Académique Documents
Professionnel Documents
Culture Documents
A Dieu pour la vie et de ses propositions qu’il fait, un homme qui à contribuer à notre
éducation, à notre formation et à notre réussite et qui n’est plus là malheureusement :
Mon Père Alioune Sylla qui n’est pas là pour voir le travail de son Cadet. Un père qui était un
exemplaire, respectueux, travailleur. Nous pensons à toi papa et on aimerait qu’aujourd’hui que
tu serais là pour le résultat de ton fils.
Paix à ton âme et que Dieu t’accueille au paradis et à côté du Prophète Mohamed (Psl). Amen !
i
Dédicace
Je dédié ce mémoire à ma mère, qui a œuvré pour ma réussite, de par son amour, son
soutien, de l’argent venu de sa part avec tous les sacrifices consentis et ses précieux conseils.
Pour toute son assistance et sa présence dans ma vie, reçois à ce travail aussi modeste soit-il
l’expression de mes sentiments et mon éternelle gratitude. Que Dieu te laisse devant nous afin
que toutes les ambitions envers vous soient réaliser.
Mon frère, mon tuteur Abdou Sylla qui peut être fier et trouver ici le résultat des longues années
de sacrifices et de m’aider à avancer dans la vie lui à qui je peux dire m’a assuré toute ma
scolarité du collège au lycée et m’a aussi hébergé depuis que je suis à Dakar. Puisse Dieu faire
en sorte que ce travail porte son fruit. Merci pour les valeurs nobles, l’éducation, le soutient et
les conseils permanent venu de toi.
Mes sœurs qui n’ont jamais cessé d’être un soutien moral et financier particulièrement à Yacine
et à Bouyock à mes Oncles et cousins vraiment merci de tous ceux que vous faite pour moi
Votre frère Ousmane vous sera très reconnaissant.
ii
Remerciements
Après avoir rendu grâce à Dieu et prier au nom du prophète (PSL), la réalisation de ce
mémoire a été possible grâce au concours de plusieurs personnes à qui on voudrait témoigner
toute notre reconnaissance.
On voudrait tout d’abord adresser toute notre gratitude à notre encadreur M. Samba SOUARE,
pour sa patience, sa disponibilité et surtout pour ses judicieux conseils, qui ont contribué à
alimenter notre réflexion pour la réalisation de ce mémoire.
On remercie ma Mère pour lui dire que jamais on l’oubliera quelques soit la situation. Vraiment
une mère pas comme les autres, qui est à ma disposition totale. J’oublie même parfois que j’ai
des frères grâce à tous ce que tu fais pour moi vraiment je ne pleure pas mon défunt père.
On remercie aussi tous les professeurs qu’on a vécus durant toute notre cursus à ISI
Monsieur Ahmed Khlil YOUSSEF merci beaucoup vraiment si nous aimons la sécurité
aujourd’hui c’est grâce à vous, M. Ahmed KHALIFA lui aussi très disponible, M. Massamba
LO et Dr. Omar DIAO aussi. Merci vraiment de tous ce que vous avez fait pour nous.
On tient aussi à remercier tous les étudiants de la promo 2019 de l’ISI particulièrement à nos
amis de cœur à qui ont à tous partagé toutes ses années ensemble, à toutes les amies et
connaissance qui ont participé à la réalisation de ce mémoire, merci à tous.
iii
Avant-Propos
Reconnu dans le domaine des TIC L'institut dispose d'un centre de formation dédie à la
formation professionnelle et dispense des formations académiques, en cours du jour et en cours
du soir dans le département informatique comme dans la gestion.
L’institut délivre quatre diplômes DTS (Bac +2), BTS (Bac + 2), licence (Bac +3) et Master
(Bac + 5) dans le département Gestion comme dans le département Informatique et ils
dispensent sur plusieurs filières.
Pour l’obtention d’un diplôme ISI exige aux étudiants la rédaction de mémoire de fin de cycle.
C’est dans ce cadre que nous avons élaboré ce document qui a pour sujet : Etude et mise en
place d’un centre opérationnel de sécurité.
iv
Sommaire
III. Implémentation............................................................................................................. 78
3.1. Scan de vulnérabilité .................................................................................................... 80
v
Glossaire
IP Internet Protocol
SI Système d’Information
vi
Listes des figures
vii
Figure 32 : Onglet programme ................................................................................................. 86
Figure 33 : Onglet plugin ......................................................................................................... 87
Figure 34 : Lancement du scan ................................................................................................ 88
Figure 35 : Résultat de notre scan ............................................................................................ 89
Figure 36 : Interface de connexion de splunk .......................................................................... 90
Figure 37 : Tableau de bord de splunk ..................................................................................... 91
Figure 38 : Onglet présentation ................................................................................................ 91
Figure 39 : Onglet entrées des données .................................................................................... 92
Figure 40: Ruban de notre SIEM ............................................................................................. 93
Figure 41: Onglet paramètre .................................................................................................... 93
Figure 42: Onglet recherche ..................................................................................................... 94
Figure 43: Informations sur les rapports .................................................................................. 95
Figure 44: Vu sur les évènements sur notre plateforme ........................................................... 97
Figure 45: Vu des forwadeurs sur notre SIEM ....................................................................... 97
Figure 46: Informations des évènements sur un forwadeurs .................................................... 98
Figure 47 : Adresse IP de l’Attaquant ...................................................................................... 99
Figure 48 : Procédure de création d’un payload .................................................................... 100
Figure 49 : Procédure de création d’un payload (suite) ......................................................... 101
Figure 50 : Renseignement de l’adresse IP de l’attaquant et du port ..................................... 101
Figure 51 : Payload créer ....................................................................................................... 102
Figure 52 : Vu des sessions ouverts sur notre session cible ................................................... 102
Figure 53 : Réaction de splunk ............................................................................................... 103
viii
Liste des tableaux
ix
Résumé
Un Security Operations Center (ou SOC) est un centre piloté par une équipe d'analystes
et proposant des services de surveillance, de détection et de réaction aux incidents de sécurité.
L'efficacité de la plateforme sur laquelle est basé le SOC (SIEM), utilisée dans la surveillance
des menaces réseaux, dépend de sa capacité à détecter la survenance des attaques ou des
menaces.
Cependant il peut être extrêmement difficile de détecter et d'analyser des menaces en constante
évolution, et encore plus de transformer les données collectées en informations exploitables
afin d’identifier les plus dangereuses avec le moins de faux-positifs possible. Pour garantir
l'intégrité des systèmes d’information des entreprises, il est inévitable d'améliorer constamment
l'infrastructure de cybersécurité existante et de rechercher de nouvelles approches.
Ce document est subdivisé en trois grandes parties dont la première intitulé cadre théorique et
méthodologique où il s’agit de la contextualisation, la problématique, de la présentation d’un
SOC entre autres. La deuxième partie s’accentue carrément sur une étude détaillée du sujet
composé de la généralité sur la sécurité des systèmes d’informations, de la généralité sur le
SOC, et de composants d’un SOC. La dernière partie se charge de l’implémentation de notre
outil SIEM et des outils de scans de vulnérabilité et terminer avec une simulation d’attaque afin
de voir la réaction de notre plateforme face à l’attaque.
x
Abstract
A Security Operations Center (or SOC) is a center run by a team of analysts and offering
monitoring, detection and response services to security incidents. The effectiveness of the
platform on which the SOC (SIEM) is based, used in monitoring network threats, depends on
its ability to detect the occurrence of attacks or threats.
However, it can be extremely difficult to detect and analyze ever-changing threats, let alone
transform the data collected into actionable information to identify the most dangerous ones
with the fewest possible false positives. To ensure the integrity of corporate information
systems, it is inevitable to constantly improve the existing cyber security infrastructure and seek
new approaches.
This document is divided into three main parts, the first of which is entitled theoretical and
methodological framework where the contextualization, the problematic, the presentation of an
NCS among others is discussed. The second part focuses squarely on a detailed study of the
subject composed of the generality on the security of information systems, of the generality on
the SOC, and of components of a SOC, and the last part takes care of the implementation of our
SIEM and vulnerability scanning tools and finishes with an attack simulation in order to see the
reaction of our platform to the attack.
xi
Introduction générale
Aujourd’hui Les cyber menaces entrent de façon pérenne dans la réalité quotidienne des
entreprises. Les cyberattaques sont et seront de plus en plus fréquentes, multiples et évoluées.
Elles s’inscrivent dans la durée et ne ciblent plus seulement les systèmes technologiques mais
aussi directement les personnes. L’écosystème complet de l’entreprise s’en trouve alors
directement menacé.
Face à ces menaces croissantes contre nos systèmes et nos données, le concept de
cybersécurité est né. La cybersécurité consiste en l’effort continu de protection des systèmes
mis en réseau, et des données, contre leur utilisation non autorisée. Parmi les stratégies de
défenses contre les cyber-attaques, l’une des plus pertinentes est la mise en place d’un centre
opérationnel de sécurité (COS) ou SOC (Security Operations Center).
Un SOC peut être défini comme une équipe organisée, et hautement qualifié, dont la
mission est de surveiller, prévenir, détecter, analyser, et réagir aux incidents de cybersécurité,
et d'améliorer continuellement la posture de sécurité d'une organisation à l'aide des technologies
et de procédures bien définies. Le but de ce mémoire est de mettre en place ce centre
opérationnel de sécurité.
La deuxième partie endosse l'étude détaillée qui à son tour assume les concepts et fondamentaux
du SOC, les composants (SIEM et gestions de vulnérabilité), étude comparative des outils et
notre choix
La troisième partie s’accentue sur le déploiement de l’outil SIEM choisi et les outils de
détection de vulnérabilités.
1
Première Partie
Cadre théorique et méthodologique
2
I. Cadre théorique et méthodologique
1.1. Cadre théorique
3
1.1.2. Problématique
4
1.1.4. Pertinence du sujet
De nos jours, même le Sénégal est une cible idéale pour les cybercriminels par son évolution
technologique rapide. En effet, depuis 2011 le Sénégal a subi plusieurs attaques informatiques
qui concernait notamment les banques, les microfinances et le gouvernement.
• 2011 : Joni-Joni lié à la poste par contrat de support de réseau de transfert d’argent a été
victime d’un piratage, un accès frauduleux qui a fait perdre à Joni-Joni 260 millions
[https://www.seneplus.com/societe/des-malfaiteurs-pompent-260-millions-joni-joni]
• 2014 : Le système informatique des douanes victimes d’une attaque dont le but des
pirates étaient d’accéder au système de paiement des douanes et mêmes aux données du
Ministères des Finances et du Budget selon [Mediafrik].
