Mémoire de projet tuteuré

Présenté par :

Kamal Laroussi

Thème

Solution de cybersécurité unifiée Sophos

Devant le jury :
Mr.Dussart
Mme.Asmaa Kassid

Année universitaire : 2022/2023

 Dedicace

Je dédies ce travail à...

Mes parents

Aucune dédicace ne saurait exprimer l’amour,

L’estime, le dévouement et le respect que nous devons,

Pour vous.

Et, Rien au monde ne vaut les efforts fournis pour notre éducation et notre bien-être.

A nos Professeurs

Avec tout le respect que nous vous devons pour vous, nous vous dédions ce
modeste travail en guise de reconnaissance à vos efforts déployés durant notre
formation à l’institut.

2
 Remerciement

Nous tenons à remercier Mme Akhasbi Hassna et Mr El Abid Noureddine pour

leur aide continuelle, leur disponibilité et leur conseil, pour toute l’attention
précieuse qu’ils ont porté à la réalisation de ce modeste travail.

Nous ne pouvons pas oublier aussi tous ceux qui ont fourni des efforts inlassables
pour nous inculquer leur savoir et leur compétence dans le domaine de
l’informatique.

Finalement, nous tenons à exprimer nos gratitudes et nos éloges intarissables à

tout le personnel du Campus IGA Maarif qui nous a été d’un soutien indéfectible.

3
 Résumé

Ce présent travail est effectué au sein de l’école IGA, il s’inscrit dans le cadre
du projet du module Projet tuteuré en génie informatique.

Le renforcement de la sécurité informatique est devenu une nécessité

primordiale aujourd'hui, étant donné l'apparition des diverses formes
d'attaques informatiques. De ce fait, ce sont les réseaux d'entreprises,
d'institutions, de gouvernements qui ont le plus besoin de cette sécurisation
car elles sont fréquemment les cibles des attaques d'intrusion.

Le but de ce projet est de réaliser une étude approfondie et la mise en place

d’une solution de cybersécurité unifiée Sophos.
Ce document définit le projet et son contexte et décrit les étapes nécessaires
à sa réalisation.

Mots clés : Sécurité, Endpoint Security, XDR/EDR, Threat Hunting, Sophos

XGs Firewall.

4
 Liste des figures :

■ Figure 1. Architecture du système d’information

■ Figure 2: Figure 2 - Comparaison entre les différentes solution
Endpoint disponibles
■ Figure 3: Intercept X
■ Figure 4: Sécurité synchronisée
■ Figure 5: Chiffre d’affaire par solution
■ Figure 6: Sophos Central
■ Figure 7: Tableau de bord Sophos Central
■ Figure 8: Tableau de bord Endpoint Protection
■ Figure 9: Création d’utilisateurs protégés
■ Figure 10: Configuration des Stratégies de sécurité
■ Figure 11: Configuration des Stratégies de sécurité
■ Figure 12 : Console Intercept X
■ Figure 13 : Choix des fonctionnalités du parefeu
■ Figure 14 : Configuration de base
■ Figure 15 : Configuration réseau
■ Figure 16 : Portail d’authentification
■ Figure 17 : Création des zones réseau
■ Figure 18 : Configuration des interfaces réseau
■ Figure 19 : Configuration des access lists
■ Figure 20 : Control d’applications
■ Figure 21 : Blocage de l’app Anydesk

5
 Table des matières
Dedicace 2
Remerciement 3
Liste des figures 5
Introduction générale 7
CHAPITRE I: Contexte et organisation du projet 9
1. Le système d’information et la sécurité 9
2. Nécessité d’une approche globale 10
3. Mise en place d’une politique de sécurité 11
4. Etude et spécification des besoins 11
5. Objectif du projet 12
CHAPITRE II: Etude comparative et choix des outils 14
1. Endpoint security 14
2. Avantages par rapport à un antivirus classique 14
3. Firewall 14
4. Les types de firewall 15
5. Etude comparative entre différents constructeurs 15
6. Intercept X 16
7. Avantages d’Intercept X 16
8. Sécurité synchronisée 17
9. Chiffre d’affaire Endpoint et Réseau par éditeur 18
10. Sophos XGs Firewall 18
11. Avantages de Sophos XGs Firewall 18
CHAPITRE III: Réalisation et démonstration 20
1. Sophos Central 20
2. Avantages de la console 21
3. Tableau de bord Sophos Central 22
4. Tableau de bord Endpoint protection 22
5. Définition des stratégies de sécurité 23
6. Installation de l’agent Intercept X sur les postes de travail 24
7. Installation du parefeu 26
8. Configuration du pare feu 27
Conclusion générale et perspectives 30

