Memoire Ousmane SYLLA

REPUBLIQUE DU SENEGAL
UN PEUPLE-UN BUT-UNE FOI
Ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation

Direction de L’Enseignement Supérieur Privée
Institut Supérieur d’Informatique
Mémoire de Fin de Cycle Pour l’Obtention du Master Professionnel

Parcours : Sécurité des Systèmes d’Informations et monétiques
Option : Sécurité des Systèmes d’Informations
Sujet :
Etude et mise en place d’un centre

opérationnel de sécurité (SOC)
Présenté et Soutenu par : Sous la Direction :

M. Ousmane SYLLA Monsieur Samba SOUARE
Spécialité : Ingénieur en sécurité
Année Académique : 2018-2019

A la mémoire de
A Dieu pour la vie et de ses propositions qu’il fait, un homme qui à contribuer à notre
éducation, à notre formation et à notre réussite et qui n’est plus là malheureusement :
Mon Père Alioune Sylla qui n’est pas là pour voir le travail de son Cadet. Un père qui était un
exemplaire, respectueux, travailleur. Nous pensons à toi papa et on aimerait qu’aujourd’hui que
tu serais là pour le résultat de ton fils.
Paix à ton âme et que Dieu t’accueille au paradis et à côté du Prophète Mohamed (Psl). Amen !
i
Dédicace
Je dédié ce mémoire à ma mère, qui a œuvré pour ma réussite, de par son amour, son
soutien, de l’argent venu de sa part avec tous les sacrifices consentis et ses précieux conseils.
Pour toute son assistance et sa présence dans ma vie, reçois à ce travail aussi modeste soit-il
l’expression de mes sentiments et mon éternelle gratitude. Que Dieu te laisse devant nous afin
que toutes les ambitions envers vous soient réaliser.
Mon frère, mon tuteur Abdou Sylla qui peut être fier et trouver ici le résultat des longues années
de sacrifices et de m’aider à avancer dans la vie lui à qui je peux dire m’a assuré toute ma
scolarité du collège au lycée et m’a aussi hébergé depuis que je suis à Dakar. Puisse Dieu faire
en sorte que ce travail porte son fruit. Merci pour les valeurs nobles, l’éducation, le soutient et
les conseils permanent venu de toi.
Mes sœurs qui n’ont jamais cessé d’être un soutien moral et financier particulièrement à Yacine
et à Bouyock à mes Oncles et cousins vraiment merci de tous ceux que vous faite pour moi
Votre frère Ousmane vous sera très reconnaissant.
ii
Remerciements
Après avoir rendu grâce à Dieu et prier au nom du prophète (PSL), la réalisation de ce
mémoire a été possible grâce au concours de plusieurs personnes à qui on voudrait témoigner
toute notre reconnaissance.
On voudrait tout d’abord adresser toute notre gratitude à notre encadreur M. Samba SOUARE,
pour sa patience, sa disponibilité et surtout pour ses judicieux conseils, qui ont contribué à
alimenter notre réflexion pour la réalisation de ce mémoire.
On remercie ma Mère pour lui dire que jamais on l’oubliera quelques soit la situation. Vraiment
une mère pas comme les autres, qui est à ma disposition totale. J’oublie même parfois que j’ai
des frères grâce à tous ce que tu fais pour moi vraiment je ne pleure pas mon défunt père.
On désire aussi remercier tout le corps professoral de l’ISI particulièrement à M. Thierno

SAMB, à M. NDIAYE qui nous ont beaucoup aidé et soutenu durant tout notre cursus scolaire.
A un frère Ahmed Jamil BA je peux dire grâce à lui la rédaction de ce mémoire a été possible.
On remercie aussi tous les professeurs qu’on a vécus durant toute notre cursus à ISI
Monsieur Ahmed Khlil YOUSSEF merci beaucoup vraiment si nous aimons la sécurité
aujourd’hui c’est grâce à vous, M. Ahmed KHALIFA lui aussi très disponible, M. Massamba
LO et Dr. Omar DIAO aussi. Merci vraiment de tous ce que vous avez fait pour nous.
On tient aussi à remercier tous les étudiants de la promo 2019 de l’ISI particulièrement à nos
amis de cœur à qui ont à tous partagé toutes ses années ensemble, à toutes les amies et
connaissance qui ont participé à la réalisation de ce mémoire, merci à tous.
iii
Avant-Propos
L'éducation en général et la formation professionnelle en particulier, figure depuis

l'indépendance parmi les objectifs prioritaires de la stratégie de développement économique.
Reconnu dans le domaine des TIC L'institut dispose d'un centre de formation dédie à la
formation professionnelle et dispense des formations académiques, en cours du jour et en cours
du soir dans le département informatique comme dans la gestion.
L’institut délivre quatre diplômes DTS (Bac +2), BTS (Bac + 2), licence (Bac +3) et Master
(Bac + 5) dans le département Gestion comme dans le département Informatique et ils
dispensent sur plusieurs filières.
Pour l’obtention d’un diplôme ISI exige aux étudiants la rédaction de mémoire de fin de cycle.
C’est dans ce cadre que nous avons élaboré ce document qui a pour sujet : Etude et mise en
place d’un centre opérationnel de sécurité.
iv
Sommaire
Introduction générale .................................................................................................................. 1

I. Cadre théorique et méthodologique ................................................................................... 3
1.1. Cadre théorique............................................................................................................ 3
1.2. Cadre méthodologique ................................................................................................. 6
1.2.2. Délimitation du champ d’étude ................................................................................... 8

1.2.3. Techniques d’investigation........................................................................................... 8
II. Etude détaillés .................................................................................................................. 11

2.1. Généralité sur la sécurité ........................................................................................... 11
2.2. Généralités sur le SOC .............................................................................................. 31
2.3. Les composants du SOC ............................................................................................... 48
III. Implémentation............................................................................................................. 78
3.1. Scan de vulnérabilité .................................................................................................... 80
3.2. Outil SIEM ................................................................................................................... 89
3.3. Scenario (simulation d’une attaque interne) ................................................................. 98
Conclusion .............................................................................................................................. 104
v
Glossaire
ANSSI Agence National de la Sécurité Des Systèmes D’Informations
CERT Computer Emergency Response Team
CIRCL Computer Incident Response Centrer Luxembourg
CNIL Commission Nationale De L’informatique Et Des Libertés
CSOC Cyber Security Operations Centrer
DDoS Distributed Denial Of Service
EPS Event Per Second
FPM Flow Per Minute
HIDS Host-Based Instrusion Detection Sytem
IP Internet Protocol
SEM Security Event Management
SI Système d’Information
SIEM Security Information And Event Management
SIM Security Information Management
SLA Service Level Agrement
SOC Security Operations Center
SSH Secure Shell
SSI Sécurité Des Systèmes D’informations
TLS Transport Layer Security
VPN Virtual Private Network
WAN Wide Area Network
UEBA User and Entity Behavior Analytics
vi
Listes des figures
Figure 1 : Vue global d’un SOC................................................................................................. 8

Figure 2 : Les critères de sécurité ............................................................................................. 12
Figure 3 : Domaine d’application de la sécurité....................................................................... 13
Figure 4 : Le système de chiffrement symétrique .................................................................... 18
Figure 5 : Le système de chiffrement asymétrique .................................................................. 19
Figure 6 : Différents composants d’une politique de sécurité .................................................. 22
Figure 7 : Le modèle PDCA (adapté à partir de la norme ISO 27001) .................................... 25
Figure 8 : Déroulement d’une attaque de Man In the Middle .................................................. 27
Figure 9 : Déroulement d’une attaque de Man In the Middle (Suite) ...................................... 27
Figure 10 : Déroulement attaque XSS...................................................................................... 29
Figure 11 : Fonction du SOC ................................................................................................... 33
Figure 12 : Architecture fonctionnelle ..................................................................................... 38
Figure 13 : Limites de responsabilité SOC/CERT ................................................................... 39
Figure 14 : Complémentarité entre SOC et CSIRT.................................................................. 39
Figure 15 : Chronologie (journal/évènement/alerte/incident) .................................................. 44
figure 16 : loi sur la cybercriminalité au sénégal ..................................................................... 46
Figure 17 : Loi sur la cybercriminalité (suite).......................................................................... 46
Figure 18 : Les Composants du SOC ....................................................................................... 49
Figure 19 : Association d’un SIEM .......................................................................................... 50
Figure 20 : Rôle du SIEM sur le SOC ...................................................................................... 51
Figure 21: Présentation des composants de Qradar ................................................................. 61
Figure 22 : Les atouts de Splunk .............................................................................................. 63
Figure 23 : Les fonctionnalités de splunk ................................................................................ 64
Figure 24 : Interconnexion de QualysGuard ............................................................................ 72
Figure 25 : Les étapes de scan sur IKARE............................................................................... 74
Figure 26 : Résultat de Angry IP Scanner sur notre réseau...................................................... 81
Figure 27 : Interface de connexion de Nessus .......................................................................... 82
Figure 28 : Template des scans sur Nessus .............................................................................. 83
Figure 29 : Création de scan avancée ....................................................................................... 84
Figure 30 : Onglet de configuration de Nessus ........................................................................ 84
Figure 31 : Les paramètres de bases de notre scan .................................................................. 85
vii
Figure 32 : Onglet programme ................................................................................................. 86
Figure 33 : Onglet plugin ......................................................................................................... 87
Figure 34 : Lancement du scan ................................................................................................ 88
Figure 35 : Résultat de notre scan ............................................................................................ 89
Figure 36 : Interface de connexion de splunk .......................................................................... 90
Figure 37 : Tableau de bord de splunk ..................................................................................... 91
Figure 38 : Onglet présentation ................................................................................................ 91
Figure 39 : Onglet entrées des données .................................................................................... 92
Figure 40: Ruban de notre SIEM ............................................................................................. 93
Figure 41: Onglet paramètre .................................................................................................... 93
Figure 42: Onglet recherche ..................................................................................................... 94
Figure 43: Informations sur les rapports .................................................................................. 95
Figure 44: Vu sur les évènements sur notre plateforme ........................................................... 97
Figure 45: Vu des forwadeurs sur notre SIEM ....................................................................... 97
Figure 46: Informations des évènements sur un forwadeurs .................................................... 98
Figure 47 : Adresse IP de l’Attaquant ...................................................................................... 99
Figure 48 : Procédure de création d’un payload .................................................................... 100
Figure 49 : Procédure de création d’un payload (suite) ......................................................... 101
Figure 50 : Renseignement de l’adresse IP de l’attaquant et du port ..................................... 101
Figure 51 : Payload créer ....................................................................................................... 102
Figure 52 : Vu des sessions ouverts sur notre session cible ................................................... 102
Figure 53 : Réaction de splunk ............................................................................................... 103
viii
Liste des tableaux
Tableau 1 : SOC Dédiés/Internalises ....................................................................................... 36

