à Slowloris
Figure 30: Résultat du scan nmap de la machine Ubuntu VPLE
52
Nous recherchons l’exploit à utiliser.
Figure 31: Choix de l'exploit Slowloris
Nous renseignons les champs nécessaires pour l’attaque DDOS avant de l’exécuter.
Figure 32: Exécution de l'exploit Slowloris
53
Ceci est l’interface Web du la machine qui va subir l’attaque DDOS.
Figure 33: Interface Web (Avant l'attaque DDOS)
54
Apres l’exécution de l’attaque DDOS l’interface Web n’est plus accessible.
Figure 34: Interface Web (Apres l'attaque DDOS)
55
SENKARANGUE détecte en temps réel une attaque DDOS en cours.
Figure 35: Détection de l'attaque par Senkarangue
56
CONCLUSION
Ce document avait pour objectif, d’étudier les mécanismes de gestions des évènements de sécurité
à base d’Open Source. Il a donc fallu faire une étude comparative des solutions déjà existantes afin
d’étudier leurs fonctionnements mais aussi, de voir leurs points fort et faible. Cette étude nous a
servi de référence pour notre solution.
SENKARANGUE nous permet au final de centraliser tous évènements survenant dans son champ
de de surveillance, nous donnant ainsi une vue d’ensemble, et de détecter les intrusions
potentielles. Elle nous offre en plus une grande liberté d’action de par sa modularité et sa capacitée
à s’appuyer sur nombre d’outils de sécurité.
L’étude de ce projet nous a ouvert les yeux sur les avantages des solutions Open-Sources. Bien
qu’elles soient faciles d’accès, avec parfois une bonne documentation, l’implémentation et la
configuration de ces solutions n’en reste pas moins fastidieuses. Cependant elles nous permettent,
et ce à moindre coût, de faire tout ou pratiquement tout ce que les solutions propriétaires nous
proposent.
Dans cette même lancée, l’intégration à SENKARANGUE de solution comme Wazuh (HIDS) ou
encore Kaspersky (antivirus) pourrait contribuer à l’amélioration de son efficacité.
57
BIBLIOGRAPHIE
 [B1] Essen Obed KUAOVI KOKO « Etude et mise en place d'un SIEM (Security
Information and Event Management) open source : cas de BANKeVI groupe », 2019 – 2020
 [B2] Joel Winteregg, « Fonctionnement d’OSSIM Dans le cadre de SIMS - Security

Intrusion Management System », 12 mai 2006
 [B3] M. Soumaré Amadou Tidiane, « Etude et Déploiement d’un système de

Management des logs dans un système d’information : cas OSSIM », 2016 – 2017
 [B4] Mme Khadidja Mbacke MBOW, « Etude et Déploiement d’un système de

Management des logs dans un système d’information : cas OSSIM », 2017 – 2018
 [B5] N. Cherriere, G. Montassier, R. Picard et E. Thuiller, « Les SIEM (Security

Information and Event Management) : Gestion de la sécurité centralisée »
WEBOGRAPHIE
 [W1] https://www.exodata.fr/blog/soc-informatique-definition, Consulté le 06 juin 2021
 [W2] https://www.logpoint.com/fr/blog/security-operations-center-soc/ , Consulté le 06 juin
2021
 [W3] https://www.harmonie-technologie.com/siem-security-information-and-event-
management, Consulté le 06 juin 2021
 [W4] https://www.ionos.fr/digitalguide/serveur/securite/quest-ce-que-le-siem/, Consulté le
06 juin 2021
 [W5] https://www.antemeta.fr/proteger-systeme-dinformation-cest-siem-pathique/, Consulté
le 06 juin 2021
 [W6] https://lifars.com/2020/10/siem-series-part-2-types-of-siem-solutions/, Consulté le 06
juin 2021
 [W7] https://www.pratum.com/blog/122-benefits-of-log-consolidation-in-a-siem-
environment, Consulté le 07 juin 2021
 [W8]https://fr.wikipedia.org/wiki/Threat_Intelligence#:~:text=Selon%20la%20d
%C3%A9finition%20de%20Gartner,organisation%20qui%20peuvent%20%C3%AAtre
%20utilis%C3%A9s, Consulté le 06 juin 2021
 [W9] https://www.dnsstuff.com/fr/outils-siem-gratuits, Consulté le 13 juin 2021
 [W10] https://cybersecurity.att.com/documentation/usm-appliance-deployment-guide.htm?
tocpath=Documentation%7CUSM%20Appliance%E2%84%A2%7CDeployment%20Guide
%7C_____0, Consulté le 08 juillet 2021
 [W11] http://download.velannes.com/Ossim_doc.pdf, Consulté le 12 juillet 2021