6
 Introduction générale

La notion du réseautage constitue une base importante du monde moderne.

Tout le système universel fonctionne en réseau, que ce soit économiquement,
socialement ou politiquement. En effet, cette notion est appliquée aussi dans
le domaine technologique. Le réseau représente le noyau de chaque système
informatique. Le réseau informatique est devenu un outil irremplaçable pour
les activités des entreprises. La sécurité de ces derniers est dès lors devenue
une préoccupation majeure à cause des menaces qui s'y rapportent. De ce
fait, la sécurité informatique est devenue une notion très importante et
primordiale dans le domaine informatique.

L'évolution de la technologie oblige beaucoup d'organisations et

gouvernements à mettre en place des systèmes d'information très
développés pour être viables. Ces systèmes d'information, ouverts à internet,
contiennent donc des informations très critiques pour le bon déroulement des
activités organisationnelles. Cependant, de nombreuses entreprises et
institutions sont victimes d'attaques et d'intrusions au niveau de leur système
et leur base de données. Les logiciels malveillants, surtout les chevaux de
Troie bancaires, les attaques de « phishing », le vol et la perte de
périphériques mobiles, les logiciels malveillants pour smartphones et tablettes
sont des menaces qui affectent de plus en plus les entreprises et les
utilisateurs en Afrique. La multiplication des « Ransomwares » ou «
Rançongiciels » depuis 2016 a atteint un niveau critique de menaces
informatiques. Le virus escroc « Wannacry » et l'attaque « Petya » ont montré
que l'Afrique n'est pas épargnée par les attaques électroniques globalisées.

C'est un problème majeur que des intrus aient accès aux données
confidentielles et ceci peut conduire à la perte de crédibilité, et peut aussi
coûter une fortune aux victimes (individus, entreprises privées, entreprises
gouvernementales, institutions, etc.). L'intrusion informatique est en fait un
délit passible d'une pénalisation. Il est donc capital d'être en mesure d'avoir
une gestion centralisée des événements et des informations qui transitent
dans son réseau, d'analyser les événements de sécurité en temps réel afin de
se protéger des attaques : c'est l'objectif principal des « EDR/XDR », qui
désignent un ensemble de technologies de détection et réponse des

7
attaques informatiques destinés aux entreprises et des « Firewalls » qui
permettent l’analyse de trafic et le blocage des attaques. Pour résoudre ce
problème majeur, une solution efficace doit être adoptée, par exemple la
mise en place d'une solution comportant une solution Endpoint avec XDR et
un Firewall performant. Afin de combler ce besoin imminent de sécurité,
plusieurs produits ont été mis en place pour prévenir, détecter et répondre
aux intrusions. C'est dans ce cadre que s'inscrit le projet intitulé : Solution de
cybersécurité unifiée Sophos.

8
 CHAPITRE I: Contexte et organisation du
projet
Introduction
Chaque ordinateur connecté à Internet et d’une manière plus générale à
n’importe quel réseau informatique, est susceptible d’être victime d’une
attaque d’un pirate informatique.
Ainsi, il est nécessaire de se protéger de ces attaques réseaux en installant
des dispositifs de protection.
Dans ce chapitre, nous faisons un survol des notions de sécurité informatique,
et nous allons montrer les moyens et les dispositifs de sécurité utilisés pour
l’assurer.