• 2015 : Les Anonymous piratent le site de l’Agence de l’Informatique de l’Etat et du
Ministère de l’Elevage et des Productions Animales (MEPA)
[http://www.rfi.fr/afrique/20150120-charlie-hebdo-anonymous-pirate-site-adie-
senegal-interdiction-caricature]
• 2017 : Le Sénégal a été touche près de 3 heures après l’apparition du ransomware
Wannacry [orbit informatique (Oumou informatique)].
• 2019 : Les banques sénégalaise ne finissent décidemment pas de susciter l’appétit des
cybercriminels. C’est la banque de Dakar BDK qui a cette fois visées par une tentative
d’intrusion dans son système informatique par des arnaques, après Ecobank (323
millions FCFA) soutirés frauduleusement et UBA en l’espace de quelques semaines
[https://www.sikafinance.com/marches/senegal-la-banque-de-dakar-visee-par-une-
cyberattaque_16595]
[https://www.sikafinance.com/marches/marchessenegal-323-millions-fcfa-soutires-
frauduleusement-a-ecobank_16410]
5
Le Sénégal comme tous les autres pays de l’Afrique de l’Ouest sont en retard pour mettre en
place un niveau de sécurité approprié pour la protection des entreprises et des gouvernements.
Les entreprises, les banques, les instituts financières doivent être systématique à l’abri de ces
attaques.
Malgré les mesures existantes pour la sécurisation des systèmes d’information (Firewall, IDS,
IPS, UTM), les menaces et les attaques persistes ce qui montre l’insuffisance de ces outils pour
la sécurisation des systèmes d’information d’où l’importance de disposer d’un centre
opérationnel de sécurité.
L’objectif du premier chapitre dénommer cadre théorique s’est accentué sur le contexte général,
la problématique, la pertinence du sujet, les objectifs de notre travail et la pertinence du sujet
Un SOC est avant tout une équipe d’experts en sécurité chargée de surveiller, détecter,
analyser et qualifier les évènements de sécurité. Cette équipe assure le pilotage des réactions
appropriées aux incidents avérés de sécurité. Pour certaines organisations, cette équipe
administre et contrôle au quotidien des dispositifs et dispositions de sécurité.
Un SOC a pour objectif de réduire à la fois la durée et l’impact des incidents de sécurité qui
tirent profit, perturbent, empêchent, dégradent ou détruisent les systèmes dédiés aux opérations
habituelles et standards. Cet objectif est atteint grâce à une surveillance efficace et à un suivi
des incidents de bout en bout.
6
Le SOC a la responsabilité, d’une part, de déclarer qu’il y a effectivement un incident sur le SI,
et, d’autre part, il est responsable de la conduite des opérations qui lui permettront de déclarer
l’incident clos. Du point de vue opérationnel c’est le couple des entités SOC et CERT/C-SIRT
qui assure la résolution d’un incident.
Par ailleurs, selon les choix organisationnels, le SOC peut également assurer les missions
suivantes :
• Suivi des vulnérabilités (de la détection à la correction)
Compte tenu de la variété des missions, des impacts technologiques ainsi que des impacts
organisationnels majeurs, la mise en œuvre d’un SOC représente un réel investissement en
temps et ressources pour l’entreprise concernée ; même avec l’aide d’un prestataire qualifié
(type MSSP). C’est aussi pourquoi il est généralement nécessaire que l’entreprise atteigne une
taille critique avant de consacrer des ressources internes à l’opération de son propre SOC.
Dans le cas des entreprises constituées de plusieurs entités, il est fréquent que le SOC soit porté
par l’une d’entre elle de façon transverse pour les autres.
7
Figure 1 : Vue global d’un SOC
Pour implémenter notre SOC, nous avons utilisé une architecture virtualisée basée sur
des outils de simulations et de virtualisation, comme VMWare Workstation, Gns3 …
En effet, cette phase de collecte des données nous a permis de faire un tour d'horizon sur les
connaissances déjà acquises sur la question mais aussi d’orienter nos recherches sur les
mémoires déjà réalisés dans le domaine de la supervision de la sécurité.
8
Les entretiens effectués auprès de certains professeurs du domaine nous ont permis de collecter
un ensemble d’informations pour mieux contextualiser le sujet et délimiter notre champ
d’étude. Cela nous a aussi permis de connaitre l’architecture du réseau existant et de déceler les
manquements qui constituent le point focal de notre étude.
En plus les articles et revues trouvés sur le WEB et sur le réseau social professionnel LinkedIn
nous ont permis d’enrichir davantage notre document.
D’autre part nous avons eu recours au guide d’entretien qui est un genre d’interview,
d’échanges que nous avons effectué avec des personnes qui détiennent beaucoup
d’informations sur la question traitée afin de recueillir plus de détails en ce qui concerne la
compréhension de notre étude.
Toute étude où rapport est confronté à des difficultés, celles entrevues au cours de cette
mémoire sont nombreuses et variées :
Le fait de travailler sur une architecture virtuelle pose beaucoup de problèmes surtout avec les
ressources de l’hyperviseur vu que beaucoup de machine ou serveurs doivent être installer.
Le temps aussi pose beaucoup de problèmes vu qu’on doit faire beaucoup de chose.
Ce chapitre nous a permis de présenter le SOC de manière générale, de délimiter notre champ
d’étude, de déceler les techniques d’investigations et enfin lister les difficultés rencontrées au
cours de ce mémoire.
9
Deuxième Partie
Etude détaillés
10
II. Etude détaillés
2.1. Généralité sur la sécurité
Mettre en place un réseau n’est plus un défi mais assurer la sécurité devient important. Ce
pendant avant d’assurer la sécurité il faut s’assurer la sûreté qui peut être défini comme la
capacité d’un système à lutter contre les problèmes accidentels ou naturel.
Ces critères de base (dits critères DIC), sont des objectifs de sécurité que la mise en œuvre de
fonctions de sécurité permet d’atteindre.
Des fonctions additionnelles peuvent offrir des services complémentaires pour confirmer la
véracité ou l’authentification d’une action ou d’une ressource (notion d’authentification) ou
encore pour prouver l’existence d’une action à des fins de non répudiation ou d’imputabilité
ou de traçabilité (figure 3).
11
intactes, qu’elles n’ont pas été détruites ou modifies à l’insu de leurs propriétaires tant
de manière intentionnelle qu’accidentelle.
• Confidentialité : La notion de confidentialité est liée au maintien du secret, elle est
réalisée par la protection des données contre une divulgation non autorisé (notion de
protection en lecture).
La non répudiation est le fait de ne pouvoir nier ou rejeter qu’un évènement (action,
transaction) a lieu. A ce critère de sécurité peuvent être associée les notions d’imputabilité, de
traçabilité ou encore parfois d’audibilité.
Attribuer une action à une entité déterminé (ressource ou personne) relève de l’imputabilité,
qui peut être réalisé par un ensemble de mesure garantissant l’enregistrement fiable
d’informations peinâtes relatives à un évènement.
12
2.1.2. Domaines d’applications
Pour une organisation, toutes les sphères d’activités de l’informatique et des réseaux de
télécommunication sont concernées par la sécurité d’un système d’information.
La sécurité physique et environnementale concerne tous les aspects liés à la maitrise des
systèmes et de l’environnementale dans lequel ils se situent.
13
• La protection des sources énergétiques et de la climatisation
• La protection de l’environnement.
• Des mesures de gestion et de contrôle des accès physique aux locaux, équipement et
infrastructures et des sources énergétiques.
• Le marquage des matérielles pour notamment contribuer à dissuader le vol de matériel
et éventuellement le retrouver.
• L’usage d’équipements qui possèdent un bon degré de sureté de fonctionnement et de
fiabilité.
14
2.1.2.3. Sécurité de l’information
a.) Sécurité Logique
15
• La qualité et la pertinence des données
• Un plan d’assurance sécurité
Bien protéger l’information, c’est avant tout comprendre son rôle, son importance stratégique
et l’impact des décisions qu’elle permet de prendre.
C’est également assurer son exactitude et sa pérennité pour le temps nécessaire à son
exploitation et à son archivage. Une classification des données permet de qualifier leur degré
de sensibilité (normale, confidentielle, etc.) et de les protéger en fonction de ce dernier. Ainsi,
à partir d’un tableau mettant en relation le type de données et leur degré de sensibilité, la nature
et le nombre de protections peuvent être détermines et des mesures de sécurité ad hoc
développées. Par ailleurs, du point de vue de l’utilisateur, une bonne sécurité doit lui assurer le
respect de son intimité numérique (privacy) et la protection de ses donnes personnelles.
16
• Le protocole S/MIME (Secure Multipupose Internet Mail Extensions) est une
extension securisé, integrant un processus de certification, du protocole de messagerie
MIME, orienté support de messages multimedia.
• Le protocole PEM (Privacy Enhancement for Internet Electronic Mail) est un standard
proposé par l’IETF (Internet Engineering Task Force) pour chiffrer des messages
electroniques. Il combine l’usage des algorithme RSA et DES. Assez complexe, ce
système est relativement peu utilisé.
Le protocole PGP (Pretty Good Privacy) est une solution connue des usagers pour rendre
confidentielle la transmission de message et authentifier l’émetteur
2.1.2.6. Le chiffrement
Pour chiffrer ou déchiffrer un texte, il faut une clé et un algorithme de chiffrement. S’il s’agit
de la même clé pour effectuer ces deux opérations, le système de chiffrement est qualifié de
17
symétrique. L’émetteur et le récepteur doivent posséder et utiliser la même clé secrète pour
rendre confidentielles des données et pour pouvoir les comprendre
Pour ce type de chiffrement il faut disposer de deux clés : une clé publique et une clé privée.
La clé publique doit être connus par tous et la clé privée est confidentielle.
La clé publique permet de chiffrer le message et aussi de vérifier une signature et la clé prive
pour déchiffrer le message ou pour signer
18
Figure 5 : Le système de chiffrement asymétrique
2.1.3. Cybersécurité
La racine « cyber » provient du mot cybernétique, qui avait été formé en français en 1834 pour
designer la « silence du gouvernement », à partir du grec Kubernétikité, signifiant « diriger,
gouverner » ; Terme repris en 1948, par NORMAN Wiener aux Etats unis et qui a donné
naissance à la cybernétique (cybernétiques), science constituée par l’ensemble des théories
relatives au contrôle, à la régulation et à la communication entre l’être vivant et la machine.