Tableau 2 : SOC Externalises................................................................................................... 37
Tableau 3 : Répartition des activités SOC/CSIRT ................................................................... 41
Tableau 4 : Classement Gartner des outils SIEM .................................................................... 67
Tableau 5 : Etude comparative sur l’accessibilité entre Qradar et Splunk ............................... 69
Tableau 6 : Etude comparative sur la capacité entre Qradar et Splunk .................................... 69
Tableau 7 : Etude Comparative sur les solutions de vulnérabilités .......................................... 75
Tableau 8 : Tableau des couts de déploiement ......................................................................... 79
ix
Résumé
Un Security Operations Center (ou SOC) est un centre piloté par une équipe d'analystes
et proposant des services de surveillance, de détection et de réaction aux incidents de sécurité.
L'efficacité de la plateforme sur laquelle est basé le SOC (SIEM), utilisée dans la surveillance
des menaces réseaux, dépend de sa capacité à détecter la survenance des attaques ou des
menaces.
Cependant il peut être extrêmement difficile de détecter et d'analyser des menaces en constante
évolution, et encore plus de transformer les données collectées en informations exploitables
afin d’identifier les plus dangereuses avec le moins de faux-positifs possible. Pour garantir
l'intégrité des systèmes d’information des entreprises, il est inévitable d'améliorer constamment
l'infrastructure de cybersécurité existante et de rechercher de nouvelles approches.
Ce document est subdivisé en trois grandes parties dont la première intitulé cadre théorique et
méthodologique où il s’agit de la contextualisation, la problématique, de la présentation d’un
SOC entre autres. La deuxième partie s’accentue carrément sur une étude détaillée du sujet
composé de la généralité sur la sécurité des systèmes d’informations, de la généralité sur le
SOC, et de composants d’un SOC. La dernière partie se charge de l’implémentation de notre
outil SIEM et des outils de scans de vulnérabilité et terminer avec une simulation d’attaque afin
de voir la réaction de notre plateforme face à l’attaque.
x
Abstract
A Security Operations Center (or SOC) is a center run by a team of analysts and offering
monitoring, detection and response services to security incidents. The effectiveness of the
platform on which the SOC (SIEM) is based, used in monitoring network threats, depends on
its ability to detect the occurrence of attacks or threats.
However, it can be extremely difficult to detect and analyze ever-changing threats, let alone
transform the data collected into actionable information to identify the most dangerous ones
with the fewest possible false positives. To ensure the integrity of corporate information
systems, it is inevitable to constantly improve the existing cyber security infrastructure and seek
new approaches.
This document is divided into three main parts, the first of which is entitled theoretical and
methodological framework where the contextualization, the problematic, the presentation of an
NCS among others is discussed. The second part focuses squarely on a detailed study of the
subject composed of the generality on the security of information systems, of the generality on
the SOC, and of components of a SOC, and the last part takes care of the implementation of our
SIEM and vulnerability scanning tools and finishes with an attack simulation in order to see the
reaction of our platform to the attack.
xi
Introduction générale
Aujourd’hui Les cyber menaces entrent de façon pérenne dans la réalité quotidienne des
entreprises. Les cyberattaques sont et seront de plus en plus fréquentes, multiples et évoluées.
Elles s’inscrivent dans la durée et ne ciblent plus seulement les systèmes technologiques mais
aussi directement les personnes. L’écosystème complet de l’entreprise s’en trouve alors
directement menacé.
Face à ces menaces croissantes contre nos systèmes et nos données, le concept de
cybersécurité est né. La cybersécurité consiste en l’effort continu de protection des systèmes
mis en réseau, et des données, contre leur utilisation non autorisée. Parmi les stratégies de
défenses contre les cyber-attaques, l’une des plus pertinentes est la mise en place d’un centre
opérationnel de sécurité (COS) ou SOC (Security Operations Center).
Un SOC peut être défini comme une équipe organisée, et hautement qualifié, dont la
mission est de surveiller, prévenir, détecter, analyser, et réagir aux incidents de cybersécurité,
et d'améliorer continuellement la posture de sécurité d'une organisation à l'aide des technologies
et de procédures bien définies. Le but de ce mémoire est de mettre en place ce centre
opérationnel de sécurité.
Ce document est structuré en trois parties :

La première partie est intitulé cadre théorique et méthodologique ou il s’agit de parler du
contexte général, de la problématique, objectifs et autres.
La deuxième partie endosse l'étude détaillée qui à son tour assume les concepts et fondamentaux
du SOC, les composants (SIEM et gestions de vulnérabilité), étude comparative des outils et
notre choix
La troisième partie s’accentue sur le déploiement de l’outil SIEM choisi et les outils de
détection de vulnérabilités.
1
Première Partie
Cadre théorique et méthodologique
2
I. Cadre théorique et méthodologique
1.1. Cadre théorique
Ce chapitre s’accentue sur le contexte général, la problématique, la pertinence du sujet,

et les objectifs de notre travail.
1.1.1. Contexte générale
Dans un monde hyper connecté, les cyberattaques ne cessent de se multiplier et

deviennent toujours plus complexes à appréhender. Un défi de nouvelle génération auquel les
entreprises sont confrontées. Il est loin le temps où les sociétés pouvaient se contenter d’un
antivirus et d’un firewall pour protéger leur système d’information. Les menaces ont évolué,
les surfaces d’attaques ont augmenté, et les systèmes se sont complexifiés. La nécessité de se
protéger est donc plus forte que jamais. Aujourd’hui, tous s’accordent à dire que la question
n’est plus de savoir si une attaque aura lieu mais quand et comment !
Les connaissances et compétences mises en œuvre dans le cade de ses attaques démontrent que
les acteurs malveillants n’hésitent plus à investir dans des moyens techniques et humains
importants pour atteindre leurs objectifs.
L’actualité démontre que l’activité des entreprises attaquées est fortement perturbée, voire
interrompue de façon durable. Les impacts financiers, organisationnels, juridiques et d’image
peuvent être très importants, voire fatidiques lorsqu’ils font vaciller la confiance entre
l’entreprise et ses clients, ses partenaires ou ses salariés dans le cas de vol ou divulgation de
données personnelles, stratégiques ou critiques. Les dispositifs existants de gestion de crise et
de continuité d’activité doivent être renforcés pour répondre aux risques associés.
Ces observations s’inscrivent dans une ère de transformation numérique de l’entreprise sous-
tendue par l’apparition de nouvelles technologies comme la mobilité, le cloud et l’ouverture
des données de l’entreprise à ses clients et partenaires via ses propres systèmes et/ou les réseaux
sociaux. La multiplication et la diversification des systèmes techniques mis en œuvre induit une
augmentation sans précédent du nombre de vulnérabilités. La surface d’attaque de l’entreprise
tend ainsi à croitre de façon très importante.
3
1.1.2. Problématique
La cybercriminalité est désormais agile, industrialisée, structurée et professionnelle.

Elle exploite toutes les vulnérabilités et failles techniques, organisationnelles et humaines.
Aujourd’hui nous faisons face à des attaques plus sophistiquées et généralisées tel que le
ransomware Wannacry et NotPetya dont le but est de chiffrer les systèmes d’exploitation de
type Windows et par la suite une demande de rançon pour la récupération de la clé. Les attaques
informatiques sont considérées par les pays en voie de développement comme une réalité mais
ces pays n’ont pas les moyens considérables pour y faire face à cette guerre à la fois
économique, politique, activiste et criminel.
Revient à mettre en place une chaine de sécurité de l’information et parmi les éléments de cette
chaine figure le centre opérationnel de sécurité (SOC).
La problématique revient à répondre les questions suivantes :
• Qu’est-ce qu’un SOC, quelles sont ses missions ?
• Comment s’intègre-t-il dans la stratégie de défense de l’entreprise ?
• Quelles sont les fonctions d’un SOC ?
• Comment un SOC nous permet de surveiller la sécurité, de prévenir les attaques,

d’analyser et de réagir aux incidents en temps réel
1.1.3. Objectifs de recherche
L’objectif général de ce travail est l’étude et la mise en place un centre opérationnel, et

les objectifs spécifiques s’alignent sur l’étude des composants du SOC à s’avoir les outils SIEM
qui sera la roue motrice de notre SOC, les technologies d’un SIEM et les ressources humaines.
En plus l’intégration de nouveau modules sur le SIEM permettra au SOC d’être plus intelligent,
performant, proactif, efficace, mature en fonction du temps.
4
1.1.4. Pertinence du sujet
Le sujet de la supervision des Systèmes d’Information (S.I.) revient sur le devant de la