1. Le système d’information et la sécurité

1.1 Présentation
- Le système d’information représente l’ensemble des données de l’entreprise
ainsi que ses infrastructures matérielles et logicielles. Le système
d’information représente un patrimoine essentiel de l’entreprise, qu’il
convient de protéger. La sécurité informatique, d’une manière générale,
consiste à s’assurer que les ressources matérielles et logicielles d’une
organisation sont uniquement utilisées dans le cadre prévu. La sécurité
informatique vise généralement cinq principaux objectifs :

- L’intégrité : qui garantit que les données sont bien celles que l’on croit être,
qu’elles n'ont pas été altérées durant la communication (de manière fortuite
ou intentionnelle),
- La confidentialité : qui consiste à rendre l’information inintelligible à
d’autres personnes,autres que les seuls acteurs de la transaction.
- La disponibilité : qui permet de garantir l’accès à un service ou à des
ressources.
- La non-répudiation de l’information qui est la garantie qu’aucun des
correspondants ne pourra nier la transaction.

9
 - L’authentification : qui consiste à assurer l’identité d’un utilisateur,
c'est-à-dire à garantir à chacun des correspondants que son partenaire est
bien celui qu’il croit être.

2. Nécessité d’une approche globale

La sécurité d’un système informatique fait souvent l’objet de métaphores. En
effet, on la compare régulièrement à une chaîne en expliquant que le niveau
de sécurité d’un système est caractérisé par le niveau de sécurité du maillon
le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les
fenêtres sont ouvertes sur la rue.Cela signifie que la sécurité doit être
abordée dans un contexte global et notamment prendre en compte les
aspects suivant :

- La sensibilisation des utilisateurs aux problèmes de sécurité,

- La sécurité logique : c'est-à-dire la sécurité au niveau des données,
notamment les données de l’entreprise, les applications ou encore les
systèmes d’exploitation,
- La sécurité des télécommunications : technologies réseau, serveurs de
l’entreprise,réseaux d’accès, etc.,
- La sécurité physique : soit la sécurité au niveau des infrastructures
matérielles

3. Mise en place d’une politique de sécurité

La sécurité des systèmes informatiques se cantonne généralement à garantir les
droit d’accès aux données et ressources d’un système en mettant en place des
mécanismes d’authentification et de contrôle permettant d’assurer que les
utilisateurs des ressources possèdent uniquement les droits qui leur ont été
octroyés.La sécurité informatique doit toutefois être étudiée de telle manière à ne
pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires,
et de faire en sorte qu’ils puissent utiliser le système d’information en toute
confiance. C’est la raison pour laquelle il est nécessaire de définir dans un premier

10
temps une politique de sécurité, dont la mise en œuvre se fait selon les quatre
étapes suivantes :
- Identifier les besoins en termes de sécurité, les risques informatiques pesant
sur l’entreprise et leurs éventuelles conséquences,
- Élaborer des règles et des procédures à mettre en œuvre dans les différents
services de l’organisation pour les risques identifiés.
- Surveiller et détecter les vulnérabilités du système d’information et se tenir
informé des failles sur les applications et matériels utilisés
- Définir les actions à entreprendre et les personnes à contacter en cas de
détection d’une menace.
La politique de sécurité est donc l’ensemble des orientations suivies par une
organisation en matière de sécurité.

4. Etude et spécification des besoins

Pour débuter ce travail, il serait nécessaire d'avoir une idée claire et précise sur
l'existant par rapport à son réseau informatique et au matériel informatique à sa
disposition. Ensuite, une critique sera faite en fonction des besoins pour la
réalisation de notre projet.

Figure 1 - Architecture du système d’information

11
 5. Objectif du projet
Le projet à réaliser contient un objectif général et des objectifs spécifiques décrits
ci-dessous :

A. Objectif général
L’objectif général du projet est l’étude et la mise en place d’une solution de
cybersécurité globale pour un système d’information.