 [W12] https://www.esecurityplanet.com/networks/ibm-qradar-vs-splunk/, Consulté le 29
juillet 2021
B
 [W13] https://www.memoireonline.com/07/21/11983/m_Etude-et-mise-en-place-dun-SIEM-
security-information-and-event-management-open-source-cas-de-3.html#toc4, Consulté le 08
août 2021
 [W14] https://fr.myservername.com/top-11-best-siem-tools-2021, Consulté le 12 août 2021
 [W15] https://www.ibm.com/fr-fr/products/hosted-security-intelligence/pricing, Consulté le
12 août 2021
 [W16] https://www.ibm.com/docs/en/SS42VS_7.4/com.ibm.qradar.doc/b_siem_inst.pdf,
Consulté le 12 août 2021
 [W17] https://www.yumpu.com/fr/document/read/6220330/les-siem-security-information-
and-event-montassierfr, Consulté le 18 août 2021
 [W18] http://bibnum.ucad.sn/viewer.php?c=mmoires&d=mems%5f2018%5f0552, Consulté
le 14 septembre 2021
 [W19] http://bibnum.ucad.sn/viewer.php?c=mmoires&d=mems%5f2019%5f1020, Consulté
le 14 septembre 2021
 [W20] https://4itsec-africa.com/index.html#team, Consulté le 15 septembre 2021
C
TABLE DES MATIERES
DEDICACE................................................................................................................................I
REMERCIEMENTS.................................................................................................................II
LISTE DES SIGLES................................................................................................................III
LISTE DES FIGURES..............................................................................................................V
LISTE DES TABLEAUX......................................................................................................VII
SOMMAIRE.........................................................................................................................VIII
INTRODUCTION......................................................................................................................1
PARTIE I : CADRE DE RÉFÉRENCE ET APPROCHE MÉTHODOLOGIQUE..................2
CHAPITRE 1 : PRÉSENTATION DE LA STRUCTURE D’ACCUEIL.............................3
1.1. Présentation et historique.........................................................................................3
1.2. Objectifs...................................................................................................................4
1.3. Formations...............................................................................................................5
CHAPITRE 2 : APPROCHE MÉTHODOLOGIQUE...........................................................6
2.1. Problématique et enjeux...........................................................................................6
2.2. Objectif général........................................................................................................6
2.3. Objectifs spécifiques................................................................................................7
PARTIE II : SÉCURITE DES SYSTÈMES D’INFORMATION.............................................8
CHAPITRE 3 : SÉCURITÉ DES SYSTÈMES D’INFORMATION....................................9
3.1. Principes de la sécurité de l'information..................................................................9
3.2. Menaces et réactions..............................................................................................10
3.3. Sécurité des informations ou sécurité réseau.........................................................10
CHAPITRE 4 : SIEM...........................................................................................................11
4.1. Le SOC..................................................................................................................11
4.1.1. Fonctionnement..............................................................................................11
D
4.1.2. Les profils des collaborateurs travaillant dans le SOC...................................12
4.1.3. Les outils disponibles dans un SOC...............................................................12
4.2. Le SIEM.................................................................................................................13
4.2.1. Fonctionnement..............................................................................................14
4.2.1.1. La collecte................................................................................................15
4.2.1.2. La normalisation.......................................................................................16
4.2.1.3. L'agrégation..............................................................................................18
4.2.1.4. La corrélation............................................................................................18
4.2.1.5. La gestion des alertes................................................................................19
4.2.2. Types de SIEM...............................................................................................20
4.2.2.1. In-house SIEM..........................................................................................20
4.2.2.2. Cloud-based SIEM...................................................................................21
4.2.2.3. Managed SIEM.........................................................................................21
4.2.3. Avantages et inconvénients des S.I.E.M........................................................21
4.2.3.1. Avantages.................................................................................................22
4.2.3.2. Inconvénients............................................................................................23
4.2.4. SIEM Commerciaux.......................................................................................25
4.2.5. SIEM Open-Source........................................................................................26
PARTIE III : DEPLOIEMENT DE LA SOLUTION SENKARANGUE...............................27
CHAPITRE 5 : ARCHITECTURE DE SÉCURITÉ............................................................28
5.1. Présentation de la solution.....................................................................................28
5.1.1. Principe de la solution....................................................................................29
5.1.2. Architecture interne........................................................................................29
5.2. Fonctionnement.....................................................................................................31
CHAPITRE 6 : EXPLOITATION ET TESTS.....................................................................33
6.1. Environnement de travail.......................................................................................33
6.1.1. Choix du matériel................................................................................................33
E
6.1.2. Architecture implémentée..............................................................................34
6.2. Test de la solution..................................................................................................35
6.2.1. Conformité avec le standard ISO 27001........................................................35
6.2.2. Scan de vulnérabilité avec OpenVAS............................................................38
6.2.3. Supervision réseau avec NETFLOW.............................................................44
6.2.4. EternalBlue.....................................................................................................45
6.2.5. DDOS.............................................................................................................49
CONCLUSION........................................................................................................................55
BIBLIOGRAPHIE....................................................................................................................A
WEBOGRAPHIE......................................................................................................................B
TABLE DES MATIERES........................................................................................................D
F
RÉSUMÉ
Cette étude consiste à proposer une alternative aux solutions SIEM qui soit crédible et surtout
accessible et ce à base d’Open Source de sorte à ce qu’il soit accessible à tous. Le problème
fut par conséquent, de savoir si l'utilisation des SIEM serait la solution pour les entreprises
mais aussi de savoir comment elles fonctionnent ? Pour y répondre, une analyse du
fonctionnement des solutions SIEM a été menée, suivie par une étude des SIEM déjà existant
afin d’en faire ressortir leurs avantages et leurs inconvénients. Cette étape a servi de référence
pour la mise en place de notre solution SENKARANGUE.
ABSTRACT
This study consists in proposing an alternative to SIEM solutions that is credible and above
all accessible and this based on Open Source so that it is accessible to all. The problem was
therefore to know if the use of SIEMs would be the solution for companies but also to know
how they work? To answer this question, an analysis of how SIEM solutions work was
conducted, followed by a study of existing SIEMs to highlight their advantages and
disadvantages. This step served as a reference for the implementation of our solution
SENKARANGUE.

