Rapport de Stage Etude Et Deploiement D'un Siem Pour Renforcer La Securite D'un Systeme D'information Uziel - Simou

RAPPORT DE STAGE
ETUDE ET DEPLOIEMENT D’UN SIEM POUR

RENFORCER LA SECURITE D’UN SYSTEME
D’INFORMATION
Rédigé et présenté par : SIMOU NGHUEU-SI Uziel, étudiant en 4ème année

Cycle Ingénieur Informatique, Institut Ucac-Icam
Année scolaire 2022/2023
Encadreur Professionnel Encadreur Académique

M. William FOFIE M. Ewolo Igor
Responsable du Système d’information Tuteur IT Ucac - Icam
*
RAPPORT DE STAGE A NEXT’IN SOLUTION
i
FICHE DE CONFIDENTIALITE
FICHE DE CONFIDENTIALITE DES RAPPORTS ET DES MEMOIRES

CE DOCUMENT DOIT ETRE COMPLETE POUR TOUT RAPPORT OU MEMOIRE DIFFUSE
A L’ECOLE ET CONTENANT DES INFORMATIONS SUR L’ENTREPRISE D’ACCUEIL
Titre du rapport ou du mémoire : Etude et déploiement d’un SIEM pour renforcer la sécurité
d’un SI
Année et dominante formation : Promotion X2024
Nom et prénom de l’étudiant : SIMOU NGHUEU-SI Uziel
Nom du maître de stage : William FOFIE
Structure d’accueil : Next’IN Solution
Confidentialité du rapport ou du mémoire (soutenance)
(Cocher la case correspondante)
X Diffusion libre
Les rapports / mémoires sont conservés en archives et ils peuvent être librement consultés. Ils
peuvent être utilisés par les destinataires, les études peuvent faire l’objet de publication …
Diffusion restreinte
Les rapports / mémoires sont ramassés à la fin de la soutenance et rendus à l’entreprise. Aucune
reproduction n’est alors autorisée. La responsabilité de cette opération est confiée au stagiaire.
Dans le cadre de la politique de lutte contre le PLAGIAT, les rapports / mémoires seront susceptibles
d’être analysés pour en vérifier les sources et ceci quel que soit le mode de diffusion prévu ci-dessus.
Date : 20/10/2023 Date : 20/10/2023 Date : 20/10/2023

L’entreprise Le stagiaire L’école
ii
REMERCIEMENTS
A l’issu de ce travail, nous aimerons exprimer notre reconnaissance et nos sincères

remerciements à tous ceux qui ont apporté leurs soutiens, plus particulièrement à :
• Monsieur BASSO, directeur général de Next’IN pour ses conseils

• Monsieur TANKOUA Narcisse, co-directeur, d’avoir accepté de me prendre en stage
au sein de l’entreprise ;
• Monsieur William FOFIE, mon tuteur de stage, Responsable du Système d’Information,
pour toutes informations qu’il a apporté, pour les conseils qu’il nous a donné, pour son
suivi, sa patience et son intérêt porté sur le travail que j’ai réalisé ;
• Messieurs Benjamin LIGA et Fritz OKALA pour avoir répondu posément à plusieurs
de nos questions techniques concernant la façade et nous avoir aidé dans la réalisation
de notre mission ;
• Monsieur EWOLO Igor notre tuteur académique, pour son dévouement quotidien pour
notre formation ;
• Tous les membres du personnel de Next’IN Solution pour leur accueil chaleureux,
gentillesse, leur patience et leur bonne humeur générale. J’ai eu un grand plaisir à
travailler au sein de l’entreprise et cette expérience m’a été très favorable et surtout
agréable.
• Ma grande sœur Yvette BENGONO et son époux Pierre BENGONO qui m’ont hébergé
et nourri chez eux durant la période de stage.
• Mes parents SIMOU KAMSU Patrick et Rose SIMOU pour la confiance, le soutien, et
les sacrifices abattues pour le bon déroulement de mes études ;
• A mes frères et sœurs ;
• A tous mes camarades de classe de la promotion EXARS 2024 pour leur immense
soutien.
Qu’il me soit permis de remercier également toutes personnes qui ont contribué de près
ou de loin à l’élaboration de ce modeste travail.
iii
TABLE DES MATIERES

FICHE DE CONFIDENTIALITE --------------------------------------------------------------------------------- ii
REMERCIEMENTS -------------------------------------------------------------------------------------------------iii
GLOSSAIRE ---------------------------------------------------------------------------------------------------------- vi
TABLE DES FIGURES -------------------------------------------------------------------------------------------- vii
TABLE DES TABLEAUX --------------------------------------------------------------------------------------- viii
RESUME -------------------------------------------------------------------------------------------------------------- ix
ABSTRACT ------------------------------------------------------------------------------------------------------------x
INTRODUCTION -----------------------------------------------------------------------------------------------------1
1 PRESENTATION DE L’ENTREPRISE --------------------------------------------------------------------2
1.1 Présentation de l’ENTREPRISE ------------------------------------------------------------------------2
1.2 Les Missions Et Valeurs ----------------------------------------------------------------------------------2
1.3 Structure Organisationnelle ------------------------------------------------------------------------------3
1.4 Domaines D’activités -------------------------------------------------------------------------------------4
1.5 Les partenaires ---------------------------------------------------------------------------------------------5
1.6 Plan De Localisation --------------------------------------------------------------------------------------5
2 PRESENTATION DU PROJET ------------------------------------------------------------------------------6
2.1 Contexte Et Problématique------------------------------------------------------------------------------ 6t
2.2 Définition ---------------------------------------------------------------------------------------------------6
2.3 Objectifs ----------------------------------------------------------------------------------------------------7
2.4 Les Enjeux --------------------------------------------------------------------------------------------------7
2.5 Les Contraintes D’implémentations --------------------------------------------------------------------7
3 ANALYSE ET SOLUTION -----------------------------------------------------------------------------------8
3.1 Etude De L’existant ---------------------------------------------------------------------------------------8
3.1.1 Description de l’existant ---------------------------------------------------------------------------8
3.1.2 Critique de l’existant --------------------------------------------------------------------------------8
3.2 Etude Du Besoin -------------------------------------------------------------------------------------------8
3.2.1 Diagramme de bête à cornes -----------------------------------------------------------------------8
4 ORGANISATION DU PROJET ------------------------------------------------------------------------------9
4.1 Planning Des Travaux ------------------------------------------------------------------------------------9
5 ETUDE DU SUJET ------------------------------------------------------------------------------------------- 11
5.1 Concept de base du siem ------------------------------------------------------------------------------- 11
5.1.1 Historique------------------------------------------------------------------------------------------- 11
5.2 Principe de fonctionnement ----------------------------------------------------------------------------- 11
5.2.1 La collecte et l’agrégation des logs ------------------------------------------------------------------ 12
a. Avec Syslog ---------------------------------------------------------------------------------------------- 12
b. Par un agent installé sur l’appareil -------------------------------------------------------------------- 12
iv
c. Par Event Streaming (Diffusion d’évènements) ---------------------------------------------------- 13