Depuis lors, le préfixe « cyber » est devenu relatif à l’environnement informatique et aux
activités rendues possible par les technologies du numérique et internet. Le cyberespace
(l’ensemble des infrastructures numériques, des données et des services mis en réseaux) est une
extension de notre espace naturel qui reflète notre société avec ses politique, économique,
19
sociale et culturelle. Mais contrairement à la terre, à la mer, à l’air et à l’espace-extra
atmosphérique, le cyber espace est une pure création de l’être humain qui ne relève pas de la
nature.
Le risque « cyber » s’inscrivent dans une problématique plus large des risques liées à la
dépendance des infrastructures numériques et à des fournisseurs d’infrastructures matérielles et
logicielles, de capacité de traitement, de télécommunications, de stockage, de services ou
encore d’informatique en nuage( notamment les GAFA – Google, Amazon, Facebook, et Apple
et les NATU- Netflix, Airbnb, Tesla, Uber) sont devenus des géants incontournables d’internet
ou de la téléphonie mobile, et sont de véritables empires à la volonté hégémonique affiché. La
montée en puissance de certains groupes mondialisées induit de nouveaux risques notamment
lies à l’espionnage industriel et à la capacité de ces groupes de réaliser un « fichage » des
utilisateurs, voire un « filtrage » des échanges, et cela à l’échelle mondiale.
20
• L’optimisation de l’usage des technologies de l’information et des communications
(TIC) ainsi que de celui des solutions de sécurité.
Une politique de sécurité résulte d’une analyse des risques ou d’un audit et est définit
pour répondre aux exigences de sécurité, dans un contexte donné. Elle se traduira par la
réalisation de mesures, de fonctions, de procédures, de services, comme par exemple :
Une politique de sécurité peut être structuré en sous politique correspondant au contexte
particulier d’une organisation comme le montre la figure ci-dessous
21
Figure 6 : Différents composants d’une politique de sécurité
Dans un premier temps, il faut pouvoir identifier les risques avant d’identifier les
parades à mettre en place. On peut s’appuyer alors sur une méthode qui facilite l’identification
des points principaux à sécuriser (notion de check list1), ou sur des normes ou sur un ensemble
reconnu de bonnes pratiques (best pratiques). Toutes peuvent servir de guide à l’élaboration
d’une politique de sécurité. Elles sont utilisées plus ou moins complètement et le plus souvent
adaptés à un contexte particulier en fonction de l’entité qui les mets en œuvre.
1
Liste de contrôle
22
Les méthodes préconisées par le Clusif (club de la sécurité de l’information française)
sont historiquement Marion (méthode d’analyse des risques informatiques et optimisation par
niveau) puis Méhari (méthode harmonisée d’analyse des risques)
Au-delà de l’aide à l’analyse des vulnérabilités et des risques, Méhari permet d’avoir une vision
globale et stratégique de la problématique de la sécurité des entreprises, par la définition d’un
plan stratégique de sécurité à partir duquel des plans opérationnels pourront être définis. Méhari
est une méthode adaptable, évolutive et compatible avec les normes internationales du domaine.
En France l’agence nationale de la sécurité des systèmes d’informations (ANSSI) propose une
méthode bien documentée, avec des exemples et des conseils, qui est mise à jour régulièrement.
Dénommée Ebios, pour expression des besoins et des conseils et identifications des objectifs
de sécurité, cette méthode, largement utilisé entre autres par les administrations françaises,
permet de spécifier les objectifs de la sécurité des organisations.
Normes internationales
23
• Les directives concernant le processus d’audit d’un SMSI se trouvent dans la norme
ISO 27007.
• La norme ISO 27008 traite des directives pour les auditeurs concernant les contrôles à
effectuer dans un SMSI.
• La norme ISO 2710 est relative à, la gestion de la sécurité de l’information des
communications intersectorielle et interactionnelles.
• La norme ISO 27011 traite du management de la sécurité de l’information pour les
organismes de télécommunication.
• La norme ISO 27015 correspond à des lignes directives pour le management de sécurité
de l’information pour les services financiers.
• La norme 27018 peut être considérés comme un guide pour la protection des données à
caractère personnel dans les infrastructures de cloud publics.
• La norme ISO 27019 se focalise sur le management de la sécurité de l’information des
systèmes de contrôle des procédés spécifique à l’industrie de l’énergie.
• Les normes ISO 27031 à 27035 abordent respectivement les questions relatives au plan
de continuité des affaires, à la cyber sécurité, à la sécurité des réseaux, à la sécurité des
applications et à la gestion des incidents.
• Les normes ISO 27036 à 27039 quant à celle traite de l’identification, de la collecte et
de la préservation des traces numériques.
• Les normes ISO 27038 et 27039 sont respectivement relatives à des techniques de
sécurité concernant l’élaboration de documents numériques, et la sélection, le
déploiement et les opérations des systèmes de détection d’intrusions.
• La question du management de la sécurité de l’information relative à la santé fait l’objet
de la norme ISO 27799, élaboré sur la base de l’ISO 27002.
La norme ISO 27001 : La norme ISO 27001 propose un modèle pour établir, implémenter,
exploiter, surveiller, maintenir et améliorer le système de management de la sécurité de
l’information SMSI. La norme 27001 se focalise sur l’implémentation d’un système de
management de la sécurité basé sur une structure formalisée et des contrôles à effectuer.
24
La norme se base sur un modèle dit modèle PDCA (Plan, Do, Check, Act) – Préparer (ou
Planifier) – Développer – Controller ou Vérifier – Ajuster (ou Réagir) qui reprend le concept
de la « roue de Deming ». Telle cette roue qui remonte une pente en exécutant à chaque tour
le « Plan, Do, Check, Act) à chaque tour on met une cale pour empêcher la roue de dévaler la
pente, le modèle PDCA implique qu’à chaque passage, arrivée au « A de Act », il faille caler
le modèle et ne jamais s’arrêter de le poursuivre, pour ne pas risquer de perdre tous les atouts
accumulés dans l’évolution de la sécurité du SMSI et se retrouver au bas de la pente. Le modèle
PDCA implique un perfectionnement permanent de la sécurité du SMSI.
L’audit des systèmes d’informations vise à collecter des preuves qui permettent
d’attester d’une part que les systèmes et ressources protègent les actifs informationnels de
l’organisation et d’autres part, que les différents risques inhérents au système d’information
sont pris en compte. Cela contribue à pouvoir formuler une assurance raisonnable concernant :
25
• L’atteinte des objectifs organisationnels en fonction du niveau de qualité de contrôles
internes
D’une manière générale, les contrôles principaux à prendre en compte dans le cadre d’un audit
de systèmes d’informations sont :
L’ingéniosité des attaquants peut être parfois sans limite. Généralement, ils savent
s’adapter et exploiter efficacement les ressources disponibles et les vulnérabilités, de manière
permanente et dynamique. Bien qu’il soit impossible de dresser un panorama exhaustif des
types et des moyens d’attaques, il est toutefois possible d’en dégager certains invariantes.
Une attaque par déni de service submerge les ressources d’un système afin que ce
dernier ne puisse pas répondre aux demandeurs légitimes des utilisateurs.
Il existe différents types d’attaques DoS et DDoS. Les plus courantes sont les attaques SYN
flood, les attaques par rebond, et les botnets.
26
2.1.5.2. Attaque de l’homme du milieu
Une attaque de l’homme du milieu est un pirate qui s’insère dans les communications
entre un client et un serveur. Ceci est expliqué par les schémas ci-dessous.
27
Les types d’attaques de l’homme du milieu les plus courants sont le détournement de session,
usurpation d’IP, …
L’hameçonnage consiste à envoyer des e-mails qui semblent provenir de sources fiables
dans le but d’obtenir des informations personnelles ou d’inciter les utilisateurs à faire quelque
chose. Cette technique combine ingénierie sociale et stratagème technique. Elle peut impliquer
une pièce jointe à un e-mail, qui charge un logiciel malveillant sur votre ordinateur. Elle peut
également utiliser un lien pointant vers un site Web illégitime qui vous incite à télécharger des
logiciels malveillants ou à transmettre vos renseignements personnels.
Les mots de passe étant le mécanisme le plus couramment utilisées pour authentifier les
utilisateurs d’un système informatique, l’obtention de mots de passe est une approche d’attaque
courante et efficace. Le mot de passe d’une personne peut être obtenu en fouillant le bureau
physique de la personne, en surveillant la connexion au réseau pour acquérir des mots de passe
non chiffrés, en ayant recours à l’ingénierie sociale, en accédant à une base de données de mots
de passe ou simplement en devinant.
L’injection SQL est devenue un problème courant qui affecte les sites Web exploitant
des bases de données. Elle se produit lorsqu’un malfaiteur exécute une requête SQL sur la base
de données via les données entrantes du client au serveur. Des commandes SQL sont insérées
dans la saisie du plan de données (par exemple, à la place du nom d’utilisateur ou du mot de
passe) afin d’exécuter des commandes SQL prédéfini. Un exploit d’injection SQL réussi peut
lire les données sensibles de la base de données, modifier (insérer, mettre à jour ou supprimer)
les données de la base de données, exécuter des opérations d’administration de la base de
données (par exemple la fermer), récupérer le contenu d’un fichier spécifique, et, dans certains
cas, envoyer des commandes au système d’exploitation.
28
2.1.5.6. Attaque XSS (Cross-site scipting)
Les attaques XSS utilisent des ressources Web tierces pour exécuter des scripts dans le
navigateur Web de la victime ou dans une application pouvant être scriptée. Plus précisément,
l’attaquant injecte un JavaScript malveillant dans la base de données d’un site Web. Ceci est
expliqué par le schéma ci-dessous.
Les écoutes clandestines sont le résultat d’une interception du trafic réseau. Elles
permettent à un attaquant d’obtenir des mots de passe, des numéros de carte bancaire et d’autres
informations confidentielles qu’un utilisateur envoie sur le réseau. Elles peuvent être passives
ou actives :
29
• Écoute clandestine active : Un pirate s’empare activement d’informations en se faisant
passer pour une unité amie et en envoyant des requêtes aux transmetteurs. On appelle
cela sonder, scanner ou saboter.
Un logiciel malveillant peut est considérer comme un logiciel installé dans votre
système sans votre consentement. Il peut s’attacher à un code légitime et se propager, se cacher
dans des applications utiles ou se reproduire sur Internet. Voici quelques-uns des types de
logiciels malveillants les plus courants :
30
2.1.6. Gestion des risques
Deux notions interviennent dans la variable de risque : celle de menace, qui est la cause
potentielle d’un incident indésirable, et celle de vulnérabilité.
Selon Dunod Un risque exprime la probabilité qu’une valeur soit perdue en fonction d’une
vulnérabilité liée à une menace, à un danger ou à un évènement non sollicité.