scène notamment en raison de nouvelles réglementations auxquelles sont soumis certains
domaines d’activité, mais également en raison des menaces accrues qui pèsent sur les S.I. et qui
ont des impacts de plus en plus graves. Engagés dans une transition et transformation
numériques, les S.I. se retrouvent pour la plupart au contact d’Internet, siège de la
cybercriminalité et des « cyber-convoitises », l’exposition aux risques est certaine.
De nos jours, même le Sénégal est une cible idéale pour les cybercriminels par son évolution
technologique rapide. En effet, depuis 2011 le Sénégal a subi plusieurs attaques informatiques
qui concernait notamment les banques, les microfinances et le gouvernement.
• 2011 : Joni-Joni lié à la poste par contrat de support de réseau de transfert d’argent a été
victime d’un piratage, un accès frauduleux qui a fait perdre à Joni-Joni 260 millions
[https://www.seneplus.com/societe/des-malfaiteurs-pompent-260-millions-joni-joni]
• 2014 : Le système informatique des douanes victimes d’une attaque dont le but des
pirates étaient d’accéder au système de paiement des douanes et mêmes aux données du
Ministères des Finances et du Budget selon [Mediafrik].
• 2015 : Les Anonymous piratent le site de l’Agence de l’Informatique de l’Etat et du
Ministère de l’Elevage et des Productions Animales (MEPA)
[http://www.rfi.fr/afrique/20150120-charlie-hebdo-anonymous-pirate-site-adie-
senegal-interdiction-caricature]
• 2017 : Le Sénégal a été touche près de 3 heures après l’apparition du ransomware
Wannacry [orbit informatique (Oumou informatique)].
• 2019 : Les banques sénégalaise ne finissent décidemment pas de susciter l’appétit des
cybercriminels. C’est la banque de Dakar BDK qui a cette fois visées par une tentative
d’intrusion dans son système informatique par des arnaques, après Ecobank (323
millions FCFA) soutirés frauduleusement et UBA en l’espace de quelques semaines
[https://www.sikafinance.com/marches/senegal-la-banque-de-dakar-visee-par-une-
cyberattaque_16595]
[https://www.sikafinance.com/marches/marchessenegal-323-millions-fcfa-soutires-
frauduleusement-a-ecobank_16410]
5
Le Sénégal comme tous les autres pays de l’Afrique de l’Ouest sont en retard pour mettre en
place un niveau de sécurité approprié pour la protection des entreprises et des gouvernements.
Les entreprises, les banques, les instituts financières doivent être systématique à l’abri de ces
attaques.
Malgré les mesures existantes pour la sécurisation des systèmes d’information (Firewall, IDS,
IPS, UTM), les menaces et les attaques persistes ce qui montre l’insuffisance de ces outils pour
la sécurisation des systèmes d’information d’où l’importance de disposer d’un centre
opérationnel de sécurité.
L’objectif du premier chapitre dénommer cadre théorique s’est accentué sur le contexte général,
la problématique, la pertinence du sujet, les objectifs de notre travail et la pertinence du sujet
Le chapitre qui suit abordera le cadre méthodologique.
1.2. Cadre méthodologique
Ce chapitre dénommé Cadre méthodologique évoquera les sections suivantes à s’avoir

la présentation générale d’un SOC, la délimitation du champ d’étude, les techniques
d’investigations et difficultés rencontrés au cours de ce mémoire.
1.2.1. Présentation d’un SOC
Un SOC est avant tout une équipe d’experts en sécurité chargée de surveiller, détecter,
analyser et qualifier les évènements de sécurité. Cette équipe assure le pilotage des réactions
appropriées aux incidents avérés de sécurité. Pour certaines organisations, cette équipe
administre et contrôle au quotidien des dispositifs et dispositions de sécurité.
Un SOC a pour objectif de réduire à la fois la durée et l’impact des incidents de sécurité qui
tirent profit, perturbent, empêchent, dégradent ou détruisent les systèmes dédiés aux opérations
habituelles et standards. Cet objectif est atteint grâce à une surveillance efficace et à un suivi
des incidents de bout en bout.
6
Le SOC a la responsabilité, d’une part, de déclarer qu’il y a effectivement un incident sur le SI,
et, d’autre part, il est responsable de la conduite des opérations qui lui permettront de déclarer
l’incident clos. Du point de vue opérationnel c’est le couple des entités SOC et CERT/C-SIRT
qui assure la résolution d’un incident.
Par ailleurs, selon les choix organisationnels, le SOC peut également assurer les missions
suivantes :
• Suivi des vulnérabilités (de la détection à la correction)
• Veille en sécurité informatique
• Sensibilisation des utilisateurs en fonction des observations faites sur le SI
• Expertise et conseil auprès des équipes informatiques
• Pilotage de la mise en œuvre des correctifs de sécurité
Compte tenu de la variété des missions, des impacts technologiques ainsi que des impacts
organisationnels majeurs, la mise en œuvre d’un SOC représente un réel investissement en
temps et ressources pour l’entreprise concernée ; même avec l’aide d’un prestataire qualifié
(type MSSP). C’est aussi pourquoi il est généralement nécessaire que l’entreprise atteigne une
taille critique avant de consacrer des ressources internes à l’opération de son propre SOC.
Dans le cas des entreprises constituées de plusieurs entités, il est fréquent que le SOC soit porté
par l’une d’entre elle de façon transverse pour les autres.
La présentation de SOC est illustrée sur le schéma ci-dessous.
7
Figure 1 : Vue global d’un SOC
1.2.2. Délimitation du champ d’étude
A considérer que ce travail consiste à mettre en place un centre opérationnel de sécurité.
Pour implémenter notre SOC, nous avons utilisé une architecture virtualisée basée sur
des outils de simulations et de virtualisation, comme VMWare Workstation, Gns3 …
1.2.3. Techniques d’investigation
La nécessité de réunir des informations dans le cadre de la réalisation et la rédaction de

notre mémoire nous a emmené à faire recours à l’observation par l’étude de cas, la recherche
documentaire et au guide d’entretien comme techniques d’investigation.
En effet, cette phase de collecte des données nous a permis de faire un tour d'horizon sur les
connaissances déjà acquises sur la question mais aussi d’orienter nos recherches sur les
mémoires déjà réalisés dans le domaine de la supervision de la sécurité.
8
Les entretiens effectués auprès de certains professeurs du domaine nous ont permis de collecter
un ensemble d’informations pour mieux contextualiser le sujet et délimiter notre champ
d’étude. Cela nous a aussi permis de connaitre l’architecture du réseau existant et de déceler les
manquements qui constituent le point focal de notre étude.
En plus les articles et revues trouvés sur le WEB et sur le réseau social professionnel LinkedIn
nous ont permis d’enrichir davantage notre document.
D’autre part nous avons eu recours au guide d’entretien qui est un genre d’interview,
d’échanges que nous avons effectué avec des personnes qui détiennent beaucoup
d’informations sur la question traitée afin de recueillir plus de détails en ce qui concerne la
compréhension de notre étude.
1.2.4. Difficultés rencontrées
Toute étude où rapport est confronté à des difficultés, celles entrevues au cours de cette
mémoire sont nombreuses et variées :
La plupart de la documentation trouvée est en anglais et parfois difficile de comprendre.
De nombreuses entreprises au Sénégal n’ont pas de centre opérationnel de sécurité donc

difficile de voir des professionnels dans ce domaine.
Le fait de travailler sur une architecture virtuelle pose beaucoup de problèmes surtout avec les
ressources de l’hyperviseur vu que beaucoup de machine ou serveurs doivent être installer.
Le temps aussi pose beaucoup de problèmes vu qu’on doit faire beaucoup de chose.
Ce chapitre nous a permis de présenter le SOC de manière générale, de délimiter notre champ
d’étude, de déceler les techniques d’investigations et enfin lister les difficultés rencontrées au
cours de ce mémoire.
9
Deuxième Partie
Etude détaillés
10
II. Etude détaillés
2.1. Généralité sur la sécurité
Un système d’information est un ensemble d’entité permettant la communication. Cette

communication est possible grâce à un réseau qui est composé d’équipements (serveurs,
routeurs, ordinateurs, routeurs, switch…) et de protocoles (TCP, UDP …).
Mettre en place un réseau n’est plus un défi mais assurer la sécurité devient important. Ce
pendant avant d’assurer la sécurité il faut s’assurer la sûreté qui peut être défini comme la
capacité d’un système à lutter contre les problèmes accidentels ou naturel.
Ce chapitre traite de la sécurité de la manière générale.
2.1.1. Objectifs de la sécurité
D’après la 5e édition du livre Cybersécurité, sécurité informatique et réseau Solange

Ghernaouti, la notion de sécurité fait référence à la propriété d’un système, qui s’exprime
généralement en termes de disponibilité(D), d’intégrité(I) et de confidentialité(C).
Ces critères de base (dits critères DIC), sont des objectifs de sécurité que la mise en œuvre de
fonctions de sécurité permet d’atteindre.
Des fonctions additionnelles peuvent offrir des services complémentaires pour confirmer la
véracité ou l’authentification d’une action ou d’une ressource (notion d’authentification) ou
encore pour prouver l’existence d’une action à des fins de non répudiation ou d’imputabilité
ou de traçabilité (figure 3).
• Disponibilité : La disponibilité d’une ressource est relative à la période de temps

pendant laquelle le service qu’elle offre est opérationnel. Il ne suffit pas qu’une
ressource soit disponible, elle doit pouvoir être utilisable avec des temps de réponses
acceptables.
• Intégrité : Le critère d’intégrité des ressources physiques et logique (équipements,
données, traitement, transactions) est relatif au temps au qu’elles sont demeurées
11
intactes, qu’elles n’ont pas été détruites ou modifies à l’insu de leurs propriétaires tant
de manière intentionnelle qu’accidentelle.
• Confidentialité : La notion de confidentialité est liée au maintien du secret, elle est
réalisée par la protection des données contre une divulgation non autorisé (notion de
protection en lecture).
La non répudiation est le fait de ne pouvoir nier ou rejeter qu’un évènement (action,
transaction) a lieu. A ce critère de sécurité peuvent être associée les notions d’imputabilité, de
traçabilité ou encore parfois d’audibilité.
Attribuer une action à une entité déterminé (ressource ou personne) relève de l’imputabilité,
qui peut être réalisé par un ensemble de mesure garantissant l’enregistrement fiable
d’informations peinâtes relatives à un évènement.
La traçabilité permet de reconstituer une séquence d’évènement à partir des données

numériques laissées dans les systèmes lors de leurs réalisations. Cette fonction comprend
l’enregistrement des opérations, de la date de leurs imputations.
Figure 2 : Les critères de sécurité
12
2.1.2. Domaines d’applications
Pour une organisation, toutes les sphères d’activités de l’informatique et des réseaux de
télécommunication sont concernées par la sécurité d’un système d’information.
En fonction de son domaine d’application, la sécurité peut se décliner en :
• Sécurité physique et environnementale