d. Par accès direct ------------------------------------------------------------------------------------------ 13
5.2.2 La normalisation des logs ----------------------------------------------------------------------------- 13
5.2.3 La corrélation des logs --------------------------------------------------------------------------------- 14
5.3 étude comparative et choix de la solution ---------------------------------------------------------------- 16
5.3.1 comparatif --------------------------------------------------------------------------------------------------- 16
5.3.1 choix de la solution ---------------------------------------------------------------------------------------- 17
6 SOLUTION ET RESULTATS ------------------------------------------------------------------------------ 18
6.1 Architecture Proposée ---------------------------------------------------------------------------------- 18
6.2 Configurations ------------------------------------------------------------------------------------------- 22
6.3 résultats --------------------------------------------------------------------------------------------------- 23
BILAN----------------------------------------------------------------------------------------------------------------- 25
CONCLUSION ------------------------------------------------------------------------------------------------------ 26
BIBLIOGRAPHIE -------------------------------------------------------------------------------------------------- 27
v
GLOSSAIRE
SIGLE SIGNIFICATION
SIEM Securiy Information and Event Management
SI Système information
SOC Security Operation Center
Dashboard Interface de control récapitulatif qui présente
l’état global d’un système
Nmap Outil de scanning de port et de
reconnaissance réseau utilisé en
cybersécurité
ZTNA Zero Trust Network Access
Tableau 1 : Sigles et Significations
vi
TABLE DES FIGURES
Figure 1: Organigramme de Next’IN solution --------------------------------- Erreur ! Signet non défini.4

Figure 2: Les partenaires de Next’IN Solutions ------------------------------------------------------------------6
Figure 3 : Plan de localisation de Next’IN Solution--------------------------------------------------------------5
Figure 4 : diagramme de bête à corne ---------------------------------------------------------------------------5
Figure 5 : Evolution du SIEM ---------------------------------------------------------------------------------------8
Figure 6 : Schématisation du processus de normalisation de logs -------- Erreur ! Signet non défini.14
Figure 7 : Récapitulatif du principe de collecte et traitement des logs -------------------------------------- 15
Figure 8 : Comparatifs des SIEM sur le marché (Gartner Magic Quadrant) ------------------------------- 16
vii
TABLE DES TABLEAUX
Tableau 1 : Sigles et Significations -------------------------------------------------------------------------------- vi

Tableau 2 : Fiche de présentation de l’entreprise--------------------------------------------------------------- 2
Tableau 3 : Planning prévionnel ----------------------------------------------------------------------------------- 10
Tableau 4 : Planning réel ------------------------------------------------------------------------------------------- 11
Tableau 5 : Tableau sur les différents types de log-------------------------------------------------------------13
Tableau 6 : Tableau comparatif des différents SIEM sur le marché------------------------------------------18
viii
RESUME
La quatrième année académique de la formation informatique au sein d’UCAC – ICAM