Dans ce chapitre il s’agira de parler des concepts et fondamentaux d’un SOC, de voir la
complémentarité entre un SOC et un CERT, de parler d’évènements, journaux, alerte et
incidents et enfin voir les recommandations et aspects juridique sur la cybercriminalité.
31
2.2.1. Concept & fondamentaux d’un SOC
Le Security Operations Center (SOC) est constitué d’une équipe d’experts qui jouent le
rôle de « Tour de Contrôle » pour la surveillance de la sécurité globale des Systèmes
d’information, pendant que les équipes de supervision s’occupent de la surveillance du bon
fonctionnement des SI. Les services fournis par le SOC s’organisent autour des activités
suivantes :
Prévention
• Veille sécurité en relation avec le CSIRT/CERT
• Affinage2 et maintien à jour de l’outillage
• MCS (Maintien en Condition de Sécurité) de l’outillage
• Optimisation des règles de détection, et prise en compte des AAA.
Détection
• Collecte et analyse des logs
• Corrélation des informations afin d’analyser les événements de sécurité dans sa
globalité et pas unitairement.
• Déclenchement et qualification d’alerte sur des éléments suspects
• Notification et communication aux entreprises clientes.
Dans le bruit généré par les différentes activités, le SOC détecte des incidents de sécurité ainsi
que des tentatives d’attaques. Cette surveillance technique et comportementale permet d’être
averti dans un minimum de temps. Le centre de sécurité collecte les événements (sous forme
de logs notamment) remontés par les composants de sécurité, les analyses, détecte les anomalies
et définit des réactions en cas d’émission d’alerte.
2
Nettoyage
32
Réaction / Réponse
Le SOC doit avant tout réagir avec des délais très courts et apporter les réponses les plus
appropriées. Il s’agit d’accompagner dans l’urgence, d’apporter de l’expertise et de la
méthodologie au moment où l’organisation en a le plus besoin.
33
2.2.1.1. Activité d’un SOC
La mission principale d’un SOC consiste à surveiller, détecter, analyser et qualifier les
évènements de sécurité.
Activité 1 : Supervision/Qualification/Alerting
Le SOC peut également se voir confier des missions additionnelles en fonction des
organisations, telles que :
Il existe principalement deux grandes familles de SOC : les SOC opérés en interne et
les SOC externalisés.
Même s’il existe des modèles hybrides, le choix d’un type de SOC est capital lors des études
de conception car cela conditionne la nature des travaux et du pilotage pendant la phase de
34
construction. Les paragraphes suivants décrivent les avantages et les inconvénients de chacun
des types de service.
L’évolution d’un modèle de SOC à un autre est naturellement envisageable mais nécessite une
préparation et une anticipation importante pour éviter de devoir reconduire tous les travaux de
conception et de construction lors de la bascule de l’un à l’autre des modèles. Ce changement
de nature peut être justifié par l’atteinte d’un certain niveau de maturité par l’Entreprise et/ou
l’évolution des objectifs de sécurité ou bien encore un changement de stratégie au niveau de la
DSI ou de l’Entreprise.
35
Tableau 1 : SOC Dédiés/Internalises
Avantages Inconvénients
• Les SOC dédiés disposent de ressources • L’investissement financier initial est très
humaines dédiées, organisées et en capacité important (pour mettre en œuvre l’outillage,
de traiter toutes les alarmes reçues par les recruter et former les ressources, conduire
outils de collecte les études et exécuter la réalisation).
• Les équipes du service connaissent mieux • De fait, la pression pour être en capacité de
les infrastructures et les applications montrer le ‘ROI’ d’un tel service est
supervisées et sont donc à même de qualifier également très importante.
plus efficacement les alarmes remontées • Le recrutement d’analyste SOC et d’expert
• Les solutions/outils dédiées sont plus en sécurité est un véritable défi et peut
flexibles et plus facilement paramétrables. prendre un certain temps.
• Les scénarios de menaces et les objectifs de • Les attaques large échelle, ciblant ou ayant
sécurité sont considérés de façon précise. ciblées, plusieurs autres Entreprises ne
• La communication (investigation) et seront sans doute pas perçues par un SOC
l’escalade sont plus rapides (puisqu’utilisant focalisé sur la supervision d’un périmètre
les outils de communication de l’Entreprise) interne
• Les journaux d’événements et tous les
éléments de suivi des alarmes et incidents
sont tous stockés en interne.
36
Tableau 2 : SOC Externalises
Avantages Inconvénients
• L’investissement initial est plus raisonnable • Les opérateurs distants ne connaitront jamais
tant sur le plan technique qu’humain. aussi bien les infrastructures et applicatifs que
• Le service est généralement proposé à des opérateurs agissant au sein de l’Entreprise.
plusieurs acteurs du même domaine. Ceux-ci • L’externalisation d’un service de sécurité
bénéficient de fait de l’expertise des analystes essentiel comme le SOC peut avoir un impact
pour le secteur d’activité concerné. négatif sur le « moral » des personnels IT de
• La mutualisation des couts opérés par les l’Entreprise.
acteurs MSSP leur permet de proposer des • Sans contrat spécifique, les ressources du
modèles de SOC moins chers que les versions MSSP peuvent être mutualisées avec d’autres
internalisées. acteurs parfois concurrents.
• Il n’y a pas de limite à la croissance forte et • Les données internes de l’Entreprise sont
soutenue du modèle (sous réserve de capacité envoyées à l’extérieur sans contrôle possible a
du MSSP). priori. Une erreur de manipulation est tout à
• Le MSSP met tout en œuvre pour se doter des fait probable.
expertises les plus pointues sur les outils de • Toutes les données ne sont pas
collecte et de traitement. systématiquement archivées (sauf cadre
contractuel particulier).
• Le service fourni par un MSSP est plus
difficilement paramétrable et ajustable aux
réels besoins de sécurité et aux scénarios de
menaces. Les approches sont généralement
standard (tout en étant précise et efficace).
• La clause de réversibilité doit être étudiée avec
soin pour permettre de changer
d’acteurs/opérateur en cours ou en fin de
contrat.
37
L’architecture d’un SOC est composée d’une première phase qui consiste à la collecte des
journaux d’événements sur les applications et équipements grâce à un collecteur, ces journaux
d’événements sont envoyés directement au traiteur de flux et d’évènements. La deuxième phase
est l’ensemble des mécanismes qui consiste à traiter les journaux afin de dégager incidents de
sécurité par le biais des processors. Après identification et la prise en charge de l’alerte, la
dernière phase est le reporting qui consiste à faire un rapport d’activité sur l’incident.
L’architecture fonctionnelle est illustrée sur le schéma ci-dessous.
Selon l’ENISA, un CSIRT est défini comme une équipe d’experts en sécurité
informatique ayant pour mission principale de répondre aux incidents en proposant les services
nécessaires au traitement des attaques et en aidant leurs parties prenantes à restaurer les
systèmes qui en ont fait l’objet.
La limite entre SOC et CSIRT n’est pas toujours évidente à tracer. Seul un modèle de
gouvernance et des responsabilités clairement établies permettent de partager détection,
38
réaction et suivi des incidents. Les adhérences entre le modèle de sécurité de l’entreprise et
l’organisation de l’entreprise peuvent constituer un frein supplémentaire au partage des tâches
et responsabilités (il n’est pas rare que les fonctions/rôles des deux entités soient portées par les
mêmes personnes).
Il est cependant communément admis que le SOC est responsable de la gestion des
vulnérabilités, de la détection et de la qualification des incidents de sécurité alors que le CSIRT
est responsable de la gestion de crise cyber (notion plus large que la réaction à un incident de
sécurité) et de la veille autour des cybers menaces (y compris les analyses forensics).
Si la limite entre les deux entités n’est pas clairement définie, les adhérences et
interfaces n’en sont que plus nombreuses. Ainsi, en considérant la chaîne plus détaillée
présentée ci-dessous, le curseur du partage des missions est laissé à l’appréciation de
l’organisation. L’efficacité de la sécurité dépend de la complétude de la chaine et non de la
répartition des missions.
39
En complément, il est primordial de bien organiser le ou les passages de témoins
(qualifié et quantifié les informations transmises) entre les différents acteurs responsables des
missions. Toutes les interactions entre les missions et activités doivent être prises en compte et
pas seulement les grandes interfaces.
Si le traitement et la veille sont généralement confiés au CSIRT, il faut noter que l’objectif est
que le SOC gagne en maturité et en efficacité au fur et à mesure du traitement des incidents. La
façon la plus simple d’atteindre cet objectif est de constituer des fiches de retours d’expériences
(REX ou REEX) à l’issue de toute intervention du CSIRT. Ainsi, au fur et à mesure, si un
incident est enregistré à propos de technologies, produits ou attaques connues, et que celui-ci
fait l’objet d’une fiche ou procédure qui permet le traitement de l’incident, le SOC pourra
dérouler la chaine sans avoir à solliciter l’entité CSIRT. Selon ce modèle de maturité, le CSIRT
n’est alors sollicité (en escalade) qu’en cas de nouvelle attaque (inédite) nécessitant une
expertise spécifique. Le CSIRT pilote alors la résolution le temps de pouvoir industrialiser la
remédiation.
Le tableau ci-dessous propose une répartition typique des activités. Comme précisé dans les
paragraphes ci-dessus, chaque organisation est libre d’adapter les missions des entités SOC et
CSIRT du moment que la chaine de traitement est considérée de bout en bout.
40
Tableau 3 : Répartition des activités SOC/CSIRT
SOC CSIRT
41
2.2.3. Journaux, événements, alertes et incidents
Pour éviter toute confusion dans la suite de ce document, les définitions des termes « journaux
/ enregistrements », « événements », « alerte » et « incident » sont proposées ci-dessous :
Constituant les logs d’un système actif, ces journaux sont généralement conservés à des fins
d’exploitation ou d’investigation. Ils sont parfois les seuls éléments (à charge) qui peuvent être
utilisés en cas de comportement anormal ou suspicieux d’un système. Ils sont donc
généralement protégés voire séquestrés pour être utilisés en tant que preuve.
Etant donné que tous les systèmes, et leurs composants (et leurs sous-composants) génèrent des
traces, des enregistrements et des journaux, le défi consiste à déterminer le bon compromis
entre la granularité (aussi appelée verbosité) des éléments produits par rapport à l’utilisation
qu’un SOC peut en faire.
2.2.3.2. Evènements
42
sécurité de l'information ou un échec des mesures de sécurité ou encore une situation inconnue
jusqu'alors et pouvant relever de la sécurité.