• Sécurité de l’exploitation
• Sécurité des réseaux
• Sécurité logique, sécurité applicative et sécurité de l’information
• Cyber sécurité
Figure 3 : Domaine d’application de la sécurité
2.1.2.1. Sécurité physique et environnementale
La sécurité physique et environnementale concerne tous les aspects liés à la maitrise des
systèmes et de l’environnementale dans lequel ils se situent.
On peut retenir que la sécurité physique repose essentiellement sur :
13
• La protection des sources énergétiques et de la climatisation
• La protection de l’environnement.
• Des mesures de gestion et de contrôle des accès physique aux locaux, équipement et
infrastructures et des sources énergétiques.
• Le marquage des matérielles pour notamment contribuer à dissuader le vol de matériel
et éventuellement le retrouver.
• L’usage d’équipements qui possèdent un bon degré de sureté de fonctionnement et de
fiabilité.
La redondance physique des infrastructures et des ressources énergétiques
2.1.2.2. Sécurité de l’exploitation
La sécurité de l’exploitation doit permettre un bon fonctionnement opérationnel des

systèmes informatiques. Cela comprend la mise en place d’outils et de procédures relatifs aux
méthodologies d’exploitation, de maintenance, de test, de diagnostic, de gestion des
performances, de gestion des changements et des mises à jour.
Les points clés de la sécurité de l’exploitation sont les suivants
• Gestion du parc informatique

• Gestion des configurations et des mises à jour
• Gestion des incidents et suivi jusqu’à leur résolution
• Plan de sauvegarde
• Plan de secours
• Plan de continuité
• Plan de test
• Inventaires réguliers et, si possible, dynamiques
• Automatisation, contrôle et suivi de l’exploitation
• Analyse des fichiers de journalisation et de comptabilité
• Gestion des contrats de maintenance
La maintenance doit être préventive et régulière, et conduire éventuellement à des actions de

réparations, voire de remplacement des matériels défectueux.
14
2.1.2.3. Sécurité de l’information
a.) Sécurité Logique
La sécurité logique fait référence à la réalisation de mécanismes de sécurité par logiciel

contribuant au bon fonctionnement des programmes, des services offerts et à la protection des
données.
Elles s’appuient généralement sur :
• La qualité des développements logiciels et des tests de sécurité

• Une mise en œuvre adéquate de la cryptographie pour assurer intégrité et confidentialité
• Des procédures de contrôle d’accès logique, d’authentification et de contrôle d’accès
• Des procédures de détections de logiciels malveillants, de détection d’intrusions et
d’incidents
• Un dimensionnement suffisant des ressources, une certaine redondance ainsi que sur
des procédures de sauvegarde et de restitution des informations sur les supports fiables,
éventuellement spécialement protégés et conservés dans les lieux sécurisés pour les
applications et donnés critiques
b.) Sécurité Applicative
Elle repose essentiellement sur l’ensemble des facteurs suivantes :
• Une méthodologie de développement (en particulier le respect des normes de

développement propres à la technologie employés aux contraintes d’exploitabilité)
• La robustesse des applications
• Des coroles programmes
• Des jeux de test
• Des procédures de recettes
• L’intégration de mécanisme de sécurité, d’outils d’administration et de contrôle de
qualité dans les applications
• La sécurité des pro logiciels (choix de fournisseurs, interfaces sécurité)
• L’élaboration et la gestion des contrats
• Un plan de migration des applications critiques
• La validation et l’audit des programmes
15
• La qualité et la pertinence des données
• Un plan d’assurance sécurité
Bien protéger l’information, c’est avant tout comprendre son rôle, son importance stratégique
et l’impact des décisions qu’elle permet de prendre.
C’est également assurer son exactitude et sa pérennité pour le temps nécessaire à son
exploitation et à son archivage. Une classification des données permet de qualifier leur degré
de sensibilité (normale, confidentielle, etc.) et de les protéger en fonction de ce dernier. Ainsi,
à partir d’un tableau mettant en relation le type de données et leur degré de sensibilité, la nature
et le nombre de protections peuvent être détermines et des mesures de sécurité ad hoc
développées. Par ailleurs, du point de vue de l’utilisateur, une bonne sécurité doit lui assurer le
respect de son intimité numérique (privacy) et la protection de ses donnes personnelles.
2.1.2.4. La sécurité des infrastructures de télécommunication
La sécurité des télécommunications consiste à offrir à l’utilisateur final et aux

applications communicantes, une connectivité fiable de « bout en bout ». Cela se passe par la
réalisation d’une infrastructure réseau sécurisé au niveau des accès au réseau et du transport de
l’information (sécurité de la gestion des noms et des adresses, sécurité du routage, sécurité des
transmissions à proprement parler) et cela s’appuie sur des mesures architecturales adaptés,
l’usage des plateformes matérielles et logicielles sécurisés et une gestion de réseaux de qualité
2.1.2.5. La sécurité des applications et des contenus
Pour apporter des correctifs de securité, de nouvelles versions de logiciels de messagerie

integrent des capacités de chiffrement et de signature electronique pour assurer la
confidentialité, l’integrité et l’authentification des informations echangés et des correspondants.
Le protocole initial de messagerie SMTP (Simple Mail Transport Protocol) de l’environnement

internet a été enrichi au cours du temps pour supporter, d’une part des contenus de message
multimedia et d’autre part, pour integrer des mecanismes de secureiteee . Plusieurs sont
disponibles actuellement , parmi eux, citons :
16
• Le protocole S/MIME (Secure Multipupose Internet Mail Extensions) est une
extension securisé, integrant un processus de certification, du protocole de messagerie
MIME, orienté support de messages multimedia.
• Le protocole PEM (Privacy Enhancement for Internet Electronic Mail) est un standard
proposé par l’IETF (Internet Engineering Task Force) pour chiffrer des messages
electroniques. Il combine l’usage des algorithme RSA et DES. Assez complexe, ce
système est relativement peu utilisé.
Le protocole PGP (Pretty Good Privacy) est une solution connue des usagers pour rendre
confidentielle la transmission de message et authentifier l’émetteur
2.1.2.6. Le chiffrement
Les chiffrements des données sont l’outil fondamentale de la sécurité informatique.

Elles sont la science qui consiste à écrire l’information (quelle que soit sa nature : voix, son,
texte, données, image, fixe ou animée) pour la rendre inintelligible à ceux ne possédant pas les
capacités de la déchiffrer. En effet, la mise en œuvre de la cryptographie permet de réaliser les
services de confidentialité de donnés utilisés, transmises ou stockés, des services de contrôle
d’intégrité de données et d’authentification d’une entité, d’une transaction ou opération.
La cryptographie permet aussi la signature numérique, l’horodatage, l’échange et la gestion des

clés, le tatouage numérique, la génération d’aléas, le hachage, etc.
Les principaux systèmes cryptographiques
La cryptographie classique ou traditionnelle inclut tous les mécanismes et algorithme basées

sur des fonctions mathématiques ou logiques. Elle se compose principalement de deux systèmes
de chiffrement : les systèmes de chiffrement symétriques, les systèmes de chiffrement
asymétrique et les fonctions de hachage.
a) Le système de chiffrement symétrique
Pour chiffrer ou déchiffrer un texte, il faut une clé et un algorithme de chiffrement. S’il s’agit
de la même clé pour effectuer ces deux opérations, le système de chiffrement est qualifié de
17
symétrique. L’émetteur et le récepteur doivent posséder et utiliser la même clé secrète pour
rendre confidentielles des données et pour pouvoir les comprendre
Figure 4 : Le système de chiffrement symétrique
b) Le système de chiffrement asymétrique
Pour ce type de chiffrement il faut disposer de deux clés : une clé publique et une clé privée.
La clé publique doit être connus par tous et la clé privée est confidentielle.
La clé publique permet de chiffrer le message et aussi de vérifier une signature et la clé prive
pour déchiffrer le message ou pour signer
18
Figure 5 : Le système de chiffrement asymétrique
c) les fonctions de hachage
Les fonctions de hachage cryptographiques sont des algorithmes mathématiques à sens

unique utilisés pour mapper des données de toute taille à une chaîne de bits de taille fixe. Elles
sont largement utilisées dans les pratiques de sécurité de l'information, telles que les signatures
numériques, les codes d'authentification de message et d'autres formes d'authentification.
2.1.3. Cybersécurité
Désormais, un grand nombre d’activités sont réalisés via internet et le cyberespace.
La racine « cyber » provient du mot cybernétique, qui avait été formé en français en 1834 pour
designer la « silence du gouvernement », à partir du grec Kubernétikité, signifiant « diriger,
gouverner » ; Terme repris en 1948, par NORMAN Wiener aux Etats unis et qui a donné
naissance à la cybernétique (cybernétiques), science constituée par l’ensemble des théories
relatives au contrôle, à la régulation et à la communication entre l’être vivant et la machine.
Depuis lors, le préfixe « cyber » est devenu relatif à l’environnement informatique et aux
activités rendues possible par les technologies du numérique et internet. Le cyberespace
(l’ensemble des infrastructures numériques, des données et des services mis en réseaux) est une
extension de notre espace naturel qui reflète notre société avec ses politique, économique,
19
sociale et culturelle. Mais contrairement à la terre, à la mer, à l’air et à l’espace-extra
atmosphérique, le cyber espace est une pure création de l’être humain qui ne relève pas de la
nature.
La cyber sécurité concerne la sécurité informatique, des réseaux et des environnements

connectés à internet et accessible via le cyberespace. Elle peut être mise en défaut, entre autres,
par des cyberattaques informatiques. Du fait de l’usage extensif d’Internet, de nouvelles
menaces sont apparues générant des risques additionnels dont les impacts, de niveaux
d’importance variables, peuvent affecter les individus, les organisations ou les états.
2.1.3.1. Exemples de risques liés à la cybersécurité
Le risque « cyber » s’inscrivent dans une problématique plus large des risques liées à la
dépendance des infrastructures numériques et à des fournisseurs d’infrastructures matérielles et
logicielles, de capacité de traitement, de télécommunications, de stockage, de services ou
encore d’informatique en nuage( notamment les GAFA – Google, Amazon, Facebook, et Apple
et les NATU- Netflix, Airbnb, Tesla, Uber) sont devenus des géants incontournables d’internet
ou de la téléphonie mobile, et sont de véritables empires à la volonté hégémonique affiché. La
montée en puissance de certains groupes mondialisées induit de nouveaux risques notamment
lies à l’espionnage industriel et à la capacité de ces groupes de réaliser un « fichage » des
utilisateurs, voire un « filtrage » des échanges, et cela à l’échelle mondiale.
2.1.4. Différentes facettes de la sécurité