débute par un stage de quatre mois dans une entreprise. L’objectif ici est de réaliser un projet
d’entreprise qui fera l’objet d’une soutenance auprès de professionnels et spécialistes du
domaine. A cet effet, j’ai été accueillis au sein de la société Next’IN Solution pour une durée
de 4 mois allant du 03 octobre 2022 au 20 Janvier 2023. Période durant laquelle il m’a été
assigné un projet d’étude et de déploiement d’un SIEM.
Ma mission principale lors de ce stage était premièrement de comprendre ce que c’est
que les SIEM, ensuite d’étudier les différentes solutions de SIEM que l’on retrouve sur le
marché et enfin choisir et déployer la solution de SIEM la plus adéquate pour le contexte de
mon stage et de l’entreprise. Le présent travail est donc un récapitulatif de toutes les recherches
effectuées et une documentation du travail accompli.
ix
ABSTRACT
The fourth academic year of the UCAC - ICAM computer science program begins with a four-
month internship in a company. The objective here is to carry out a company project which will
be the subject of a presentation to professionals and specialists in the field. For this purpose, I
was welcomed in the company Next’IN Solution for a period of 4 months from October 03,
2022 to January 20, 2023. During this period, I was assigned a project of study and deployment
of a SIEM.
My main mission during this internship was first to understand what is the SIEM, then to study
the different solutions of SIEM that we find on the market and finally choose and deploy a
system of performance analysis of students enrolled in training a solution of SIEM. The present
work is therefore a summary of all the research done and a documentation of the work
accomplished.
x
INTRODUCTION
La sécurité des données devient de plus en plus importante dans ce monde de plus en
plus numérique et dont le d’évolutivité croit de manière exponentielle.
Aujourd'hui, l'information est omniprésente, la difficulté n'est plus seulement de la
collecter, mais de la rendre disponible sous la bonne forme, au bon moment et au bon endroit,
où elle sera exploitée pour en tirer une valeur ajoutée. Dans un système d’information
d’aujourd’hui, de différents équipements sont utilisés pour assurer l’interconnexion des
équipements et la disponibilité de l’information : des switches, des routeurs, pare-feu, serveurs,
etc… Surveiller la sécurité de tout le système d’information en consultant les informations de
ces appareils un par un peut rapidement s’avérer fastidieux, voire inefficace du fait de la
multitude d’événements qui se crée sur chaque équipement chaque seconde.
Next’IN Solution n'est pas indifférente à cette problématique. C'est dans cette optique
que j’ai été sollicité lors de mon stage pour mettre en place cette solution de management
sécurité dans un SI. L'objectif d'un tel projet est de maitriser une nouvelle technologie utile en
vue d’être déployée dans des entreprise clientes.
La problématique qui m’a été proposé durant toute cette période de stage était de mettre
en place un système de gestion des incidents et des événements de sécurité capable non
seulement d’être au courant de tous les journaux de tous les équipements de sécurité présents
dans son système d’information, mais aussi d’être capable de faire de la corrélation afin de
pouvoir comprendre ce qui s’est passé à un moment donné ou un intervalle de temps précis.
Une solution de management sécurité placée au sommet de l’architecture réseau qui assure la
bonne surveillance de tous les périphériques, intermédiaires et finaux.
Ce document détaillera donc les travaux effectués tout au long de la réalisation de ce

projet. Cela dit, le travail est divisé en six chapitres structurés comme suit : Dans le premier
chapitre, l'entreprise d'accueil où j’ai effectué mon stage sera présentée. Le deuxième chapitre
donnera une meilleure vision du sujet traité. Le troisième chapitre se concentrera sur l'analyse
et la présentation des solutions envisagées pour répondre à notre problématique. Le quatrième
chapitre présentera l'organisation du projet. Dans le chapitre suivant, nous développerons sur la
conception de notre travail ; et enfin nous verrons le résultat de celui-ci dans le dernier chapitre
(détection des attaques, avec un aperçu du Dashboard final).
1
1 PRESENTATION DE L’ENTREPRISE
1.1 PRESENTATION DE L’ENTREPRISE
Next ’In Solution est une société à responsabilité limite (SARL) qui compte un effectif
de 11 salariés. Crées-en Novembre 2018, C’est une entreprise spécialisée dans l’intégration des
solutions informatiques. Leur mission est d’accompagner leurs clients pami lesquels des
sociétés de télécommunications, les banques, les Assurances, les Administrations publiques, les
collectivités locales, les ONG etc. … en leur proposant des solutions personnalisées et de
services répondants à leurs besoins c’est donc leur capacite à conduire des projets d’envergure
dans les environnements aussi critiques que complexes qui leur positionne aujourd’hui comme
acteur majeur du marché africain de l’intégration.
Raison Sociale NEXT’IN SOLUTION
Logo
Forme juridique SARL

Siège social Rue 2639 Boulevard de la république
Quartier Bessengue (en face de Total Bessengue)
Directeur général M. BASOH Armand
Capital 11.000.000 FCFA
Site web www.Next’INsolution.com
E-mail contact@Next’INsolution.com
Téléphone (+237) 242 97 47 24 /242 01 27 00
Secteur d'activité Intégrateur de solutions informatique
Boite postale 4815 Douala-Bonanjo
Tableau 2: Fiche de présentation de l’entreprise
1.2 LES MISSIONS ET VALEURS
Depuis sa création, Next ‘In Solution s’appuie sur quatre valeurs. Celles-ci résument
parfaitement notre esprit, notre philosophie et nos méthodes de travail au quotidien.
❖ Nos collaborateurs
Leur engagement et leur expertise sont nos atouts les plus importants pour aider nos clients
à atteindre leurs objectifs.
❖ L’innovation
2
Une approche innovante et des solutions en constante évolution nous permettent de nous
différencier en permanence
❖ La qualité
Principal argument pour anticiper les besoins des clients et réduire leurs couts
opérationnels globaux.
❖ La technologie
Nous la maitrisons et pouvons en tirer le meilleur.
La réputation de nos experts n’est que le reflet de la politique qualité qu’ils se sont
toujours imposes. En choisissant Next’In Solution, vous optez pour la garantie d’un
partenariat performant, innovant et dynamique.
1.3 STRUCTURE ORGANISATIONNELLE
3
Figure 1: Organigramme de Next’IN Solution
1.4 DOMAINES D’ACTIVITES
Next ’In Solution est une entreprise qui regroupe plusieurs experts dans le domaine de
L’informatique en Afrique Centrale. Ces derniers ont pour but de mettre leur expertise au
service des opérateurs de télécommunications, des banques, des grandes industries et les
PMEs. 15 années d’expertise durant lesquelles nos (Les experts de NEXT’IN) compétences
et notre savoir-faire se sont enrichis et développés dans un but ultime : Satisfaire nos clients
au travers de solutions fiables et approuvées. Next ’In Solution propose des solutions
complètes, uniques, hautement personnalisées capable de répondre aux besoins les plus
complexes et de satisfaire les clients les plus exigeants. Parmi les types de solutions qu’ils
proposent nous avons :
✓ ADMINISTRATION SYSTÈME
▪ Windows server
▪ Linux Redhat
▪ Oracle (SUN)
✓ SOLUTIONS INFRASTRUCTURES ET RESEAUX