2.2.3.3. Alerte
2.2.3.4. Incident
Toujours selon la norme ITIL, un incident est une interruption non planifiée d’un
service, une réduction de la qualité d’un service ou la défaillance d’un élément du système. Un
incident est associé à un impact négatif (perçu ou non) sur la qualité de service globalement
perçue par les utilisateurs du système. Un incident est généralement (mais pas toujours)
caractérisé par une série d’alertes. Il est généralement enregistré, analysé et traité sur la base
des éléments d’information le constituant. Un incident appelle une réponse.
43
Dans le contexte de la sécurité des systèmes d’information, la norme ISO 27000 (2.21) définit
un incident comme un ou plusieurs évènements liés à la sécurité de l'information indésirables
ou inattendus présentant une probabilité forte de compromettre les activités de l'organisation et
de menacer la sécurité de l'information.
La chronologie suivante peut être établie :
Les incidents peuvent être catégorisés par le SOC ou le CSIRT, selon des critères propres à
l’organisation, pour permettre un reporting à plus haut niveau et, in fine, outiller le pilotage de
la sécurité des S.I.
Afin de garder l’intégrité des propos concernant les lois et les atteintes prises ici au Sénégal,
nous avons jugé nécessaire d’être fidèle au document c’est pour cette raison que nous avons fait
44
des prises de capture d’écran de la source au lieu de copier ou rédiger ces lois. La documentation
sur les Lois est énorme du coup nous avons juste pris une partie nous informant sur ce qu’il faut
savoir pour tous individus utilisant les technologies de l’information et de communication. Voir
les images ci-dessous.
45
FIGURE 16 : LOI SUR LA CYBERCRIMINALITE AU SENEGAL
46
2.2.4.2. Recommandation de l’ANSSI et CNIL
Recommandation du CNIL
• Le prestataire doit être une entité ou une partie d’une entité dotée de la personnalité
morale de façon à pouvoir être tenu juridiquement responsable de sa prestation.
• Le prestataire doit respecter la législation et la réglementation en vigueur sur le territoire
national.
• Le prestataire doit décrire l’organisation de son activité de détection des incidents de
sécurité auprès du commanditaire.
47
• Le prestataire a, en sa qualité de professionnel, un devoir de conseil vis-à-vis du
commanditaire.
• Le prestataire doit assumer la responsabilité des activités qu’il réalise pour le compte du
commanditaire dans le cadre de sa prestation et en particulier les éventuels dommages
causés au commanditaire. À ce titre, le prestataire doit préciser les types de dommages
concernés et les modalités de partage des responsabilités dans la convention de service,
en tenant compte de toutes les éventuelles activités sous-traitées.
• Il est recommandé que le prestataire garde la responsabilité des actions qu’il effectue
lors de la prestation de son propre fait.
• Le prestataire doit souscrire une assurance professionnelle couvrant les éventuels
dommages causés au commanditaire et notamment à son système d’information dans le
cadre de sa prestation. Le prestataire doit s’assurer du consentement du commanditaire
avant toute communication d’informations obtenues ou produites dans le cadre de sa
prestation. Le prestataire doit garantir que les informations qu’il fournit, y compris la
publicité, ne sont ni fausses ni trompeuses.
Technologies
Autrement dit, l’ensemble des moyens techniques utilisés pour collecter, corréler, stocker et
établir un rapport sur les événements de sécurité. Les outils de sécurité du SOC sont le SIEM
(Security Information and Event Management) le scanner de vulnérabilité…
Processus
48
Ressources humaines
49
2.3.1. Technologies
2.3.1.1. SIEM
Il assure la collecte et l’analyse des traces d’activités (logs, netflows, etc.) des hôtes et des
applicatifs de l’infrastructure pour assurer à l’exploitation une vision unifié du pilotage de la
sécurité du système d’information.
Une solution SIEM est une association des fonctions SIM (Security Information Management)
et SEM (Security Event Management) au sein d’un système unique de gestion de la sécurité.
Le rôle du SIM et du SEM se chevauchent parfois comme pour la collecte par exemple, mais
ils assurent chacun des fonctions bien particulières.
50
Le rôle du SIM est de gérer l’historique des traces :
• Il permet de stocker des volumes très importants de données brutes peu structurées
(issues généralement du découpage des journaux)
• Il propose parfois un format de normalisation mais ce format est généralement très
simpliste et proche de syslog
• Il offre des capacités d’indexation et de recherche à fin d’analyse et de forensic
• C’est un outil plutôt destiné aux opérateurs de niveau 2 et aux experts
51
En ajoutant ces deux fonctions, la conclusion montre que le SIEM permet l’identification et
l’analyse des événements de sécurité.
Entre autres le SIEM engendre une panoplie de fonctionnalité, parmi ceux nous allons citer et
définir quelques-unes : collecte, normalisation, agrégation, corrélation, reporting,
archivage.
• La collecte
La construction du système de collecte est une activité très dépendante de la technologie des
éléments collectés et des solutions de collecte elles-mêmes, le collecteur peut être en intérieur
ou à l’extérieur du SOC, dans le cas où le collecteur est chez les clients, les journaux
d’événements sont envoyés au SOC. La collecte d’évènement doit être faite via un canal
sécurité de bout en bout pour assurer la confidentialité et l’intégrité des journaux d’événements.
Dans le cadre de la mise en place d’un SOC, la collecte des données (les flux réseaux, les
serveurs les firewalls les routeurs les journaux systèmes les base de données les applications.)
doit être réalisée dans l’objectif d’alimenter le service de supervision.
• La normalisation
La normalisation des traces collectées au travers d’analyseurs spécifiques, offre une corrélation
multicritères standardisées (métadonnées : date, heure, IP(s), port et services…). Les traces
brutes sont stockées sans modification pour garder une valeur juridique. De nombreux
analyseurs natifs (varie en fonction des éditeurs) sont disponible pour les solutions éditeurs et
Open-Source. Dans le cas échéant la création d’un analyseur spécifique pour des éléments à
raccorder au SIEM est réalisable (offre une grande flexibilité d’intégration).
• L’agrégation
Les plates-formes SIEM collectent des données provenant de milliers de sources différentes,
car ces événements fournissent les données dont nous avons besoin pour analyser la santé et la
sécurité de l’environnement de nos clients. L'agrégation est le processus consistant à transférer
52
des données et des fichiers journaux à partir de sources disparates dans un dépôt commun. Les
données collectées sont placées dans un magasin de données homogènes, généralement des
dépôts de fichiers plats ou des bases de données relationnelles.
• La corrélation
• Le reporting
Le reporting effectue une création de rapports et tableaux de bord afin d’obtenir une visibilité
sur la sécurité et la conformité de notre système d’information. Les capacités de reporting sont
à maintenir régulièrement par le SOC dans le but de :
- Mettre en avant les indicateurs de sécurité les plus pertinents.
- Créer des tableaux de bord spécifiques pour les exploitants afin de répondre à leurs
attentes par rapport au SIEM et à les impliquer dans le projet.
• L’archivage
Les solutions SIEM sont utilisées également pour des raisons juridiques et réglementaires. Un
archivage à valeur probante permet de garantir l'intégrité des traces. Les solutions peuvent
utiliser des disques en RAID, calculer l'empreinte, utiliser des chiffrements pour garantir
l'intégrité des traces.
53
Les limites d’un SIEM
Dans un système informatique, les logs permettent de savoir ce qui vient de se passer ou s’est
passé il y a un certain temps. Le rôle d’un SIEM (Security Information Management System)
est d’exploiter les logs.
Sur le plan temporel, le SIEM va donc pouvoir avoir un impact sur les phases de
Détection/Réaction et d’Investigation. Mais, sans source d’information complémentaire, il sera
peu utile sur la phase de Prévention/Protection. Un SIEM n’est qu’un outil d’analyse de logs.
Sa capacité est limitée aux informations fournies dans les logs. De fait, il ne sera pas en mesure
de détecter des incidents ne laissant pas de traces sur les équipements dont les logs sont
collectés. Cela le rend relativement inutile pour détecter un problème sur un système
d’exploitation ou pour diagnostiquer l’impact d’un incident sur un système (telles une intrusion,
l’installation de rootkit, l’altération du système ou des applications.
Bien qu’étant la pierre angulaire d’un SOC, le SIEM a besoin de solutions complémentaires
pour avoir une vision d’ensemble des faiblesses d’un SI et des événements s’y produisant. Les
principaux outils sont les solutions de contrôles de conformité en continue, de vulnérabilités et
d’intégrité. Ces solutions permettent de fournir des informations sur les brèches utilisables par
un attaquant, et suivent et tracent en profondeur les variations des systèmes ou les signes
d’actions potentiellement illicites.
Un SOC est une organisation nécessitant des compétences sécurité dont le rôle principal est
celui d’analyste. Il est possible de répartir les compétences d’analyste sur plusieurs personnes,
mais le SOC nécessite les compétences suivantes :
Compétences en management
• Le leadership
• Les connaissances en SOC
• Savoir gérer l’équipe
• Le savoir d’écoute
• Connaissances des certifications requises pour un équipe SOC
54
Compétences techniques
• Expérience en administration des systèmes.
Compétences en sécurité
• Connaissance des principales techniques d’attaques liées aux scénarios visés.
Analyste de niveau 1
Les analystes de niveau 1 dégrossissent et pré-qualifient les alertes, leurs premières tâches
consistent à formaliser et enregistrer le contexte de l’incident. Les principales activités de
l’analyste niveau 1 :
55
Le traitement des alertes par les analystes de niveau 1 doit rester dans une fourchette d’une à
15 minutes. Au-delà l’escalade de niveau 2 est à solliciter, les analystes de niveau 1 ne doivent
pas s’engager dans des analyses poussées pour garantir le traitement d’un maximum
d’événements de sécurité et d’alertes.
Analyste de niveau 2
Un analyste niveau 2 est un rôle qui suppose plus d’expérience et d’expertise que le niveau 1.
Il peut être cumulé selon l’organisation avec d’autres rôles exigeant aussi une expertise sécurité
importante. Les principales activités de l’analyste niveau 2 :
Analyste de niveau 3
Analyste de niveau 3 fournit de support au niveau 2 et possède en plus de l’expertise sur les
méthodes d’attaques. Il est capable de mener des investigations plus poussées que l’analyste de
niveau 2 et de faire de la recherche exploratoire sur l’ensemble des événements. Il doit effectuer
les tâches suivantes :
• Avoir une approche proactive
• Enrichir les règles du SIEM
• Chasse et traque les indices de comportements anormaux
• Pouvoir détecter les failles zero-day.