2.1.4.1. Diriger la sécurité
La sécurité de l’information d’une organisation doit s’appréhender d’une manière globale

et stratégique (notion de stratégie de sécurité) et s’appuie sur :
• La définition d’une politique de sécurité

• La motivation et la formation du personnel
• La mise en place de mesure proactives et réactives
20
• L’optimisation de l’usage des technologies de l’information et des communications
(TIC) ainsi que de celui des solutions de sécurité.
2.1.4.2. Politique de sécurité
Une politique de sécurité exprime la volonté managériale de protéger les valeurs

informationnelles et les ressources technologiques de l’organisation. Une politique de sécurité
concrétise une stratégie sécuritaire et est un outil indispensable à la gouvernance de la sécurité.
Elle spécifie les moyens (ressources, procédures, outils, etc.) qui répondent de façon complète
et cohérente aux objectifs stratégiques de sécurité.
a) Propriétés d’une politique de sécurité
Une politique de sécurité résulte d’une analyse des risques ou d’un audit et est définit
pour répondre aux exigences de sécurité, dans un contexte donné. Elle se traduira par la
réalisation de mesures, de fonctions, de procédures, de services, comme par exemple :
• Des règles de classification de l’information, d’utilisation des ressources

• Des outils : contrôle d’accès, chiffrement des données, authentification, systèmes pare-
feu, sondes de détection d’incidents, de surveillance et d’enregistrement, journalisation,
traçabilité
• Des contrats de services : clauses de responsabilité, devoirs et obligations
• Des plans gestion de crise, de secours, de continuité, et de reprise d’activités
• Des plans d’actions de poursuite en justice
• Des mesures d’assurance, de gestion de la performance
Une politique de sécurité peut être structuré en sous politique correspondant au contexte
particulier d’une organisation comme le montre la figure ci-dessous
21
Figure 6 : Différents composants d’une politique de sécurité
b) Méthodes et normes contribuant à la définition d’une politique de sécurité

Principales méthodes françaises
Dans un premier temps, il faut pouvoir identifier les risques avant d’identifier les
parades à mettre en place. On peut s’appuyer alors sur une méthode qui facilite l’identification
des points principaux à sécuriser (notion de check list1), ou sur des normes ou sur un ensemble
reconnu de bonnes pratiques (best pratiques). Toutes peuvent servir de guide à l’élaboration
d’une politique de sécurité. Elles sont utilisées plus ou moins complètement et le plus souvent
adaptés à un contexte particulier en fonction de l’entité qui les mets en œuvre.
1
Liste de contrôle
22
Les méthodes préconisées par le Clusif (club de la sécurité de l’information française)
sont historiquement Marion (méthode d’analyse des risques informatiques et optimisation par
niveau) puis Méhari (méthode harmonisée d’analyse des risques)
Au-delà de l’aide à l’analyse des vulnérabilités et des risques, Méhari permet d’avoir une vision
globale et stratégique de la problématique de la sécurité des entreprises, par la définition d’un
plan stratégique de sécurité à partir duquel des plans opérationnels pourront être définis. Méhari
est une méthode adaptable, évolutive et compatible avec les normes internationales du domaine.
En France l’agence nationale de la sécurité des systèmes d’informations (ANSSI) propose une
méthode bien documentée, avec des exemples et des conseils, qui est mise à jour régulièrement.
Dénommée Ebios, pour expression des besoins et des conseils et identifications des objectifs
de sécurité, cette méthode, largement utilisé entre autres par les administrations françaises,
permet de spécifier les objectifs de la sécurité des organisations.
Normes internationales
La famille des normes ISO/IEC 27000/2016
La famille des normes ISO/IEC 27000/2016 traite des différents domaines du

management de la sécurité l’information, à s’avoir :
• Les notions fondamentales, une vue d’ensemble et une formalisation du vocabulaire

sont données sont dans la norme ISO 27000.
• La norme ISO 27001 définit les exigences de sécurité d’un système de management de
la sécurité (SMSI).
• La norme ISO 27002 propose un code de bonne pratique pour la gestion de la sécurité
de l’information.
• Des lignes directives (guide) pour la mise œuvre et l’implémentation d’un système de
management de l’information (SMSI) sont édictés dans la norme ISO 27003.
• Des métriques du management de la sécurité de l’information sont identifiés dans le
document ISO 27004.
• La gestion du risque en matière de sécurité de l’information est traitée dans la norme
ISO 27005.
• Les exigences pour les organismes auditant et certifiant un SMSI font l’objet de la
norme ISO 27006.
23
• Les directives concernant le processus d’audit d’un SMSI se trouvent dans la norme
ISO 27007.
• La norme ISO 27008 traite des directives pour les auditeurs concernant les contrôles à
effectuer dans un SMSI.
• La norme ISO 2710 est relative à, la gestion de la sécurité de l’information des
communications intersectorielle et interactionnelles.
• La norme ISO 27011 traite du management de la sécurité de l’information pour les
organismes de télécommunication.
• La norme ISO 27015 correspond à des lignes directives pour le management de sécurité
de l’information pour les services financiers.
• La norme 27018 peut être considérés comme un guide pour la protection des données à
caractère personnel dans les infrastructures de cloud publics.
• La norme ISO 27019 se focalise sur le management de la sécurité de l’information des
systèmes de contrôle des procédés spécifique à l’industrie de l’énergie.
• Les normes ISO 27031 à 27035 abordent respectivement les questions relatives au plan
de continuité des affaires, à la cyber sécurité, à la sécurité des réseaux, à la sécurité des
applications et à la gestion des incidents.
• Les normes ISO 27036 à 27039 quant à celle traite de l’identification, de la collecte et
de la préservation des traces numériques.
• Les normes ISO 27038 et 27039 sont respectivement relatives à des techniques de
sécurité concernant l’élaboration de documents numériques, et la sélection, le
déploiement et les opérations des systèmes de détection d’intrusions.
• La question du management de la sécurité de l’information relative à la santé fait l’objet
de la norme ISO 27799, élaboré sur la base de l’ISO 27002.
La norme ISO 27001 : La norme ISO 27001 propose un modèle pour établir, implémenter,
exploiter, surveiller, maintenir et améliorer le système de management de la sécurité de
l’information SMSI. La norme 27001 se focalise sur l’implémentation d’un système de
management de la sécurité basé sur une structure formalisée et des contrôles à effectuer.
24
La norme se base sur un modèle dit modèle PDCA (Plan, Do, Check, Act) – Préparer (ou
Planifier) – Développer – Controller ou Vérifier – Ajuster (ou Réagir) qui reprend le concept
de la « roue de Deming ». Telle cette roue qui remonte une pente en exécutant à chaque tour
le « Plan, Do, Check, Act) à chaque tour on met une cale pour empêcher la roue de dévaler la
pente, le modèle PDCA implique qu’à chaque passage, arrivée au « A de Act », il faille caler
le modèle et ne jamais s’arrêter de le poursuivre, pour ne pas risquer de perdre tous les atouts
accumulés dans l’évolution de la sécurité du SMSI et se retrouver au bas de la pente. Le modèle
PDCA implique un perfectionnement permanent de la sécurité du SMSI.
Figure 7 : Le modèle PDCA (adapté à partir de la norme ISO 27001)
2.1.4.3. Audit des systèmes d’informations
L’audit des systèmes d’informations vise à collecter des preuves qui permettent
d’attester d’une part que les systèmes et ressources protègent les actifs informationnels de
l’organisation et d’autres part, que les différents risques inhérents au système d’information
sont pris en compte. Cela contribue à pouvoir formuler une assurance raisonnable concernant :
• L’intégrité et la fiabilité des systèmes et des informations

• L’utilisation efficiente des ressources
25
• L’atteinte des objectifs organisationnels en fonction du niveau de qualité de contrôles
internes
D’une manière générale, les contrôles principaux à prendre en compte dans le cadre d’un audit
de systèmes d’informations sont :
• L’environnement de direction et de supervision