▪ Solutions de virtualisation, de haute disponibilité (clustering), de réplication, de
Déduplication, de sauvegarde, de stockage, de plan de reprises d’activités, d’IT
Management, Matériel (Serveurs, Baie).
▪ Solution de Switching Cisco (Nexus et Catalyst)
✓ SYSTEMES D’INFORMATION
▪ Solutions d’Audit de solution Windows, de monitoring.
▪ Gestion des Logs, Gestion des Identités, contrôle d’accès
▪ Mise en place des Tableaux bords IT
▪ Mise en place de Plan Reprise d’Activité après sinistre
4
✓ SERVICES ASSOCIES
▪ Maintenance avec support 24h/24 -7j/7
▪ Assistance
▪ Déploiement des solutions informatiques
▪ Transfert de compétences et formation
✓ FORMATEURS CERTIFIES
▪ OS (Operating System)
o Microsoft Windows, Unix, Linux
▪ Virtualisation
o VMware vSphere 6, Windows 2012 et 2016 servers,
1.5 LES PARTENAIRES
Figure 2 : Les partenaires de Next’IN Solutions
1.6 PLAN DE LOCALISATION
Le siège social de Next’IN Solution est situé à Bessengue, en face de Total Bessengue.
Figure 3 : Plan de localisation de Next’IN Solutions

5
2 PRESENTATION DU PROJET
2.1 CONTEXTE ET PROBLEMATIQUE
Next’IN solution est un intégrateur de solutions. C’est-à-dire une entreprise de

professionnels de la sécurité informatique capable de déterminer les principaux besoins d'une
entreprise et de lui proposer les outils les plus adaptés pour faire face aux cybermenaces qui
peuvent viser son système informatique. Les entreprises disposent de plusieurs solutions de
sécurité ayant pour principale mission de protéger un segment de leur réseau :
o Périmètre (Internet, Ferme de serveurs, DMZ)

- Parefeu de nouvelle génération
- Application web Firewall
- Anti-Spam
o Utilisateurs
- Antivirus
- EDR
- ZTNA
- Proxy
Le plus souvent toutes ces solutions appartiennent a des constructeurs différents ce qui
rend le système d’information du client hétérogène ce qui contribue a une manque de
communication entre les différentes solutions de sécurité ce qui peut s’avérer être une
grosse faille en cas de menace.
La situation ainsi présentée nous nous posons un ensemble de questions qui nous permet
ici de dégager la problématique : Qu’est-ce qu’un SIEM et comment le déployer dans un
système d’information pour renforcer sa sécurité ?
2.2 DEFINITION
SIEM signifie Security Information and Event Management. C’est un logiciel de management
de sécurité de haut niveau, étant la fusion entre deux précédentes solutions distinctes : le SIM
(gestion des informations de sécurité) et le SEM (gestion des événements de sécurité). C’est un
puissant logiciel qui collecte les logs de tous les appareils du système d’information pour
permettre et assurer sa surveillance et augmenter sa sécurité. Grace aux logs qu’il collecte et
traite, il est capable de savoir ce que se passe en temps réel et a n’importe quel moment dans le
SI, ce qui fait de lui un outil efficace dans les détections d’attaques et les investigations après
incident de sécurité.
6
2.3 OBJECTIFS
L'objectif principal de la solution SIEM est de venir en aide aux administrateurs et

ingénieurs de la sécurité des SI, et aussi des ingénieurs travaillant dans des SOC. Voici les
différents objectifs qu’un SIEM peut atteindre une fois déployé :
 La collection de logs
 L’analyse de logs
 Monitoring
 L’alerte en temps-réel
 Agrégation de log
 Log forensic
 La corrélation de logs
2.4 LES ENJEUX
Pour ce projet comme enjeux nous avons relevé :
• Renforcement de la visibilité de la sécurité du SI

• Possibilité pour l’entreprise de commercialiser une nouvelle solution de sécurité
• Possibilité de savoir ce qui s’est passé en cas d’attaque grâce au log forensic
2.5 LES CONTRAINTES D’IMPLEMENTATIONS
Afin de réaliser notre projet, nous avons besoins de connaissances en :
▪ Des connaissances de base en systèmes et réseau

▪ Virtualisation (de type 1 et/ou 2)
▪ Equipements réseau
▪ Des notions sur les logs
7
3 ANALYSE ET SOLUTION
3.1 ETUDE DE L’EXISTANT
3.1.1 Description de l’existant

Les SIEM sont retrouvés dans les systèmes d’informations très organisés et contribuent au
renforcement de la sécurité des SI grâce à ses nombreux atouts.
3.1.2 Critique de l’existant

Jusqu’à présent la plupart des responsables des systèmes d’informations ou des responsables
de la sécurité des systèmes d’informations ne disposent pas de solution de management des
évènements et des incidents de sécurité de haut niveau capables de travailler comme les
SIEM. Ils se contentent de surveiller chaque équipement sur son Dashboard et se fient à leur
expérience pour prendre des décisions.
La solution proposée est la mise en place d’un SIEM qui présente les solutions suivantes :
• Le monitoring sécurité de tous les équipements sécurité et des PC finaux du SI

• La possibilité d’enquêter en cas d’incidents ou de menaces sécurité
• La sécurité du SI renforcée
• La diminution de la charge de travail des RSSI et DSI.
3.2 ETUDE DU BESOIN
3.2.1 Diagramme de bête à cornes