B. Objectifs spécifiques

Les objectifs spécifiques, qui aideront à atteindre l'objectif général sont

entre autres :

- être en mesure de collecter les traces des évènements qui surviennent

dans le système d'information, les corréler pour en proposer une vision
globale facile à exploiter ;
- être en mesure d'avoir une vue d'ensemble et une gestion centralisée
des équipements informatiques présents au sein du système
informatique de l'entreprise ;
- être capable de détecter les tentatives d'intrusion sur le système
d'information et y remédier.

Conclusion :
Dans ce chapitre, on a présenté l’objectif de ce projet ainsi que sa
problématique, à savoir la mise en place d’une solution de protection du
système d’information dans sa globalité.

12
CHAPITRE II: Etude comparative et choix
des outils
Introduction :
Dans ce chapitre, nous allons introduire les notions essentielles à la
compréhension du contexte de ce projet, puis on va présenter le principe de
la solution proposée ainsi que les technologies adoptées dans ce projet.

1. Endpoint security
La sécurité simple et sophistiquée pour les postes de travail.
L’Endpoint Protection protège en toute simplicité les systèmes Windows, Mac et
Linux contre les malwares et autres menaces avancées. La protection Endpoint
intègre des technologies éprouvées telles que la détection du trafic malveillant
basée sur l’intelligence sur les menaces en temps réel, pour prévenir, détecter et
remédier aux menaces facilement. Des politiques d’accès pour le Web, les
applications et les périphériques peuvent suivre vos utilisateurs partout où ils vont.

2. Avantages par rapport à un antivirus classique

Principaux avantages
- Protection éprouvée avec antimalware, HIPS et détection du trafic malveillant.
- Contrôle du Web, des applications, des appareils mobiles et des données pour une
mise en conformité complète des politiques.
- Filtrage du Web qui s’applique directement sur les systèmes endpoint, que les
utilisateurs soient sur le réseau ou non.
- Nettoyage en profondeur du système.
- Réponse automatique aux incidents grâce à la sécurité synchronisée entre les systèmes
endpoint et le pare-feu.

3. Firewall
Le pare-feu protège la totalité du trafic réseau et a la capacité d'identifier et de
bloquer le trafic indésirable. Étant donné que, de nos jours, la plupart des

13
ordinateurs sont connectés à Internet, les attaquants ont de nombreuses
opportunités pour trouver des victimes.
4. Les types de firewall
Il existe deux principaux types de pare-feu: les pare-feu de type client et les
pare-feu de type appliance.
Un pare-feu client est un logiciel qui réside dans l'ordinateur lui-même et
contrôle la totalité du trafic réseau sur cet ordinateur.
Un pare-feu de type appliance est un matériel connecté entre Internet et
votre ordinateur.
Ces dispositifs sont souvent utilisés dans des environnements réseau
restreints où plusieurs ordinateurs doivent partager la même connexion
Internet.
Les petits routeurs dont la plupart des utilisateurs se servent au bureau ou
à la maison sont généralement dotés de pare-feu intégrés.
5. Etude comparative entre différents constructeurs
On a comparé les 3 leaders du marché en matière de produits et solutions
de cybersécurité. Nous avons constaté que seul Sophos répondait à notre
besoin, en matière de coût et la possibilité de test de la solution. La solution
Le Deep Learning de l’IA intégré dans Intercept X excelle à détecter et à
bloquer les malwares, même inédits. Il analyse les attributs de fichiers de
centaines de millions d’échantillons pour identifier les menaces sans avoir
besoin des signatures.

En plus Intercept X intègre les systèmes XDR (Extended Detection and

Response) et EDR (Endpoint Detection and Response) pour une detection
optimisée au niveau des delais et de la précision.