• Les procédures de gestion de changement
• Le cycle de vie des systèmes
• Les politiques de sécurité
• La gestion des incidents
• Les supports techniques
• Les standards, politique et procédures de configuration, installation, tests
• Le plan de continuité de l’activité
2.1.5. Les Cyberattaques
L’ingéniosité des attaquants peut être parfois sans limite. Généralement, ils savent
s’adapter et exploiter efficacement les ressources disponibles et les vulnérabilités, de manière
permanente et dynamique. Bien qu’il soit impossible de dresser un panorama exhaustif des
types et des moyens d’attaques, il est toutefois possible d’en dégager certains invariantes.
2.1.5.1. Attaque par déni de service
Une attaque par déni de service submerge les ressources d’un système afin que ce
dernier ne puisse pas répondre aux demandeurs légitimes des utilisateurs.
Il existe différents types d’attaques DoS et DDoS. Les plus courantes sont les attaques SYN
flood, les attaques par rebond, et les botnets.
26
2.1.5.2. Attaque de l’homme du milieu
Une attaque de l’homme du milieu est un pirate qui s’insère dans les communications
entre un client et un serveur. Ceci est expliqué par les schémas ci-dessous.
Figure 8 : Déroulement d’une attaque de Man In the Middle
Figure 9 : Déroulement d’une attaque de Man In the Middle (Suite)
27
Les types d’attaques de l’homme du milieu les plus courants sont le détournement de session,
usurpation d’IP, …
2.1.5.3. Attaque phishing
L’hameçonnage consiste à envoyer des e-mails qui semblent provenir de sources fiables
dans le but d’obtenir des informations personnelles ou d’inciter les utilisateurs à faire quelque
chose. Cette technique combine ingénierie sociale et stratagème technique. Elle peut impliquer
une pièce jointe à un e-mail, qui charge un logiciel malveillant sur votre ordinateur. Elle peut
également utiliser un lien pointant vers un site Web illégitime qui vous incite à télécharger des
logiciels malveillants ou à transmettre vos renseignements personnels.
2.1.5.4. Attaque par mot de passe
Les mots de passe étant le mécanisme le plus couramment utilisées pour authentifier les
utilisateurs d’un système informatique, l’obtention de mots de passe est une approche d’attaque
courante et efficace. Le mot de passe d’une personne peut être obtenu en fouillant le bureau
physique de la personne, en surveillant la connexion au réseau pour acquérir des mots de passe
non chiffrés, en ayant recours à l’ingénierie sociale, en accédant à une base de données de mots
de passe ou simplement en devinant.
2.1.5.5. Attaque par injection SQL
L’injection SQL est devenue un problème courant qui affecte les sites Web exploitant
des bases de données. Elle se produit lorsqu’un malfaiteur exécute une requête SQL sur la base
de données via les données entrantes du client au serveur. Des commandes SQL sont insérées
dans la saisie du plan de données (par exemple, à la place du nom d’utilisateur ou du mot de
passe) afin d’exécuter des commandes SQL prédéfini. Un exploit d’injection SQL réussi peut
lire les données sensibles de la base de données, modifier (insérer, mettre à jour ou supprimer)
les données de la base de données, exécuter des opérations d’administration de la base de
données (par exemple la fermer), récupérer le contenu d’un fichier spécifique, et, dans certains
cas, envoyer des commandes au système d’exploitation.
28
2.1.5.6. Attaque XSS (Cross-site scipting)
Les attaques XSS utilisent des ressources Web tierces pour exécuter des scripts dans le
navigateur Web de la victime ou dans une application pouvant être scriptée. Plus précisément,
l’attaquant injecte un JavaScript malveillant dans la base de données d’un site Web. Ceci est
expliqué par le schéma ci-dessous.
Figure 10 : Déroulement attaque XSS
2.1.5.7. Attaque par écoute illicite
Les écoutes clandestines sont le résultat d’une interception du trafic réseau. Elles
permettent à un attaquant d’obtenir des mots de passe, des numéros de carte bancaire et d’autres
informations confidentielles qu’un utilisateur envoie sur le réseau. Elles peuvent être passives
ou actives :
• Écoute clandestine passive : Un pirate détecte des informations en écoutant la

transmission de messages sur le réseau.
29
• Écoute clandestine active : Un pirate s’empare activement d’informations en se faisant
passer pour une unité amie et en envoyant des requêtes aux transmetteurs. On appelle
cela sonder, scanner ou saboter.
2.1.5.8. Attaque par des logiciels malveillants
Un logiciel malveillant peut est considérer comme un logiciel installé dans votre
système sans votre consentement. Il peut s’attacher à un code légitime et se propager, se cacher
dans des applications utiles ou se reproduire sur Internet. Voici quelques-uns des types de
logiciels malveillants les plus courants :
• Macrovirus : Ils infectent des applications comme Microsoft Word ou Excel à la

séquence d’initialisation de l’application
• Chevaux de Troie : Ce sont des programmes qui se cachent dans un programme utile
et qui ont généralement une fonction malveillante.
• Bombe logique : Il s’agit d’un type de logiciel malveillant relié à une application par
exemple et qui est déclenché par un événement spécifique, comme une condition
logique ou une date et une heure spécifique.
• Vers : Ils diffèrent des virus en ce qu’ils ne s’attachent pas à un fichier hôte, ce sont des
programmes autonomes qui se propagent sur les réseaux et les ordinateurs.
• Rançongiciels (ransomware) : Il s’agit d’un type de logiciel malveillant qui bloque
l’accès aux données de la victime et menace de les publier ou de les supprimer à moins
qu’une rançon ne soit versée.
• Logiciels publicitaires (adware) : Ce sont des applications logicielles utilisées par les
entreprises à des fins de marketing ; des bannières publicitaires sont affichées pendant
l’exécution d’un programme ou pendant la navigation sur internet.
• Logiciels espions (spyware) : Ce sont des programmes installés pour voler des
informations sur les utilisateurs, leurs ordinateurs ou leurs habitudes de navigation.
30
2.1.6. Gestion des risques
Un risque est un danger plus ou moins prévisible. Il se mesure à la probabilité qu’il se

produise et aux impacts et dommages consécutifs à sa réalisation.
Deux notions interviennent dans la variable de risque : celle de menace, qui est la cause
potentielle d’un incident indésirable, et celle de vulnérabilité.
Selon Dunod Un risque exprime la probabilité qu’une valeur soit perdue en fonction d’une
vulnérabilité liée à une menace, à un danger ou à un évènement non sollicité.
Risque = (vulnérabilité, menace, impact)
La terminologie associe au risque distingue l’analyse, l’évaluation, l’appréciation et le

traitement de la gestion du risque à s’avoir :
• Analyse du risque : utilisation systématique d’informations pour identifier les facteurs

de risque afin de pouvoir estimer ce dernier
• Evaluation du risque : processus de comparaison du risque estimé avec des critères de
risque donner pour déterminer l’importance du risque
• Appréciation du risque : ensemble des processus d’analyses et d’évaluations du risque
• Traitement du risque : processus de sélection et de mise en œuvre des mesures visant à
modifier le risque
• Gestion du risque : activités coordonnées visant à diriger et à piloter une organisation
vis-à-vis des risques et à maintenir les risques sous contrôle
2.2. Généralités sur le SOC
Dans ce chapitre il s’agira de parler des concepts et fondamentaux d’un SOC, de voir la
complémentarité entre un SOC et un CERT, de parler d’évènements, journaux, alerte et
incidents et enfin voir les recommandations et aspects juridique sur la cybercriminalité.
31
2.2.1. Concept & fondamentaux d’un SOC
Le Security Operations Center (SOC) est constitué d’une équipe d’experts qui jouent le
rôle de « Tour de Contrôle » pour la surveillance de la sécurité globale des Systèmes
d’information, pendant que les équipes de supervision s’occupent de la surveillance du bon
fonctionnement des SI. Les services fournis par le SOC s’organisent autour des activités
suivantes :
Prévention
• Veille sécurité en relation avec le CSIRT/CERT
• Affinage2 et maintien à jour de l’outillage
• MCS (Maintien en Condition de Sécurité) de l’outillage
• Optimisation des règles de détection, et prise en compte des AAA.
Détection
• Collecte et analyse des logs
• Corrélation des informations afin d’analyser les événements de sécurité dans sa
globalité et pas unitairement.
• Déclenchement et qualification d’alerte sur des éléments suspects
• Notification et communication aux entreprises clientes.
Dans le bruit généré par les différentes activités, le SOC détecte des incidents de sécurité ainsi
que des tentatives d’attaques. Cette surveillance technique et comportementale permet d’être
averti dans un minimum de temps. Le centre de sécurité collecte les événements (sous forme
de logs notamment) remontés par les composants de sécurité, les analyses, détecte les anomalies
et définit des réactions en cas d’émission d’alerte.
2
Nettoyage
32
Réaction / Réponse
• Traitement immédiat des alertes documentées et analyses

• Traitement des incidents de sécurité avec les équipes de supervision
• Investigations suite à un incident de sécurité (Forensic)
Le SOC doit avant tout réagir avec des délais très courts et apporter les réponses les plus
appropriées. Il s’agit d’accompagner dans l’urgence, d’apporter de l’expertise et de la
méthodologie au moment où l’organisation en a le plus besoin.
Rapport / Tableau de bord
• Génération de rapports réguliers de l’activité du SOC

• Tableau de bord Sécurité avec des indicateurs de service (Alertes, Incidents,
Investigations, …), des indicateurs techniques (MCO/MCS) et des indicateurs
d’évolution (extension du périmètre de collecte, nouvelles règles de détection, …)
Figure 11 : Fonction du SOC
33
2.2.1.1. Activité d’un SOC
La mission principale d’un SOC consiste à surveiller, détecter, analyser et qualifier les
évènements de sécurité.
Elle peut se décliner en 3 activités pouvant être gérées indépendamment :
Activité 1 : Supervision/Qualification/Alerting
Activité 2 : Pilotage des incidents de bout en bout
Activité 3 : Traitement standardisé d’un incident
En complément de cette mission principale, le SOC à la charge de conserver les journaux

d’activité (ou logs) qui lui sont remontés pour la durée qui a été définie. Cette mission est
essentielle pour permettre des analyses in forensiques à postériori ainsi que la production de
rapports et statistiques à valeur ajoutée.
Le SOC peut également se voir confier des missions additionnelles en fonction des
organisations, telles que :
• L’investigation sur incident également appelée forensique ;