Avant de commencer la conception, les besoins du projet doivent être identifiés et formalisés.
Cette phase est essentielle pour fixer l'orientation des travaux à effectuer. Pour simplifier cette
tâche, il existe des outils pratiques pour rendre vos exigences plus explicites : bête à cornes.
A qui rend-il Sur quoi agit-il ?
service ?
Next’IN Sur un système
Solution d’information
S.I.E.M
Dans quel but ?
Renforcer la sécurité d’un système

d’information.
Figure 4 : diagramme de bête à corne
8
4 ORGANISATION DU PROJET
4.1 PLANNING DES TRAVAUX
La planification du projet est une phase importante de l'avant-projet. Elle consiste à

prévoir l'avancement du projet tout au long des phases constituant l’étude et le déploiement de
la solution. Le projet a été découpé en 4 phases :
 Analyse du sujet
 Etude et analyse des solutions de SIEM
 Phase de déploiement
 Phase de configuration
Sur une période de 4 mois (du 03 octobre 2022 au 20 janvier 2023) j’ai planifié les
tâches du projet dans le temps, puis dans un premier temps j’ai sorti un planning prévisionnel
soumis à certaines contraintes. J’ai commencé par ledit planning pour arriver au planning réel.
Tableau 1 : Planning Prévisionnel
9
Tableau 2 : Planning Réel
Le principal écart que j’ai rencontré c’était au niveau de l’étude des différentes solutions de
SIEM. Je me suis rendu compte en pratique et dans les travaux qu’il serait plus judicieux de
commencer cette tâche au plutôt, pour me permettre de commencer le déploiement a la date
prévue.
10
5 ETUDE DU SUJET
5.1 CONCEPT DE BASE DU SIEM
5.1.1 Historique
Avant les SIEM, on utilisait le SIM (gestion des informations de sécurité) et le SEM
(gestion des événements de sécurité). C’était deux solutions qui s’utilisaient de manière séparée.
Après évolution, ces deux solutions ont fusionné pour donner ce qu’on appelle SIEM
aujourd’hui.
Figure 5 : Evolution du SIEM
5.2 Principe de fonctionnement

Pour qu’un SIEM soit correctement fonctionnel, il doit être capable de collecter les logs
venant de tous les équipements réseau et ordinateurs finaux que l’administrateur veut surveiller.
Pour ce faire, chaque équipement doit au préalable être connecté à lui via diverses méthodes
(que nous aborderons par la suite) pour pouvoir lui remonter ses propres logs. Les logs collectés
sont ensuite agrégés, puis normalisés et enfin stockés dans la base de données du SIEM pour
une exploitation immédiate ou ultérieure. Un système d’information produit des milliers de logs
par minute donc un travail de tri est effectué en background au sein du SIEM pour ne remonter
que les alertes ou les événements de sécurité les plus pertinents. Dans la plupart des cas, pour
qu’un évènement de sécurité soit remonté, le SIEM fait un travail de corrélation de logs pour
en ressortir une activité plus ou moins suspecte qui s’est passé au sein du SI.
Le principe de fonctionnement de base des SIEM repose principalement sur la collecte,
l’agrégation, la normalisation et la corrélation de logs. C’est différentes notions seront
expliquées dans cette partie étude.
Puis, au niveau du SIEM, ces logs sont soumises a ce qu’on appelle les données contextuelles.
Ce sont informations de configurations tels que des informations de périphériques, des
utilisateurs, des paramètres de scans mais principalement de règles, qui définissent comment
11
les logs seront traitées ou alors comment les logs venant d’un type d’appareils précis seront
traités.
5.2.1 La collecte et l’agrégation des logs

Les logs, encore appelés journaux en français sont des fichiers qui permettent de stocker un
historique des événements survenus sur un serveur, un ordinateur ou une application. Les
informations contenues permettront ensuite de mieux comprendre les usages et résoudre les
erreurs. Dans ce tableau on voit les différents types de logs qu’on peut trouver dans un SI.
Tableau 5 : Tableau sur les différents types de logs
Le processus de collecte de log est la partie la plus importante lors du déploiement d’un SIEM
dans un environnement. Si la collecte de log n’est pas complète, le SIEM ne sera pas au
courant de tout ce qui se passe dans le SI et laissera passer des événements de sécurité.
Lorsque les logs sont collectés ils sont ensuite agrégés. L’agrégation quant à elle est le
processus de rassemblement des logs en un seul endroit. Souvenez-vous, les logs viennent de
plusieurs sources au sein du SI, il devient donc très important de les rassembler au même
endroit avant de continuer leur traitement.
La collecte et l’agrégation des logs se passe par 4 grandes méthodes :
a. Avec Syslog
Syslog (System logging) est un protocole qui permet l’envoie des logs systèmes depuis un ou
plusieurs appareils pour les envoyer à un serveur spécifique, dans notre cas le SIEM. Syslog
est préinstallé dans plusieurs périphériques réseaux par défaut ce qui facilite la collecte au
sein de ce type d’équipement
b. Par un agent installé sur l’appareil

Les SIEM utilisent des agents installés sur des machines du système afin qu’ils collectent et
agrège les logs pour les renvoyer. Ces agents sont des très petits logiciels propriétaires ou
open source. Ils sont généralement faits pour les machines qui ne supportent pas syslog
12
comme les PC Windows. Pratiques et légers, il suffit de cliquer sur un seul bouton pour
l’activer après leur installation.
c. Par Event Streaming (Diffusion d’évènements)

Event streaming protocols like SNMP, Netflow, or IPFIX permettent aux périphériques
réseaux de donner des informations standards à propos des opérations, qui seront interceptés
et analyses par le SIEM.
d. Par accès direct

Les SIEM peuvent directement accéder aux périphériques de système en utilisant une API ou
un protocole réseau pour avoir les logs, mais cela requiert une intégration personnalisée sur
chaque équipement.
5.2.2 La normalisation des logs