14
 Figure 2 - Comparaison entre les différentes solution Endpoint disponibles

6. Intercept X
Sophos Intercept X est la solution de sécurité Endpoint leader sur le marché qui
réduit la surface d’attaque et empêche les attaques de se produire. En combinant
des capacités anti-exploit et anti-ransomware, l’apprentissage profond de l’IA et
des technologies de contrôle, la solution bloque les attaques avant qu’elles n’aient
un impact sur les systèmes. Intercept X utilise une approche globale de défense
en profondeur plutôt que de s’appuyer sur une seule technique de sécurité.
7. Avantages d’Intercept X
- Bloque les menaces inédites grâce au Deep Learning de l’IA
- Bloque les ransomwares et restaure les fichiers affectés vers leur état
d’origine sain
- Prévient les techniques d’exploits utilisées à différents points de la chaîne
d’attaque
- Réduit la surface d’attaque grâce au contrôle des applications, des
appareils et du Web

15
 - Chasse aux menaces et hygiène de sécurité des opérations informatiques
avec XDR
- Service de sécurité entièrement managé 24/7/365.
- Facile à déployer, configurer et maintenir, même dans les environnements
de travail à distance

Figure 3 – Intercept X

8. Sécurité synchronisée
La sécurité synchronisée est un portefeuille complet de produits de sécurité qui
fonctionnent ensemble pour répondre aux menaces, car tous administrés depuis
une seule console Web. Elle réduit votre cyber-risque, améliore la visibilité sur le
parc informatique et rentabilise l’investissement lié à la sécurité IT.
Les solutions Sophos fonctionnent mieux ensemble. Par exemple, Intercept X et
Sophos Firewall partagent des données pour isoler automatiquement les appareils
compromis pendant que les systèmes sont nettoyés, puis rétablissent l’accès au
réseau une fois la menace neutralisée. Le tout sans intervention de
l’administrateur.
Voilà pourquoi on a choisi le Firewall XGs de sophos pour protéger notre réseau.

Figure 4 - Synchronized Security

16
 9. Chiffre d’affaire Endpoint et Réseau par éditeur
Seul Sophos a l’expertise pour offrir une protection Endpoint et une protection
réseau next-gen robustes et capables de travailler en synergie.

Figure 5 - Chiffre d’affaire par solution

10. Sophos XGs Firewall
Sophos Firewall a été conçu dès le départ pour répondre aux principaux
problèmes des pare-feux actuels, tout en fournissant une plateforme de nouvelle
génération conçue pour faire face aux flux chiffrés d’Internet et à l’évolution du
paysage des menaces. Sophos Firewall apporte une nouvelle approche dans la
manière dont on peut identifier les risques cachés, se protéger contre les menaces
et répondre aux incidents, tout en offrant des performances optimales.
l’architecture Xstream pour Sophos Firewall utilise une architecture de traitement
des paquets qui offre des niveaux exceptionnels de visibilité, de protection et de
performance.

11. Avantages de Sophos XGs Firewall

Sophos Firewall possède 4 avantages clés par rapport à d’autres pare-feux réseau :
- Il expose les risques cachés – Sophos Firewall est beaucoup plus efficace
pour exposer les risques cachés que d’autres solutions, grâce à un tableau
de bord visuel, des rapports détaillés intégrés basés dans le Cloud et une
visibilité unique sur les risques.

17
 - Il bloque les menaces inconnues : Avec Sophos Firewall, bloquer les
menaces inconnues est plus simple, plus rapide et plus efficace qu’avec tout
autre pare-feu, grâce à une suite de capacités de protection avancées faciles
à installer et à administrer.
- Il répond automatiquement aux incidents : Avec la Sécurité Synchronisée,
Sophos Firewall répond automatiquement aux incidents sur le réseau grâce
à la fonction Sophos Security Heartbeat™ qui partage en temps réel des
informations entre vos postes et votre pare-feu.
- Il optimise le réseau SD-WAN : Les fonctionnalités Xstream SD-WAN de
Sophos Firewall simplifient la configuration de réseaux SD-WAN superposés
complexes, en quelques clics de type pointer cliquer.
Conclusion :
Après avoir réalisé une étude approfondie des différentes solutions disponibles sur
le marché, on a pu choisir les 2 solutions qu’on va synchroniser pour une
protection endpoint et réseau infaillible.

18
CHAPITRE Ⅲ: Réalisation et démonstration
Introduction :
Depuis le début du mémoire, nous avons bien déterminé les perspectives de la
solution en traçant un cahier de charge qui nous a permis d’avoir un objectif bien
concret. Nous arrivons maintenant à la dernière phase qui est l'implémentation.