• Réalise une veille active sur les menaces et vulnérabilités en relation avec le CERT.
56
Responsable SOC
Il s’agit du poste de chef de l’équipe SOC qui allie des qualités managériales et techniques. Le
responsable du SOC fédère l’équipe et assure une bonne communication entre le SOC et les
autres entités de l’entreprise.
Ses principales activités sont :
• Management de l’équipe opérationnelle du SOC
• Définition et suivi des indicateurs de performance du SOC et mise en place des tableaux
de bord.
57
2.3.3. Gestion des Processus
De nombreux processus peuvent être définis au sein d’un SOC en fonction de son catalogue de
services. Nous allons se limiter à décrire les processus liés à la supervision des événements de
sécurité :
Processus de détection
Processus de qualification
Processus de veille
Le processus de détection est principalement axé sur les moyens de supervision des
risques et la réception d’alertes. Néanmoins la supervision opérationnelle des propres
équipements d’un SOC doit également faire partie de ce processus. La première activité
composant ce processus est de filtrer les évènements entrants pour ne retenir que les éléments
pertinents notamment suppression des faux positifs à partir des bases de connaissances du SOC
et d’opérer un tri selon des critères de pertinence de l’évènement.
Cette activité est à la charge d’un analyste dit de niveau 1, cette tache doit être rapide. Si
l’analyste niveau 1 ne peut effectuer un tri et communiquer de manière exploitable l’alerte au
processus de gestion d’incident (c’est-à-dire si l’alerte n’a pas déjà rencontrée et n’a pas de
procédure associée), il doit faire appel à un niveau 2.
58
• Dans le cas d’un incident de sécurité avéré, la détermination de la nécessite de passer
ces alertes à un processus de gestion d’incidents.
• L’isolation et la description des faux-positifs afin de les passer en entrée du processus
d’administration du SOC.
• Les investigations de qualification conduites par les analystes de niveau 2 conduisent :
- Soit à l’émission d’une alerte avérée à passer à un processus de gestion d’incident.
- Soit à la nécessite de procéder à d’avantage d’investigations ou de détecter d’autres
événements liés, ce qui renvoie en entrée du processus de détection.
59
2.3.4. Etude comparative et choix de solution
2.3.4.1. SIEM
L’objectif de ce chapitre parle des SIEM qui est la roue motrice du SOC, les critères de
choix de notre outil et des outils de scan de vulnérabilité
IBM Security SIEM QRadar est une solution propriétaire appartenant au constructeur /
éditeur IBM (International Business Machines Corporation), cette solution SIEM QRadar est
une plateforme de gestion de sécurité des réseaux et équipements qui offre une prise en charge
de la géolocalisation et de la conformité grâce à une combinaison de la connaissance de réseau
de flux, de la comparaison des événements de sécurité et de l'évaluation de la vulnérabilité des
actifs.
IBM SIEM QRadar consolide les données d'événements de journaux et de flux réseau à partir
de milliers de terminaux et d'applications distribués sur l'ensemble d'un réseau.
Il normalise et met en corrélation des données brutes pour identifier des infractions à la sécurité
et il utilise un moteur avancé Sense Analytics pour définir un comportement normal de base,
détecter des anomalies et des menaces avancées et supprimer des faux positifs. Qradar trie,
agrège, corrèle et affiche tous les événements de sécurité indépendamment des types
d'équipements surveillés.
• Collecte de données
La collecte de données constitue la première couche, où des données telles que des événements
ou des flux sont collectées depuis votre réseau. Le dispositif tout-en-un vous permet de collecter
les données directement depuis votre réseau
Après la collecte de données, dans la deuxième couche ou couche de traitement des données,
les données d'événement et de flux sont exécutées dans le moteur de règles personnalisées, qui
60
génère des infractions et des alertes, puis les données sont enregistrées dans l'espace de
stockage.
61
• Optimise la gestion des menaces tout en offrant un accès aux données détaillées et en
générant des rapports d'activité utilisateur.
• Opère sur les différents sites et dans les environnements de Cloud.
• Offre un accès aux données détaillées et génère des rapports d'activité utilisateur pour
aider à gérer la question de la conformité.
• Offre un partage de services et une console centrale qui permettent aux fournisseurs de
service de fournir des solutions de renseignement de sécurité de manière rentable.
Splunk
Splunk Enterprise Security (ES) est un SIEM fournissant des renseignements sur les données
machine générées par des technologies de sécurité, et notamment des informations concernant
les réseaux, les terminaux, les accès, les logiciels malveillants, les vulnérabilités et les identités.
Splunk dispose de deux produits, Enterprise et Cloud, pour la recherche, l'alerte, la corrélation
en temps réel et la visualisation pris en charge par un langage de requête. Ils sont utilisés par
les équipes de support informatique et d'applications pour la gestion des journaux, l'analyse, le
suivi et la recherche avancée et la corrélation.
Son offre SIEM peut être déployée en tant que logiciel, dans un cloud public ou privé. La licence
est basée sur le volume de données indexé. Elle permet de détecter les attaques internes et
externes et d'y réagir rapidement ; les équipes de sécurité peuvent ainsi gérer plus simplement
les menaces, minimiser les risques et assurer la protection de leur activité.
Splunk Enterprise Security rationalise l'ensemble des processus de sécurité au travers de tous
types d’organisations quels que soient leur taille et leur domaine d'expertise. Que ce soit pour
assurer une surveillance continue en temps réel, pour prendre rapidement en charge les
incidents, pour équiper un centre des opérations de sécurité (SOC), ou pour donner aux
décideurs une visibilité sur les risques encourus par leur entreprise, Splunk ES offre la flexibilité
nécessaire pour personnaliser des recherches de corrélations, des alertes, des rapports et des
tableaux de bord, afin de répondre à des besoins spécifiques.
62
Figure 22 : Les atouts de Splunk
Splunk Enterprise Security accompagne les organisations dans les processus suivants :
• Surveillance en temps réel : obtenez une vision claire de la sécurité de votre
organisation, élaborez simplement des vues personnalisées et explorez les incidents en
profondeur jusqu’aux événements bruts
• Hiérarchisation et action : bénéficiez d'une vue sur la sécurité de vos données afin de
renforcer vos capacités de détection et d'optimiser vos délais de prise en charge des
incidents
• Investigations rapides : utilisez des recherches ad hoc ainsi que des corrélations
statiques, dynamiques et visuelles afin d'identifier les activités malveillantes
• Investigations en plusieurs étapes : effectuez des analyses de faille et des investigations
afin de suivre la trace des activités dynamiques liées à des menaces sophistiquées
• Splunk ES peut être déployé sous forme de logiciel, de service cloud, dans un cloud
public ou privé, ou dans le cadre d'un déploiement hybride (à la fois en tant que logiciel
et dans le cloud).
63
Figure 23 : Les fonctionnalités de splunk
LogRhythm
Thoma Bravo a acquis une participation majoritaire dans LogRhythm en juillet 2018.
LogRhythm commercialise sa plateforme de SIEM sous la marque LogRhythm NextGen, dans
des versions destinées respectivement aux grandes entreprises (LogRhythm Enterprise) et aux
entreprises de taille moyenne (LogRhythm XM). Ces deux configurations sont dotées l’une
comme l’autre des composants supplémentaires System Monitor (SysMon Lite et Pro),
Network Monitor (NetMon et NetMon Freemium) et CloudAI. La solution de SIEM peut être
déployée en version logiciel, ou sous forme d’appliance physique ou virtuelle. La version XM
consiste en une appliance tout-en-un, tandis que les divers composants de la plateforme
LogRhythm peuvent être déployés de manière indépendante en fonction des besoins,
respectivement sur site, en mode IaaS et en mode hybride. De plus, la solution prend nativement
en charge le multi-tenant. LogRhythm Enterprise et XM sont proposées sous forme de licences
64
basées sur les messages par secondes (MPS) et par jour. Ces licences peuvent être perpétuelles
ou à durée déterminée, de même que les contrats passés à l’échelle de l’entreprise. System
Monitor base ses tarifs sur les agents, tandis que Network Monitor est facturé selon le débit en
giga-octets par seconde. Le tarif de l’UEBA (User and Entity Behavior Analytics) en français
Analyse du comportement de l’utilisateur dépend quant à lui du nombre d’identités sous
surveillance.
Les organisations en quête d’une solution de SIEM qui prenne nativement en charge le
monitoring réseau, les agents des points de terminaison, et l’analytics basé dans le cloud doivent
envisager le choix de LogRhythm.
LogRhythm adopte une approche basée sur un fournisseur unique. Celle-ci s’adresse aux
acheteurs qui veulent une solution dotée d’options complémentaires et autonomes pour la
surveillance du réseau et de l’hôte, assorties de fonctionnalités d’UEBA.
La solution de SIEM de LogRhythm est axée sur la facilité de déploiement et d’utilisation. Elle
met l’accent sur les éléments UX et UI de l’application. Elle se concentre aussi sur l’utilisation
de contenu pré-packagé lors des fréquentes mises à jour de contenu, et sur les actions
SmartResponse pour faciliter le processus de gestion des incidents. L’administration et
l’activation des cas d’utilisation sont facilitées par les services Co-Pilot pour l’administration,
l’implémentation de l’analytics et la création de contenu personnalisé.
LogRhythm a fait l’objet d’un regain d’intérêt de la part des clients de Gartner au cours des 12
derniers mois, notamment parce que les clients TPE et les petites entreprises achètent sa
solution de SIEM en même temps que ses services de SIEM gérés. Le fournisseur met à profit
et élargit son activité axée sur le canal des revendeurs, en particulier en Amérique du Nord, ce
65
qui semble être à l’origine de cette visibilité accrue. Les clients de Gartner ajoutent souvent
LogRhythm à leurs shortlists.
c) Réserves
LogRhythm n’a pas de magasin d’applications lui permettant de mettre en avant ses
partenariats technologiques et ses intégrations, que ce soit à l’adresse des utilisateurs ou à des
fins de marketing, contrairement aux fournisseurs de SIEM concurrents qui possèdent des
magasins d’applications en ligne.
Les clients se disent moins satisfaits quant aux tarifs et à la flexibilité contractuelle offerts par
LogRhythm par rapport à certains de ses concurrents.
Choix de l’outils
Nous avons choisi les trois leaders en solution propriétaire puis procéder à une étude
comparative en soulevant les forces les fonctionnalités leur limites de chacune d’elle pour en
choisir celle qui répond à nos besoins.