Lorsque les logs arrivent au sein du SIEM, ils sont écrits dans des formats différents, chacun
selon la nomenclature, la mise en forme et la mise en page de son fabricant. On se retrouve
donc avec un désordre initialement inexploitable pour le SIEM. Le processus de normalisation
intervient donc pour rendre tous les logs pareils et écrits de la même façon peu importe la
source et le formatage d’origine. Dès que les logs deviennent normalisés, ils sont stockés et
prêts être utilisés. La normalisation de logs se passe en 4 grandes étapes, détaillées a la page
suivante :
a. La vérification des détails
After the Syslog is accepted by the Log Normalizer, it checks the IP Address of the Syslog in
the Device Information Table. When the IP Address is found with a match in the table, the log
is parsed for normalization. However, if the IP Address is not found, the user is prompted and
asked to normalize first the device and its log.
b. La normalisation des dispositifs
When a device is not recognized in the Device Information Table, the user must supply the
necessary information in the fields of the table completely. Next, a normalizer class for the
device must be created under its device type. In order for the user to create a normalizer class
for the device, he should know how the Message field of the log is parsed and the
corresponding Message ID for all the possible messages and recommendations it can
generate. The user should also be familiar with object-oriented programming and the
Microsoft .NET framework.
c. L’analyse des logs
When the device details are checked and there is already a normalizer class for the device, the
log can now be parsed according to how it is supposed to be parsed. For many of the
networked devices, there is no need for parsing since the message in the Message field is just
a phrase. However, in some strict, organized proprietary device manufacturing, the Message
field can be divided into five or more. It is just up to the user on how he programs the parsing
to be done.
d. La normalisation proprement dite
13
The log normalization takes place after the logs are parsed and placed in the given spaces and
fields in the List Normal Log Table. The parsed portions of the log are distributed in its
corresponding fields and with several conditional statements are used in determining the
impact and priority of a log.
Figure 6 : Schématisation du processus de normalisation de logs
5.2.3 La corrélation des logs

Tout d’abord, corréler, c’est mettre en relation. Log correlation is about constructing rules
that look for sequences and patterns in log events that are not visible in the individual
log sources, making possible to discover security threats and malicious patterns of behaviors
that otherwise go unnoticed and can lead to compromise or data loss. Example: la phrase “Joe
Dobson logged into the time tracking system and updated five people’s account information”
could require a hundred log entries to demonstrate it happened. Comme dis plus haut, les logs
viennent de différents équipements au sein du SI. Il peut se trouver que pendant un laps de
temps donné, les logs venant de ces équipements décrivent le même événement de sécurité.
C’est le processus de corrélation qui interprète tout ça en un seul évènement parfois en une
seule ligne. Cette figure recapitule le processus de capture de logs dès la base jusqu’à leur
traitement.
14
Figure 7 : Récapitulatif du principe de collecte et traitement des logs
15
5.3 ETUDE COMPARATIVE ET CHOIX DE LA SOLUTION
5.3.1 COMPARATIF
Sur le marché des SIEM On en retrouve 2 types de SIEM : les SIEM open-source
généralement gratuits et plus ou moins légers et les SIEM payants sui offrent des
fonctionnalités beaucoup plus poussées. Une entreprise telle que Next’IN Solution ferait
comme elle le choix judicieux de se tourner vers les solutions payantes afin de maximiser la
protection de son système d’information.
❖ SIEM payants
Mon étude s’est basée sur le Quadrant Magique de Gartner. Gartner is an information
technology (IT) research and consultancy company, formerly known as Gartner Group. Leur
travail est mondialement reconnu et pris en compte dans les choix de technologies ou
solutions IT. Portant sur les SIEM, voici le résultat de la comparaison des différentes
solutions du marché en juin 2022.
Figure 8 : Comparatifs des SIEM sur le marché (Gartner Magic Quadrant)
16
❖ SIEM open source