1. Sophos Central
Sophos Central est une solution de management du Cloud pour toutes vos
technologies Sophos Next-Gen. Elle offre une console d’administration unifiée, le
partage en temps réel des données entre produits et la réponse automatisée aux
incidents pour simplifier et optimiser la cybersécurité.

Figure 6 - Sophos Central

19
 2. Avantages de la console
Avantages principaux :
- Économisez du temps, de l’énergie et de l’argent grâce à la consolidation
sur une seule plateforme.
- Produits intégrés et IA de pointe pour une réponse automatisée aux
menaces.
- Reporting puissant, intelligence sur les menaces fournie par les SophosLabs
et investigations multi-produits.
- Gestion flexible pour les entreprises de toutes tailles avec des rôles
prédéfinis, des intégrations et des API, et un portail en libre-service pour les
utilisateurs.

3. Tableau de bord Sophos Central

La console nous offre une palette de produits Sophos qu’on peut
synchroniser par exemple :
- Endpoint Protection avec Firewall management
- Endpoint Protection avec Server protection
- Firewall management avec Wireless…

Figure 7 - Tableau de bord Sophos Central

20
4. Tableau de bord Endpoint protection

Figure 8 – Tableau de bord Endpoint Protection

Figure 9 – Création d’utilisateurs protégés

21
5. Définition des stratégies de sécurité

Figure 10 – Configuration des Stratégies de sécurité

Figure 11 – Configuration des Stratégies de sécurité

22
 6. Installation de l’agent Intercept X sur les postes de travail

Figure 12 – Console Intercept X

7. Installation du parefeu

Nous avons opté pour la version virtualisée du firewall sur vmware

workstation déployée en tant qu’application (appliance firewall).

23
Figure 13 - Choix des fonctionnalités du parefeu

Figure 14 - Configuration de base

24
 Figure 15 - Configuration réseau

8. Configuration du pare feu

Figure 16 - Portail d’authentification

25
8.1 Configuration réseau

Figure 17 – Création des zones réseau

Figure 18 – Configuration des interfaces réseau

26
8.2 Configuration des Règles de sécurité

Figure 19 – Configuration des access lists

Figure 20 – Control d’applications

27
Figure 21 – Blocage de l’app Anydesk

28
 Conclusion générale et perspectives

La cybersécurité est une discipline de première importance car le système

d'information est pour toute entreprise un élément absolument vital.

Les technologies de l'information deviennent de plus en plus intégrées dans la

société, les incitations à compromettre la sécurité des systèmes informatiques
déployés augmentent. Ces cyberattaques peuvent déstabiliser une institution et
engendrer une perte économique colossale.

Les dangers des cyberattaques actuelles font que la question pertinente des
entreprises n'est pas de se demander s'ils seront attaqués ou pas mais se
demander quand cela va arriver, ce qui fait qu'une protection en amont est
primordiale. Avec un tas de solutions de sécurité open source les entreprises n'ont
plus d'excuses face aux cyberattaques.

L'objectif principal de ce travail était de mettre en place une solution de

cybersécurité globale pour à la fois protéger le réseau et les terminaux.

Dans ce projet on a mis en place la solution de cybersécurité Sophos qui

synchronise entre ses 2 produits les plus vendus, à savoir Sophos Endpoint security

(Intercept X) et Sophos XGs Firewall.

À la fin de notre projet, nous avons pu atteindre nos objectifs c'est-à-dire mettre

en place une solution permettant le management de la sécurité de notre système,
notre système a répondu à nos attentes puisque aucun impact sur les
performances réseau et système n'a été remarqué.

Ce projet, nous a été d'une grande importance et il a servi d'une arcade qui nous
a initié au monde professionnel. D'autant plus qu'il était une opportunité pour
mettre en œuvre nos connaissances techniques apprises au cours de nos études.

Il nous a appris sur le plan technique d'être mieux en mesure de protéger nos
ordinateurs et de recommander des mesures de sécurité aux autres.

29