D’après Gartner 2018 et des années précédentes nous remarquons que les deux solutions
propriétaire IBM Security Qradar et Splunk demeurent des leaders les mieux réputés par rapport
à LogRhythm
66
Tableau 4 : Classement Gartner des outils SIEM
67
Selon Gartner, nous notons Qradar et Splunk ont un niveau de maturité largement supérieur à
la solution logRhythm. En ce sens notre étude comparative exclut systématiquement cette
solution, en résumant la comparaison entre les 2 solutions les plus utilisées sur le marché
(Qradar et Splunk) voir image ci-dessous.
68
Tableau 5 : Etude comparative sur l’accessibilité entre Qradar et Splunk
69
D’après le tableau de classement de Gartner nous remarquons qu’en 2017 IBM Security
Qradar est classé première par rapport à Splunk mais en 2018 Splunk le devance. Cependant
beaucoup d’entreprise utilise IBM Qradar vu que c’est un produit de IBM et disponible sur
boitier comparer à Splunk, mais son implémentation sur le matériel demande beaucoup de
ressources donc difficile de l’implémenter en simulation.
En résumé notre choix pour la mise en place du SIEM de notre SOC se porte sur Splunk.
Selon Forester, les vulnérabilités sont la première porte d’accès pour 53% des cyber-
attaques. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) préconise
l’ajout d’un scanner de vulnérabilité en continu comme bonne pratique de réduction de risques.
Ce type de solution permet une meilleure détection et une amélioration de la réaction face aux
menaces. Par ailleurs, maintenir ses systèmes en conformité permet d’en réduire le périmètre et
donc les vulnérabilités. Vérifier toute évolution de ces états facilite la réaction à un
dysfonctionnement ou à l’exploitation d’une brèche.
Nessus
70
identifie les services actifs, leurs versions. Nessus possède des plugins comme Hydra qui
permet de tester la robustesse des mots de passe des applications Web.
Nessus nous permet de faire des scans de vulnérabilités pour plusieurs machines, notamment
16 adresses IP pour version gratuite et illimité pour la version Pro.
Les principales caractéristiques de Nessus sont :
• Découverte d’actifs à haut débit
• Audit de la vulnérabilité
• Détection de malware/Botnets, etc…
• Configuration et audit de conformité
• Scan et audit des plateformes virtuelles et de cloud
• Etc…
Qualys
71
c) Les fonctionnalités de la solution
Les fonctionnalités des applications incluent la découverte et l'inventaire des actifs, la gestion
des vulnérabilités, la priorisation des mesures correctives, la surveillance de la conformité, la
sécurité des conteneurs, l'analyse des applications Web et le pare-feu, la surveillance de
l'intégrité des fichiers, l'indication de compromission, etc…
Cette solution engendre entre autres une panoplie de fonctionnalité, parmi ceux nous en
choisissons et citons quelques-unes :
• Découvrir et hiérarchiser tous les actifs réseau sans logiciel à installer ou à maintenir
• Identifier et résoudre de manière proactive les failles de sécurité
• Gérer et réduire les risques pour votre entreprise.
• Garantir la conformité aux lois, réglementations et politiques de sécurité de l’entreprise
• Intégrer des applications tierces et clientes via une API XML extensible
• Distribuer les mesures correctives via un moteur de workflow complet
72
Ikare
IKare automatise la mise en place des meilleures pratiques de sécurité et du Management des
Vulnérabilités. L’outil fournit à la fois une solution simple de monitoring de l’ensemble du
système d’information une gestion et un contrôle faciles des principaux facteurs de sécurité.
La solution de gestion des vulnérabilités IKare analyse les réseaux informatiques et détecte les
équipements mal configurés, les défaillances ou faibles mots de passe et les applications non
mises à jour. IKare aide aussi bien les petites que les grandes organisations à maintenir un
environnement informatique sécurisé. Elle effectue les évaluations en continue afin de détecter
les nouvelles vulnérabilités à temps, et permet d’accélérer l’atténuation ou la correction des
risques.
IKare permet de bénéficier d’un outil de surveillance sécurité très évolué propre à mener des
actions correctives efficaces et instantanées sur votre informatique. Grâce entre autres à son
moteur OpenVAS, IKare réduit jusqu’à 90% le taux de vulnérabilité informatique de
l’entreprise (90% est aussi le taux de réussite des audits intrusifs réalisés par les Experts de
ITrust chez ses clients).
IKare automatise les processus de gestion et contrôle des vulnérabilités dans toute
l'organisation. Ainsi quelle que soit la taille de votre organisation, IKare permet de garder le
contrôle et de gérer efficacement la sécurité de votre réseau. IKare inclut les caractéristiques
suivantes :
• Découvertes des actifs réseaux
• Monitoring sécurité
• Gestion des vulnérabilités
• Analyse des menaces
Cette dernière requiert une multitude d’avantage parmi ceux nous en citons 5 :
73
• Dégager votre responsabilité en cas de compromission des données.
• Viabiliser et faire chuter vos coûts opérationnels.
74
Tableau 7 : Etude Comparative sur les solutions de vulnérabilités
Scanner de vulnérabilité Nessus Qualys Guard Ikare
Vulnerability
Format des fichiers de CSV et PDF HTML, XML et PDF XML, PDF, CSV et
rapport HTML
75
Choix de solution de scan de vulnérabilité
Suite à la comparaison des outils de scanner de vulnérabilité, le choix s’est porté sur
deux outils Nessus et ikare. Nessus est installable sous forme de logiciel sur un PC en local et
à partir de ce dernier nous avons l’habilité de scanner tous les équipements connectés sur le
réseau.
A propos d’ikare, il est installable suite à un téléchargement de l’iso sur leur plateforme. Lors
de la configuration de ikare, cette dernière récupère une adresse ip dans le réseau et obtient une
vision globale de notre parc informatique qui nous permettra de scanner tous équipements.
Maintenant, Nessus s’en charge du scanner de vulnérabilités des équipements mobiles
(ordinateurs portables, smartphones etc..), en parallèle ikare s’en charge de scanner les serveurs
car le scanner des serveurs nécessite du temps et peut agir sur la disponibilité des ressources.
76
Troisième partie
Implémentation
77
III. Implémentation
La figure ci-dessus présente notre architecture réseau de manière générale. Les éléments
figurant sont l’internet représenté par des nuages connecter directement à notre routeur. Le IPS
(Intrusion Protection System), le IDS (Intrusion Detection System), les contrôles applicatifs, le
filtrage web et le VPN (Virtual Private Network) est gérer par notre UTM (Unified Threat
Management) Fortigate qui englobe beaucoup de fonctionnalité.
Notre réseau est séparé en deux zones : une zone DMZ (Demilitarized Zone) où se trouve nos
serveurs et une Zone interne composé de l’espace utilisateur et l’espace server dont note notre
fameux SIEM.
Le serveur qui héberge notre SIEM est un serveur physique avec un système d’exploitation
linux et une distribution de CentOS 8.
78
Cout de déploiement
Tout déploiement de solution nécessite un coût. Même si ce dernier ne peut pas être déterminé
de manière exacte, une estimation du prix des outils et des ressources peut se faire de manière
approximative.
Rappelons que le SOC est composé de Managers (responsable SOC, …), d’Analystes (Niveau
1, 2, 3), Pentesters, …
A part les ressources humaines on a aussi les technologies qui sont l’ensemble des outils qui
permettent de mener à bien le travail d’un SOC.
De ces outils on retrouve les SIEMs, les outils de scan de vulnérabilité, les outils de gestion des
processus, les systèmes de détections, d’alertes …
Pour estimer le cout d’un SOC on a le salaire de chaque ressource humaine qui peut varier de
800.000 à 4.000.000 même plus dépendant de la grille salariale de l’entreprise.
Chaque technologie aussi à un prix qui est disponible sur devis sur le site de l’outil.
79
Selon le site tekkit.io, pour une surveillance et analyse 24/7 via un SOC externalisé, il faut
compter un budget entre 300k€ à 700k€ alors qu’une internalisation du SOC coûte entre
1 000k€ et 2 000k€ ce qui inclut le développement et le maintien de la plateforme mais pas les
coûts technologiques.
Tout d’abord, pour aider Nessus à bien faire son travail et éviter de rechercher et de scan les
hots inactifs qui pourrait agir sur l’utilisation des ressources, nous souhaitons utiliser Angry IP
Scanner qui est un logiciel libre de balayage de port utilisé pour rechercher la présence de
périphérique informatique connecté à un réseau TCP/IP appelé.
Il suffit juste de lui renseigner une adresse réseau ou une plage d’adresse puis il s’en charge
directement du travail, en effet nous voyons sur la figure ci-dessous qu’en moins de 7s il a pu
scanner plus 20 hôtes dont il trouve 5 hôtes actifs avec leurs adresses IP et leurs noms respectifs.
80
Figure 26 : Résultat de Angry IP Scanner sur notre réseau
Suite à une bonne installation de Nessus sur machine Windows, la figure ci-dessous nous
permet d’accéder au tableau de bord de Nessus après avoir bien renseigner le login et password.
81
Figure 27 : Interface de connexion de Nessus
Lors d’une connexion, nous accédons directement à l’interface graphique qui demeure
complète, simple et intuitive avec ces différents services (Policies, Scan, Plugins Rules) et les
assistances natives permettant de mettre en place des stratégies qui peuvent être utilisés à des
fins de scanner de vulnérabilité ou d’audit. Voir figure ci-dessous
82
Figure 28 : Template des scans sur Nessus
La figure ci-dessus engendre plus de 20 assistants de stratégies native déjà préconfigurer selon
nos besoins d’audit ou scan qui pourrait nous aider à bien faire notre travail. Il nous suffit de
cliquer sur une assistante pour s’imprégner de la documentation. Nous pouvons ensuite
sectionner selon notre choix de travail étant donné que chaque assistant diffère de l’autre.
Dans notre cas nous souhaitons faire un scan avancé du réseau local, afin de recenser toutes les
vulnérabilités existant au sein de notre parc informatique et apporter une couche corrective.
83
3.1.1.2. Création de scan avancer
Pour ce faire nous choisissons l’assistance ‘’Advanced Scan’’ pour effectuer un scan avancé de
notre parc informatique.
Il engendre trois onglets de configuration : les paramètres généraux, les privilèges et les Plugins.
Voir figure ci-dessous
Lorsqu’on accède à l’interface Advanced Scan, nous pouvons renseigner les paramètres
de bases tels que :
• Le nom ‘’ouse_scan_avancée ‘’
• La description
• Le dossier de contenance
84
• Les cibles (les 4 adresses IP actifs trouvées en amont par le logiciel Angry IP Scanner)
voir la figure ci-dessus.