• La fourniture d’expertise ponctuelle sur la gestion de crise ;
• La gestion des vulnérabilités ;
• Un rôle de sécurité opérationnelle, au travers du :
▪ Paramétrage des équipements de sécurité
▪ Gestion des identités et habilitations ;
• Le traitement en profondeur des causes racines de l’incident ;
• La sensibilisation des utilisateurs et la communication de la sécurité.
2.2.1.2. Les différents modèles d’un SOC
Il existe principalement deux grandes familles de SOC : les SOC opérés en interne et
les SOC externalisés.
Même s’il existe des modèles hybrides, le choix d’un type de SOC est capital lors des études
de conception car cela conditionne la nature des travaux et du pilotage pendant la phase de
34
construction. Les paragraphes suivants décrivent les avantages et les inconvénients de chacun
des types de service.
L’évolution d’un modèle de SOC à un autre est naturellement envisageable mais nécessite une
préparation et une anticipation importante pour éviter de devoir reconduire tous les travaux de
conception et de construction lors de la bascule de l’un à l’autre des modèles. Ce changement
de nature peut être justifié par l’atteinte d’un certain niveau de maturité par l’Entreprise et/ou
l’évolution des objectifs de sécurité ou bien encore un changement de stratégie au niveau de la
DSI ou de l’Entreprise.
35
Tableau 1 : SOC Dédiés/Internalises
Avantages Inconvénients
• Les SOC dédiés disposent de ressources • L’investissement financier initial est très
humaines dédiées, organisées et en capacité important (pour mettre en œuvre l’outillage,
de traiter toutes les alarmes reçues par les recruter et former les ressources, conduire
outils de collecte les études et exécuter la réalisation).
• Les équipes du service connaissent mieux • De fait, la pression pour être en capacité de
les infrastructures et les applications montrer le ‘ROI’ d’un tel service est
supervisées et sont donc à même de qualifier également très importante.
plus efficacement les alarmes remontées • Le recrutement d’analyste SOC et d’expert
• Les solutions/outils dédiées sont plus en sécurité est un véritable défi et peut
flexibles et plus facilement paramétrables. prendre un certain temps.
• Les scénarios de menaces et les objectifs de • Les attaques large échelle, ciblant ou ayant
sécurité sont considérés de façon précise. ciblées, plusieurs autres Entreprises ne
• La communication (investigation) et seront sans doute pas perçues par un SOC
l’escalade sont plus rapides (puisqu’utilisant focalisé sur la supervision d’un périmètre
les outils de communication de l’Entreprise) interne
• Les journaux d’événements et tous les
éléments de suivi des alarmes et incidents
sont tous stockés en interne.
36
Tableau 2 : SOC Externalises
Avantages Inconvénients
• L’investissement initial est plus raisonnable • Les opérateurs distants ne connaitront jamais
tant sur le plan technique qu’humain. aussi bien les infrastructures et applicatifs que
• Le service est généralement proposé à des opérateurs agissant au sein de l’Entreprise.
plusieurs acteurs du même domaine. Ceux-ci • L’externalisation d’un service de sécurité
bénéficient de fait de l’expertise des analystes essentiel comme le SOC peut avoir un impact
pour le secteur d’activité concerné. négatif sur le « moral » des personnels IT de
• La mutualisation des couts opérés par les l’Entreprise.
acteurs MSSP leur permet de proposer des • Sans contrat spécifique, les ressources du
modèles de SOC moins chers que les versions MSSP peuvent être mutualisées avec d’autres
internalisées. acteurs parfois concurrents.
• Il n’y a pas de limite à la croissance forte et • Les données internes de l’Entreprise sont
soutenue du modèle (sous réserve de capacité envoyées à l’extérieur sans contrôle possible a
du MSSP). priori. Une erreur de manipulation est tout à
• Le MSSP met tout en œuvre pour se doter des fait probable.
expertises les plus pointues sur les outils de • Toutes les données ne sont pas
collecte et de traitement. systématiquement archivées (sauf cadre
contractuel particulier).
• Le service fourni par un MSSP est plus
difficilement paramétrable et ajustable aux
réels besoins de sécurité et aux scénarios de
menaces. Les approches sont généralement
standard (tout en étant précise et efficace).
• La clause de réversibilité doit être étudiée avec
soin pour permettre de changer
d’acteurs/opérateur en cours ou en fin de
contrat.
37
L’architecture d’un SOC est composée d’une première phase qui consiste à la collecte des
journaux d’événements sur les applications et équipements grâce à un collecteur, ces journaux
d’événements sont envoyés directement au traiteur de flux et d’évènements. La deuxième phase
est l’ensemble des mécanismes qui consiste à traiter les journaux afin de dégager incidents de
sécurité par le biais des processors. Après identification et la prise en charge de l’alerte, la
dernière phase est le reporting qui consiste à faire un rapport d’activité sur l’incident.
L’architecture fonctionnelle est illustrée sur le schéma ci-dessous.
Figure 12 : Architecture fonctionnelle
2.2.2. Complémentarité entre SOC et CERT/CSIRT

2.2.2.1. Différence entre SOC et CERT
Selon l’ENISA, un CSIRT est défini comme une équipe d’experts en sécurité
informatique ayant pour mission principale de répondre aux incidents en proposant les services
nécessaires au traitement des attaques et en aidant leurs parties prenantes à restaurer les
systèmes qui en ont fait l’objet.
La limite entre SOC et CSIRT n’est pas toujours évidente à tracer. Seul un modèle de
gouvernance et des responsabilités clairement établies permettent de partager détection,
38
réaction et suivi des incidents. Les adhérences entre le modèle de sécurité de l’entreprise et
l’organisation de l’entreprise peuvent constituer un frein supplémentaire au partage des tâches
et responsabilités (il n’est pas rare que les fonctions/rôles des deux entités soient portées par les
mêmes personnes).
Figure 13 : Limites de responsabilité SOC/CERT
Il est cependant communément admis que le SOC est responsable de la gestion des
vulnérabilités, de la détection et de la qualification des incidents de sécurité alors que le CSIRT
est responsable de la gestion de crise cyber (notion plus large que la réaction à un incident de
sécurité) et de la veille autour des cybers menaces (y compris les analyses forensics).
2.2.2.2. Synergie entre SOC et CSIRT
Si la limite entre les deux entités n’est pas clairement définie, les adhérences et
interfaces n’en sont que plus nombreuses. Ainsi, en considérant la chaîne plus détaillée
présentée ci-dessous, le curseur du partage des missions est laissé à l’appréciation de
l’organisation. L’efficacité de la sécurité dépend de la complétude de la chaine et non de la
répartition des missions.
Figure 14 : Complémentarité entre SOC et CSIRT
39
En complément, il est primordial de bien organiser le ou les passages de témoins
(qualifié et quantifié les informations transmises) entre les différents acteurs responsables des
missions. Toutes les interactions entre les missions et activités doivent être prises en compte et
pas seulement les grandes interfaces.
Si le traitement et la veille sont généralement confiés au CSIRT, il faut noter que l’objectif est
que le SOC gagne en maturité et en efficacité au fur et à mesure du traitement des incidents. La
façon la plus simple d’atteindre cet objectif est de constituer des fiches de retours d’expériences
(REX ou REEX) à l’issue de toute intervention du CSIRT. Ainsi, au fur et à mesure, si un
incident est enregistré à propos de technologies, produits ou attaques connues, et que celui-ci
fait l’objet d’une fiche ou procédure qui permet le traitement de l’incident, le SOC pourra
dérouler la chaine sans avoir à solliciter l’entité CSIRT. Selon ce modèle de maturité, le CSIRT
n’est alors sollicité (en escalade) qu’en cas de nouvelle attaque (inédite) nécessitant une
expertise spécifique. Le CSIRT pilote alors la résolution le temps de pouvoir industrialiser la
remédiation.
Le tableau ci-dessous propose une répartition typique des activités. Comme précisé dans les
paragraphes ci-dessus, chaque organisation est libre d’adapter les missions des entités SOC et
CSIRT du moment que la chaine de traitement est considérée de bout en bout.
40
Tableau 3 : Répartition des activités SOC/CSIRT
SOC CSIRT
Gestion des vulnérabilités sur le Responsable Contribue

périmètre
Collecte es évènements sur le périmètre Responsable
Gestion des règles de corrélation Responsable

d’évènements
Pondération des évènements => émission Responsable

d’alertes
Qualification de l’incident (instruction) Responsable/contribue Responsable/contribue
Pilotage de la remédiation Contribue Responsable. Veille à

l’industrialisation de
la remédiation.
Remédiation technique Acteur primaire Acteur sollicite sur

(escalade N1>N2>N3) escalade depuis N2 ou
N3
Clôture de l’incident Responsable
Gestion de cybercrise Contribue Responsable
Veille technologique / veille menaces Responsable
Analyse post-mortem Responsable
Communication avec les autres CERT Responsable
41
2.2.3. Journaux, événements, alertes et incidents
Pour éviter toute confusion dans la suite de ce document, les définitions des termes « journaux
/ enregistrements », « événements », « alerte » et « incident » sont proposées ci-dessous :
2.2.3.1. Journaux / Enregistrements
Les « journaux » ou « enregistrements » constituent la matière première (généralement

à l’état brut) que le SOC devra manipuler, analyser, corréler tout au long de la journée. Tout
élément d’un système d’information produit désormais des enregistrements agrégés en
journaux. C’est à partir de ces éléments que sont créés les premières métriques et rapports
d’activités d’un SOC.
Constituant les logs d’un système actif, ces journaux sont généralement conservés à des fins
d’exploitation ou d’investigation. Ils sont parfois les seuls éléments (à charge) qui peuvent être
utilisés en cas de comportement anormal ou suspicieux d’un système. Ils sont donc
généralement protégés voire séquestrés pour être utilisés en tant que preuve.
Etant donné que tous les systèmes, et leurs composants (et leurs sous-composants) génèrent des
traces, des enregistrements et des journaux, le défi consiste à déterminer le bon compromis
entre la granularité (aussi appelée verbosité) des éléments produits par rapport à l’utilisation
qu’un SOC peut en faire.
2.2.3.2. Evènements
Selon la norme ITIL v3, un « événement » correspond à un changement d’état

suffisamment important pour être notifié à un gestionnaire du service. Ainsi, il peut s’agir d’un
changement d’état normal ou, au contraire, d’un changement pour un état anormal (ex. une
défaillance). Un événement peut être transcrit par un ou plusieurs enregistrements dans un
journal.
La norme ISO 27000 définit qu’un événement de sécurité est une occurrence identifiée de l'état
d'un service, d'un système ou d'un réseau indiquant une faille possible dans la politique de
42
sécurité de l'information ou un échec des mesures de sécurité ou encore une situation inconnue
jusqu'alors et pouvant relever de la sécurité.
2.2.3.3. Alerte
Une alerte correspond à un événement ou à un groupe d’événements pondéré. Cette