Pour commencer et prendre en main le concept de SIEM, j’ai été invité a débuter avec une
solution open source et gratuite. Je me suis donc lancé dans la recherche des meilleures
solutions open source. J’ai parcouru plusieurs sources et la solution Alienvault OSSIM
revenait toujours en tête de classement. Cette figure provient du site
https://www.dnsstuff.com/free-siem-tools et présente les solutions par ordre décroissante de
performance.
Tableau 6 : Comparatifs des SIEM open source sur le marché
5.3.1 CHOIX DE LA SOLUTION
Pour commencer j’ai naturellement choisi Alienvault OSSIM qui est la meilleure solution
open source que j’ai trouvé. En ce qui concerne la solution payante, mon choix s’est porté sur
FortiSIEM. J’ai choisi FortiSIEM parce que Next’in Solution est partenaire de Fortinet donc
ils vendent régulièrement leurs solutions. Acquérir une licence Fortinet sera aussi facilté en
vue de cette position. Deuxièmement, FortiSIEM est placé comme « Challenger » par Gartner
cela signifie qu’ils ont une bonne visibilité sur le marché et sont largement déployés.
17
6 SOLUTION ET RESULTATS
6.1 ARCHITECTURE PROPOSEE
J’ai utilisé VMware Workstation comme environnement couplé a GNS3 pour avoir une idée de
la structure réseau. L’architecture réseau de mon projet a été conçue comme suit : toutes les
machines virtuelles ont été connectée sur un même sous réseau, le vmnet2 pour qu’elle puisse
être détectées par le SIEM. Dans mon SI, j’ai installé 3 machines qui représente des différents
types de machines qu’on peut rencontrer dans un SI. Une machine Windows qui fait office de
la machine de l’administrateur, la machine kali linux est la machine qui fait des attaques réseaux
qui seront détectées par le SIEM Alienvault, et la machine Metasploitable qui est une machine
vulnérable. Cette dernière sera régulièrement attaquée par la machine Kali.
o Prérequis :
SIEM Alienvault
- Processeurs logiques : 2
- RAM : 4GB
- Stockage : 40GB
Machines Windows, Kali Linux, Metasploitable:
- Processeurs logiques: 2
- RAM: 2GB
- Stockage 20GB
o Informations d’installation
L’installation de la machine Alienvault est identique à celle d’une machine basée sur Debian
vue qu’elle est basée dessus pareil pour l’installation de Kali linux. Concernant l’installation
de Windows, elle est assez bien connue donc ne sera pas détaillée dans ce rapport. Quand a
l’installation de Metasploitable dans VMware, cela se fait juste par importation.
18
Après avoir fini l’installation initiale décrite plus haut, il suffit de taper dans la barre du
navigateur https://adrresse_ip_de_Alienvault puis de mettre les id de connexion
Ici Alienvault présente ses différentes cartes réseaux afin que vous spécifiiez laquelle sera
utilisée pour le Management ou pour la collection de log.
A cette étape, Alienvault découvre toutes les machines connectées en son sein avec le système
d’exploitation que chacun contient. Il peut arriver qu’une machine ne soit pas découverte.
Dans ce cas, vous pouvez faire in scan du réseau.
19
Dans cette partie Alienvault vous permet de déployer un agent dans une machine Windows ou
linux.
Dans cette partie Alienvault vous propose de rejoindre sa grande communauté d’utilisateurs
constitués d’ingénieurs et de chercheurs en cybersécurité. Le but est de s’échanger les
connaissances concernant les cybermenaces en vue de renforcer la sécurité des SI. Cette étape
est facultative et es la dernière du processus d’initialisation.
20
Vous serez dirigés vers cette page ou vous serez invité a entrer les informations de connexion.
Enfin le dashboard de Alienvault OSSIM, qui vous montre que vous avez terminé
l’initialisation.
21
6.2 CONFIGURATIONS
o Ajout d’un agent sur un ordinateur
Pour ajouter un agent qui se chargera de collecter les logs sur un ordinateur il faut aller dans
la rubrique présentée ci haut, cliquer sur « add agent » puis sélectionnez le périphérique.
o Ajout d’une règle
C’est dans cette rubrique qu’on ajoute une règle. Cliquez sur « New Directive » pour créer
une nouvelle règle.
Ici on donne le nom de la règle.
22
Puis on choisi le plugin de l’équipement et c’est ok. La plupart des SIEM de nouvelle
génération disposent de plugins qui permettent de prendre en charge les équipements de
sécurité les plus répandus sur le marché. Toutefois, il est possible d’importer un plugin tiers.
6.3 RESULTATS
o Détection des évènements de sécurité
Dans cette capture nous voyons la détection d’une attaque de reconnaissance par l’outil nmap
lancée par kali linux sur la machine Metasploitable.
23
Le Dashboard ici nous montre un SIEM qui a détecté plusieurs événements en son sein. Les
résultats présentés ici sont bien sur non-exhaustifs, car il serait encombrant d’afficher tous les
résultats contenus dans le SIEM.
24
BILAN
Le stage que nous avons effectué chez a Next’IN Solution m’a donné l'opportunité d'être
en contact avec le monde du travail et nous a mis au cœur d'un grand challenge.
J’ai eu la chance de travailler sur une technologie qui m’était jusque-là inconnue et j’en
ressort de là avec de nouvelles compétences pratiques qui me seront utiles dans ma carrière
professionnelle.
D'autre part, ce stage m’a donné une excellente occasion de tester mes compétences et
ma capacité d'adaptation en un temps très court et de démontrer mon savoir-faire. Cette
expérience a été très enrichissante, elle m’a permis non seulement d’appliquer les connaissances
acquises au cours de formation, mais d’acquérir de nouvelles connaissances sur un concept
relativement récent et en cours d’évolution. Les missions confiées m’ont appris à surmonter les
défis, à être responsable et à être prêt à apprendre et à maîtriser des nouveaux concepts
efficacement.
Tous ces éléments ont aidé à rendre ce stage valorisant et encourageant pour des
insertions professionnelles futures. Ce fut une expérience instructive et complète. Etant donné
que je suis appelé à être ingénieur demain, ce stage a également été l'occasion pour moi d'avoir
un aperçu des différents métiers du domaine de l'informatique en prélude au plan de formation
individuel. J’espère que ce que j’ai réalisé sera admiré après mes modestes efforts.
25
CONCLUSION
Parvenus au terme de ce rendu, on peut retenir que mon stage dont le thème était étude
et déploiement d’un SIEM pour renforcer la sécurité d’un SI s'est déroulé sur une période de 4
mois chez Next’in Solution.
Cet épisode m’a été très bénéfique car il m’a permis d'acquérir une expérience à la fois
théorique et pratique sur ce qui concerne le SIEM. Cependant, le déploiement d’un SIEM et
surtout sa configuration reste évolutive dans la mesure où le système d’information est appelé
à croitre, avec de nouveaux appareils et de nouveaux logs à traiter par des règles. Une bonne
tâche nécessite beaucoup plus de temps que celui qui nous est imparti.
Bien que centré sur mon thème de stage, je dois aussi reconnaitre que j’ai appris
beaucoup de notions en parallèle au cours de ce stage. J’ai assisté a des installations de solutions
de sécurité chez des clients, j’ai configuré des switches physiques etc…grâce à ces activités en
parallèle je peux dire que j’ai vraiment gagné expérience durant ce stage.
Ce fut une belle expérience, je remercie une fois de plus tout le personnel de Next’IN
solution de m'avoir accueilli en son sein. Les nouvelles notions, conseils, et moments partagés
avec eux resterons a jamais gravés dans ma mémoire. Encore une fois, merci.
26
BIBLIOGRAPHIE
 Principe de fonctionnement, des SIEM