La rubrique suivante désignant programme, nous permet de planifier le moment des scans soit
(journalière ou hebdomadaire, mensuelle, trimestrielle ou annuelle) en plus de la date et l’heure
et les nombres de répétitions (par exemple : on peut configurer de telle sorte que chaque jour à
09h 30 se déclenche un scan automatique du réseau) voir figure ci-dessous.
85
Figure 32 : Onglet programme
Sur les rubriques suivantes nous pouvons renseigner notre email pour recevoir les notifications
sous forme de rapport soit en type CSV, pdf, html.
La rubrique découverte gère les ping avec les différents protocoles utilisées (ARP, TCP, ICMP
etc…) suivi d’un balayage de port et la découverte de serveur.
Sur la partie évaluation existe une répertoire Windows permettant de scanner de manière
approfondie en interrogeant (SystemRoot, ProgramFiles, ProgrammeData, Analyse des profils
d’utilisateurs) des cibles Windows. (Voir Annexe)
L’onglet plugin
86
Figure 33 : Onglet plugin
Après avoir paramétrer les informations sur le scan, nous cliquons sur « Save » (Enregistrer).
Une fois la soumission effectuée, le scan commence immédiatement si « Now » (Maintenant)
a été sélectionné, avant que l'affichage ne revienne à la page générale « Scans » (Scans).
87
Figure 34 : Lancement du scan
88
Figure 35 : Résultat de notre scan
Remarque : Ces résultats nous donnent l’avantage d’une aperçue sur les faiblesses dans notre
parc informatique, qui doivent être remédier avec des méthodes correctives (mise à jour,
patch,etc…) le plus rapidement possible avant les malveillant exploitent les failles.
Suite à une bonne installation et configuration de Splunk sur Centos (Voir Annexe) des captures
ont été prise pour expliquer l’utilité de chaque partie c’est à dire le rôle de quelques onglets lors
de l’exploit de Splunk.
Maintenant, nous allons passer directement à la connexion de l’interface graphique après avoir
bien renseigner le login et password afin d’accéder aux différents services de ce dernier.
89
Figure 36 : Interface de connexion de splunk
L'onglet Tableau de bord est l'onglet par défaut qui s'affiche lorsque nous nous connectons. Il
nous fournit un environnement d'espace de travail prenant en charge plusieurs tableaux de bord
sur lesquels nous pouvons afficher nos vues de sécurité des réseaux, d'activité ou de données
collectées par Splunk.
90
Figure 37 : Tableau de bord de splunk
91
Cet onglet nous permet d’ajouter des données à splunk telles que des données cloud, de réseau,
de système d’exploitation et de sécurité.
Sur le ruban il y’a le nom de l’administrateur du SIEM, les messages générer par notre
plateforme, paramètres, activités et l’onglet aide.
92
Figure 40: Ruban de notre SIEM
L’onglet paramètre engendre beaucoup de services. C’est à ce niveau qu’on va administrer notre
serveur, la gestion des utilisateurs, des environnements distribuées (forwadeurs, indexeur…)
93
3.2.1.3. Onglet recherche
Onglet recherche nous permet d’effectuer toutes formes de recherche sur notre SIEM
94
Figure 43: Informations sur les rapports
Pour que splunk puisse recevoir les évènements du réseau ou bien d’un hôte il faut que ce
dernier installe le Splunk universal forwader expliqué par le paragraphe ci-dessous.
Les transitaires fournissent une collecte de données fiable et sécurisée à partir de diverses
sources et fournissent les données à Splunk Enterprise ou Splunk Cloud pour indexation et
analyse. Il existe plusieurs types de redirecteurs, mais le plus courant est le redirecteur universel
ou splunk universal forwader (SUF) en Anglais, un agent à faible encombrement, installé
directement sur un point de terminaison. Les redirecteurs envoient automatiquement des
données basées sur des fichiers de toute sorte à l'indexeur Splunk. Dans la plupart des cas, il
s'agit d'une sorte d'événements de journal, mais les fichiers peuvent contenir toutes les données
dans n'importe quel format.
95
Les redirecteurs universels sont gérés de manière centralisée, ne nécessitent aucune
configuration et sont transparents pour les opérations des terminaux. Les grands clients Splunk
déploient des milliers de redirecteurs universels pour collecter des données à partir des serveurs,
des applications, des points de terminaison des employés et de tout système Windows ou Unix,
quel que soit leur emplacement.
Le redirecteur universel :
• Transfère les données des systèmes distants en toute sécurité en temps réel.
• Dispose une surcharge de ressources minimale et un impact sur les performances des
terminaux.
• Prend en charge des milliers de formats de données machine.
• Fournit de nombreuses fonctionnalités telles que SSL, la compression et la mise en
mémoire tampon.
Après une bonne installation de SUF sur les machines à supervisé on peut voir les évènements
et le forwadeur correspondant sur notre plateforme splunk.
96
Figure 44: Vu sur les évènements sur notre plateforme
97
Figure 46: Informations des évènements sur un forwadeurs
Le travail consiste à contrôler une machine d’un employé à distance de manière illégale par le
biais d’un attaquant possédant un PC (Kali Linux) et enfin observer la réaction de Splunk par
rapport à l’attaque.
98
Figure 47 : Adresse IP de l’Attaquant
3.3.1. Démarche
En résumé nous allons créer un payload autrement dit un script permettant de se connecter sur
la session de la cible et même contrôler le PC afin d’usurper certaines informations sensibles.
En occurrence lors de la création du payload, il est essentiel de renseigner l’adresse IP de
l’attaquant comme étant le serveur de la machine cible, en plus ajouté le mode (reverse_tcp)
qui permet à l’attaquant d’être en mode sous écoute de la cible c’est à dire la cible cherchera
toujours à joindre l’attaquant et lui envoyé ces informations sensibles.
99
Figure 48 : Procédure de création d’un payload
100
Figure 49 : Procédure de création d’un payload (suite)
101
Figure 51 : Payload créer
Après avoir installé le payload sur la cible, l’attaquant peut voir les sessions ouvertes par notre
payload à distance (voir image suivante)
102
Figure 53 : Réaction de splunk
En somme, notre objectif a été bien atteint car notre SIEM a pu détecter le trafic anormal entre
l’attaquant et sa cible de manière proactive et la remédiation va être effectuer le plus rapidement
possible grâce au plan mise en place
103
Conclusion
Un SOC est avant tout une équipe d’experts en sécurité. Le succès de son intégration et
de son maintien en conditions opérationnelles dépendra certes des moyens techniques mis en
œuvre mais avant tout du maintien de la compétence humaine mobilisée. Le SOC doit s’inscrire
dans la stratégie globale de sécurité du SI et disposer de missions claires et établies pour pouvoir
être dans un premier temps évalué et pour établir ses limites. Il ne doit pas seulement être un
moyen de contrôle en aval mais aussi un moyen de prévention positionné en amont.
Le travail technique consistait tout d’abord à évaluer l’ensemble des risques auxquels
notre réseau est confronté et définir ses processus critiques, puis passer directement à
l’implémentation de notre fameux SIEM Splunk, et enfin la dernière étape consistait à tester la
robustesse de détection de notre SOC en simulant une attaque interne et voir la réaction de cette
dernière face au scénario.
La réalisation d’un Proof of Concept (POC) sur quelques cas d’utilisation simple nous
a permis de valider les prérequis techniques (collecte des traces, horodatage des évènements)
et organisationnels (processus de gestion d’incident, communication, escalade), ainsi que
l’outillage SOC (SIEM, Scan de vulnérabilité). En effet, l’amélioration continue est une
caractéristique majeure du SOC, avec les évolutions permanentes des règles de détection pour
la prise en compte de nouvelles menaces et/ou retour d’expérience suite à incident, la réduction
des faux positifs, sans oublier la documentation (fiches réflexe, processus de gestion
d’incidents, …).
En guise de perspective, nous comptons mettre en place une grande plateforme ‘SOC-
As-A-Service’ basée sur le cloud, dont le but est de se rapprocher aux petites et moyennes
entreprises disposant d’infrastructure modeste en leur proposant une solution ‘SOC on demand’
afin d’assurer la sécurité des SI mais aussi l’intégration de l’intelligence artificielle qui prend
du galon dans les SOC.
104
Bibliographie
1. Livres :
Livre blanc Tous ce que vous avez toujours voulu s’avoir sur les SOC
2. Mémoire :
Etude et mise en place d’une PKI avec les outils Open Source de Iliassou DIALLO
xii
Webographie
https://www.scidev.net/afrique-sub-saharienne/fosse-numerique/article-de-fond/afrique-et-
cybercriminalite-le-cas-du-senegal.html [Date de dernière consultation le 17/11/2019]
https://www.mitre.org/publications/all/ten-strategies-of-a-world-class-cybersecurity-
operations-center [Date de dernière consultation le 12/09/2019]
https://www.informatiquenews.fr/soc-role-cybersecurite-selon-gartner-54048 [Date de
dernière consultation le 08/11/2019]
https://www.riskinsight-wavestone.com/2020/07/booster-sa-cybersecurite-grace-a-du-
machine-learning%e2%80%af-2-2/ [Date de dernière consultation le 10/02/2020]
https://www.wooxo.fr/Wooxo-news/Le-blog-Wooxo/Nouvelle-reglementation-RGPD-et-
protection-des-donnees-ce-que-les-entreprises-doivent-savoir [Date de dernière consultation le
02/10/2019]
https://www.techniques-ingenieur.fr /normes-iso-2700x-vers-la-gouvernance-de-la-securite-
des-systemes-d-information-g9060/ [Date de dernière consultation le 24/09/2019]
xiii
Annexe
Ci-dessous un petit résumé de la procédure d’installation de Splunk sur notre système linux
Centos.
Extraction de splunk
Vérification de la création
xiv
Copie de notre l’extrait splunk sur notre dossier splunk
Acceptation de licence
Interface d’accueil de connexion de splunk
Annexe 2 installation de splunk universal forwader
Installation terminer
Annexe 3 : installation de Nessus
A la mémoire de .......................................................................................................................... i
Dédicace ..................................................................................................................................... ii
Remerciements .......................................................................................................................... iii
Avant-Propos ............................................................................................................................. iv
Sommaire ................................................................................................................................... v
Glossaire .................................................................................................................................... vi
Listes des figures ...................................................................................................................... vii
Liste des tableaux ...................................................................................................................... ix
Résumé ....................................................................................................................................... x
Abstract ..................................................................................................................................... xi
Introduction générale .................................................................................................................. 1
I. Cadre théorique et méthodologique ................................................................................... 3
1.1. Cadre théorique............................................................................................................ 3