Memoire Master Harris Diallo Ver 2.0 (Corrige)

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Memoire Master Harris Diallo Ver 2.0 (Corrige)

Transféré par

Droits d'auteur :

Formats disponibles

Mémoire de master professionnel

Mécanismes de gestion des alertes et

Sous la direction de : Présentée et soutenu par :

M. Haikreo ADJEOUA M. Harris Assane DIALLO

À nos très chers parents

Je souhaite particulièrement remercier ma famille et mes amis pour leurs encouragements et

LISTE DES SIGLES

ARP Address Resolution Protocol

RSSI Responsable de la Sécurité des Systèmes d'Informations

LISTE DES FIGURES

Figure 1: Logo 4ITSEC..............................................................................................................3

Figure 31: Exécution de l'exploit Slowloris.............................................................................51

LISTE DES TABLEAUX

Tableau 1: Domaine d'activité [W20]........................................................................................4

PARTIE I : CADRE DE RÉFÉRENCE ET APPROCHE MÉTHODOLOGIQUE..................2

CHAPITRE 1 : PRÉSENTATION DE LA STRUCTURE D’ACCUEIL.............................3

CHAPITRE 2 : APPROCHE MÉTHODOLOGIQUE...........................................................6

PARTIE II : SÉCURITE DES SYSTÈMES D’INFORMATION.............................................8

CHAPITRE 3 : SÉCURITÉ DES SYSTÈMES D’INFORMATION....................................9

CHAPITRE 4 : SIEM...........................................................................................................11

PARTIE III : DEPLOIEMENT DE LA SOLUTION SENKARANGUE...............................27

CHAPITRE 5 : ARCHITECTURE DE SÉCURITÉ............................................................28

CHAPITRE 6 : EXPLOITATION ET TESTS.....................................................................33

TABLE DES MATIERES........................................................................................................D

PARTIE I : CADRE DE RÉFÉRENCE ET APPROCHE

CHAPITRE 1 : PRÉSENTATION DE LA STRUCTURE D’ACCUEIL

1.1. Présentation et historique

Le développement de l’internet a fait émerger une nouvelle forme d’économie : économie

Figure 1: Logo 4ITSEC [W20]

Tableau 1: Domaine d'activité [W20]

Assistance à RSSI Architecte de Audit intrusif Sur carte à puce

4ITSEC-AFRICA s’est donné pour objectif de :

Figure 2: Activité 4ITSEC [W20]

CHAPITRE 2 : APPROCHE MÉTHODOLOGIQUE

2.1. Problématique et enjeux

La cybercriminalité se développant à un rythme alarmant, aucune organisation ne peut se

2.2. Objectif général

2.3. Objectifs spécifiques

 La capacité à surveiller de manière centralisée l'équipement informatique présent dans le

PARTIE II : SÉCURITE DES SYSTÈMES

CHAPITRE 3 : SÉCURITÉ DES SYSTÈMES D’INFORMATION

3.1. Principes de la sécurité de l'information

Selon l'acronyme anglais Confidentiality, Integrity, Availability, les programmes de sécurité

3.2. Menaces et réactions

Les processus et politiques de sécurité de l'information incluent habituellement des mesures

3.3. Sécurité des informations ou sécurité réseau

CHAPITRE 4 : SIEM

 Prévenir, détecter et évaluer les menaces qu'elles soient internes ou externes ;

4.1.2. Les profils des collaborateurs travaillant dans le SOC

 Des managers : ils supervisent l'ensemble des opérations ;

4.1.3. Les outils disponibles dans un SOC

Les outils essentiels de la pile technologique SOC sont :

 Une solution SIEM (Security Information and Event Management);

 Une surveillance comportementale ;

 La détection d’intrusion (IDS - Systèmes de Détection d’Intrusion).

Ceci est un schéma représentant les composants des SOC modernes.

Figure 3: Composants des SOC modernes [W2]

Ci-dessous une illustration de l’acheminement des logs vers le SOC.

Figure 4: Gestion des logs par le SIEM pour le SOC [W5]

Figure 5: Sources des SIEMs [W7]

Figure 6: Format du message IDMEF [B5]

 Auto-apprentissage et connaissances associées : Pour fonctionner, le moteur de

Figure 7: Schéma du fonctionnement théorique d'un SIEM [B5]