o https://cybersecurity.att.com/products/ossim
o https://openclassrooms.com/fr/courses/1750566-optimisez-la-securite-informatique-grace-au-
monitoring/7144273-decouvrez-le-fonctionnement-d-un-siem
o https://www.imsnetworks.com/ressources-et-actual/siem/
o https://www.n-able.com/blog/siem-logging-best-practices
o https://skillmapper.com/courses/science/other/security-analyst-siem-home-lab---alienvault-o-
udemy-7d9180d30d5ed
o https://www.youtube.com/watch?v=_Ig-48Z2wTE
o https://www.youtube.com/watch?v=jxJpBLddwRE&ab_channel=WissenXAkademie
 Etude comparative des SIEM

o https://www.youtube.com/watch?v=9_oruzmIxnI&ab_channel=WissenXAkademie
o https://www.exabeam.com/explainers/event-logging/events-and-logs/
o https://ateixei.medium.com/get-over-siem-event-normalization-595fc36559b4
o https://training.fortinet.com/mod/scorm/view.php?id=205663
o https://www.fortinet.com/solutions/gartner-magic-quadrant-siem
 Installation, déploiement et configurations

o https://training.fortinet.com/mod/scorm/view.php?id=205663
o https://www.fortinet.com/solutions/gartner-magic-quadrant-siem
o https://www.youtube.com/watch?v=qjaO1cNj2fo&ab_channel=AT%26TCybersecurit
y
o https://cybersecurity.att.com/documentation/usm-appliance/ids-
configuration/deploying-alienvault-hids.htm
o https://www.youtube.com/watch?v=gIM3LKP2pj8
o https://www.youtube.com/watch?v=5tMjh2CvKjE
27

Rapport de Stage Etude Et Deploiement D'un Siem Pour Renforcer La Securite D'un Systeme D'information Uziel - Simou

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Rapport de Stage Etude Et Deploiement D'un Siem Pour Renforcer La Securite D'un Systeme D'information Uziel - Simou

Transféré par

Droits d'auteur :

Formats disponibles

RAPPORT DE STAGE

ETUDE ET DEPLOIEMENT D’UN SIEM POUR

Rédigé et présenté par : SIMOU NGHUEU-SI Uziel, étudiant en 4ème année

Année scolaire 2022/2023

Encadreur Professionnel Encadreur Académique

FICHE DE CONFIDENTIALITE DES RAPPORTS ET DES MEMOIRES

Date : 20/10/2023 Date : 20/10/2023 Date : 20/10/2023

A l’issu de ce travail, nous aimerons exprimer notre reconnaissance et nos sincères

• Monsieur BASSO, directeur général de Next’IN pour ses conseils

TABLE DES MATIERES

c. Par Event Streaming (Diffusion d’évènements) ---------------------------------------------------- 13

TABLE DES FIGURES

Figure 1: Organigramme de Next’IN solution --------------------------------- Erreur ! Signet non défini.4

TABLE DES TABLEAUX

Tableau 1 : Sigles et Significations -------------------------------------------------------------------------------- vi

Tableau 6 : Tableau comparatif des différents SIEM sur le marché------------------------------------------18

La quatrième année académique de la formation informatique au sein d’UCAC – ICAM

Ce document détaillera donc les travaux effectués tout au long de la réalisation de ce

1.1 PRESENTATION DE L’ENTREPRISE

Raison Sociale NEXT’IN SOLUTION

Forme juridique SARL

Tableau 2: Fiche de présentation de l’entreprise

1.2 LES MISSIONS ET VALEURS

1.3 STRUCTURE ORGANISATIONNELLE

Figure 1: Organigramme de Next’IN Solution

1.4 DOMAINES D’ACTIVITES

✓ SOLUTIONS INFRASTRUCTURES ET RESEAUX

1.5 LES PARTENAIRES

Figure 2 : Les partenaires de Next’IN Solutions

1.6 PLAN DE LOCALISATION

Figure 3 : Plan de localisation de Next’IN Solutions

2.1 CONTEXTE ET PROBLEMATIQUE

Next’IN solution est un intégrateur de solutions. C’est-à-dire une entreprise de

o Périmètre (Internet, Ferme de serveurs, DMZ)

L'objectif principal de la solution SIEM est de venir en aide aux administrateurs et

2.4 LES ENJEUX

Pour ce projet comme enjeux nous avons relevé :

• Renforcement de la visibilité de la sécurité du SI

2.5 LES CONTRAINTES D’IMPLEMENTATIONS

Afin de réaliser notre projet, nous avons besoins de connaissances en :

▪ Des connaissances de base en systèmes et réseau

3.1 ETUDE DE L’EXISTANT

3.1.1 Description de l’existant

3.1.2 Critique de l’existant

• Le monitoring sécurité de tous les équipements sécurité et des PC finaux du SI

3.2 ETUDE DU BESOIN

3.2.1 Diagramme de bête à cornes

Dans quel but ?

Renforcer la sécurité d’un système

Figure 4 : diagramme de bête à corne

4.1 PLANNING DES TRAVAUX

La planification du projet est une phase importante de l'avant-projet. Elle consiste à

Tableau 1 : Planning Prévisionnel

Tableau 2 : Planning Réel

5.1 CONCEPT DE BASE DU SIEM

Figure 5 : Evolution du SIEM

5.2 Principe de fonctionnement

5.2.1 La collecte et l’agrégation des logs

Tableau 5 : Tableau sur les différents types de logs

b. Par un agent installé sur l’appareil

c. Par Event Streaming (Diffusion d’évènements)

d. Par accès direct

5.2.2 La normalisation des logs