pondération est particulièrement importante puisqu’elle permet de classer les événements et de
ne retenir que ceux qui atteignent ou dépassent un seuil de vigilance. Tout comme pour les
enregistrements et journaux, le défi consiste à fixer correctement le seuil (ou à le retenir auprès
d’un organisme tiers) pour ne conserver que les événements qui nécessitent une attention
particulière.
Parce que les mécanismes qui associent une pondération à l’événement peuvent être défaillants
ou inadaptés, les alertes peuvent être classées en différentes catégories :
• Faux positif : la pondération a été positionnée de façon inadaptée, rendant un
événement important à tort. Dans ce cas, le comportement du système est considéré
défaillant à tort.
• Vrai positif : la détection a été correctement positionnée. Il s’agit d’une alerte qui
correspond réellement à un événement redouté ou à comportement anormal du système.
• Faux négatif : le mécanisme de détection n’a pas correctement fonctionné et un
événement qui aurait dû être identifié en tant qu’alerte n’a pas été repéré et classé. Le
système est défaillant et aucune alerte n’appuie ce statut.
• Vrai négatif : le mécanisme de détection est adapté. Le comportement du système n’est
pas défaillant et aucun événement n’est identifié en tant qu’alerte à tort.
2.2.3.4. Incident
Toujours selon la norme ITIL, un incident est une interruption non planifiée d’un
service, une réduction de la qualité d’un service ou la défaillance d’un élément du système. Un
incident est associé à un impact négatif (perçu ou non) sur la qualité de service globalement
perçue par les utilisateurs du système. Un incident est généralement (mais pas toujours)
caractérisé par une série d’alertes. Il est généralement enregistré, analysé et traité sur la base
des éléments d’information le constituant. Un incident appelle une réponse.
43
Dans le contexte de la sécurité des systèmes d’information, la norme ISO 27000 (2.21) définit
un incident comme un ou plusieurs évènements liés à la sécurité de l'information indésirables
ou inattendus présentant une probabilité forte de compromettre les activités de l'organisation et
de menacer la sécurité de l'information.
La chronologie suivante peut être établie :
Figure 15 : Chronologie (journal/évènement/alerte/incident)
Les incidents peuvent être catégorisés par le SOC ou le CSIRT, selon des critères propres à
l’organisation, pour permettre un reporting à plus haut niveau et, in fine, outiller le pilotage de
la sécurité des S.I.
2.2.4. Recommandation & aspect juridique sur la cybercriminalité

2.2.4.1. Loi sur la cybercriminalité au Sénégal
Afin de garder l’intégrité des propos concernant les lois et les atteintes prises ici au Sénégal,
nous avons jugé nécessaire d’être fidèle au document c’est pour cette raison que nous avons fait
44
des prises de capture d’écran de la source au lieu de copier ou rédiger ces lois. La documentation
sur les Lois est énorme du coup nous avons juste pris une partie nous informant sur ce qu’il faut
savoir pour tous individus utilisant les technologies de l’information et de communication. Voir
les images ci-dessous.
45
FIGURE 16 : LOI SUR LA CYBERCRIMINALITE AU SENEGAL
Figure 17 : Loi sur la cybercriminalité (suite)
46
2.2.4.2. Recommandation de l’ANSSI et CNIL
Recommandation du CNIL
Le responsable d’un système informatique doit mettre en place un dispositif de traçabilité

adapté aux risques associés à son système. Celui-ci doit enregistrer les évènements pertinents,
garantir que ces enregistrements ne peuvent être altérés, et dans tous les cas conserver ces
éléments pendant une durée non excessive. Les journaux doivent conserver les évènements sur
une période glissante ne pouvant excéder six mois (sauf obligation légale, ou demande de la
CNIL, de conserver ces informations pour une durée plus longue).
Prévoir au minimum la journalisation des accès des utilisateurs incluant leur identifiant, la date
et l’heure de leur connexion, ainsi que la date et l’heure de leur déconnexion. Le format de
l’horodatage doit de préférence prendre comme référence le temps UTC. Dans certains cas, il
peut être nécessaire de conserver également le détail des actions effectuées par l’utilisateur,
telles que les données consultées par exemple. Les précautions à prendre sont les suivantes :
• Informer les utilisateurs de la mise en place d’un tel système.
• Protéger les équipements de journalisation et les informations journalisées contre le
sabotage et les accès non autorisés.
• Établir des procédures détaillant la surveillance de l’utilisation du traitement et procéder
périodiquement à l’examen des informations journalisées.
• Le responsable de traitement doit être informé dans les meilleurs délais des failles
éventuelles de sécurité.
• En cas d’accès frauduleux à des données personnelles, le responsable de traitement
devrait le notifier aux personnes concernées.
Recommandation de l’ANSSI pour la mise en place d’un SOC
• Le prestataire doit être une entité ou une partie d’une entité dotée de la personnalité
morale de façon à pouvoir être tenu juridiquement responsable de sa prestation.
• Le prestataire doit respecter la législation et la réglementation en vigueur sur le territoire
national.
• Le prestataire doit décrire l’organisation de son activité de détection des incidents de
sécurité auprès du commanditaire.
47
• Le prestataire a, en sa qualité de professionnel, un devoir de conseil vis-à-vis du
commanditaire.
• Le prestataire doit assumer la responsabilité des activités qu’il réalise pour le compte du
commanditaire dans le cadre de sa prestation et en particulier les éventuels dommages
causés au commanditaire. À ce titre, le prestataire doit préciser les types de dommages
concernés et les modalités de partage des responsabilités dans la convention de service,
en tenant compte de toutes les éventuelles activités sous-traitées.
• Il est recommandé que le prestataire garde la responsabilité des actions qu’il effectue
lors de la prestation de son propre fait.
• Le prestataire doit souscrire une assurance professionnelle couvrant les éventuels
dommages causés au commanditaire et notamment à son système d’information dans le
cadre de sa prestation. Le prestataire doit s’assurer du consentement du commanditaire
avant toute communication d’informations obtenues ou produites dans le cadre de sa
prestation. Le prestataire doit garantir que les informations qu’il fournit, y compris la
publicité, ne sont ni fausses ni trompeuses.
2.3. Les composants du SOC
Généralement, le SOC implique une combinaison d’outils technologiques, de processus et de

personnel dédiés à la collecte, au tri et à l’investigation des incidents de sécurité.
Ce chapitre traite ses composants en détails.
Technologies
Autrement dit, l’ensemble des moyens techniques utilisés pour collecter, corréler, stocker et
établir un rapport sur les événements de sécurité. Les outils de sécurité du SOC sont le SIEM
(Security Information and Event Management) le scanner de vulnérabilité…
Processus
Les processus du SOC sont spécifiques à la surveillance et à l’administration de la sécurité du

SI. Ils ont pour objectif d’assurer la supervision du SI, la détection et la résolution des incidents
de sécurité mais également d’apporter des améliorations au SOC sur la base de l’évaluation de
ses processus, de l’évolution des menaces et des évolutions réglementaires.
48
Ressources humaines
Experts en sécurité informatiques : Managers, Opérateurs, Analystes, Pentesteur.

Leur mission : interagir avec les équipes responsables de la sécurité des systèmes d’information
au sein de l’entreprise, afin d’adapter au mieux le dispositif à l’organisation. Leur objectif
principal est d’analyser les événements pour répondre aux incidents dans un délai réduit.
Ces éléments sont représentés sur la figure ci-dessous
Figure 18 : Les Composants du SOC
49
2.3.1. Technologies
2.3.1.1. SIEM
Définition, A quoi sert un SIEM
Le SIEM (Security Information Event Management) est l’outil principal du SOC.
Il assure la collecte et l’analyse des traces d’activités (logs, netflows, etc.) des hôtes et des
applicatifs de l’infrastructure pour assurer à l’exploitation une vision unifié du pilotage de la
sécurité du système d’information.
Une solution SIEM est une association des fonctions SIM (Security Information Management)
et SEM (Security Event Management) au sein d’un système unique de gestion de la sécurité.
Figure 19 : Association d’un SIEM
• Le SEM (Security Event Management) propose un traitement en temps réel des

événements pour en extraire les alertes, les normaliser, les corréler et les notifier aux
exploitants en temps réel des menaces au sein d’une console d’administration.
• Le SIM (Security Information Management) offre des capacités de stockage et

d’indexation de toutes traces des systèmes à des fins d’analyse et de reporting. Ils sont
capables de corrélations simples « a posteriori » et sont souvent orientés « conformité »
(ex : PCIDSS). Le SIM est aussi appelé outils de « Log Management ».
Le rôle du SIM et du SEM se chevauchent parfois comme pour la collecte par exemple, mais
ils assurent chacun des fonctions bien particulières.
50
Le rôle du SIM est de gérer l’historique des traces :
• Il permet de stocker des volumes très importants de données brutes peu structurées
(issues généralement du découpage des journaux)
• Il propose parfois un format de normalisation mais ce format est généralement très
simpliste et proche de syslog
• Il offre des capacités d’indexation et de recherche à fin d’analyse et de forensic
• C’est un outil plutôt destiné aux opérateurs de niveau 2 et aux experts
Le rôle du SEM, au contraire, est de travailler en temps réel :

• Il est capable de traiter un volume très important de données en temps réel
• Lorsqu’il identifie des événements suspicieux, il les normalise et les enrichit dans un
format dédié à la détection d’intrusion
• Il propose des capacités de corrélation avancée temps réel
• Enfin il dispose d’outils nécessaires au suivi et à l’exploitation des alertes :
notification, gestion de tickets et de worflow
Figure 20 : Rôle du SIEM sur le SOC
51
En ajoutant ces deux fonctions, la conclusion montre que le SIEM permet l’identification et
l’analyse des événements de sécurité.
Les différentes fonctions d’un SIEM
Entre autres le SIEM engendre une panoplie de fonctionnalité, parmi ceux nous allons citer et
définir quelques-unes : collecte, normalisation, agrégation, corrélation, reporting,
archivage.
• La collecte
La construction du système de collecte est une activité très dépendante de la technologie des
éléments collectés et des solutions de collecte elles-mêmes, le collecteur peut être en intérieur
ou à l’extérieur du SOC, dans le cas où le collecteur est chez les clients, les journaux
d’événements sont envoyés au SOC. La collecte d’évènement doit être faite via un canal
sécurité de bout en bout pour assurer la confidentialité et l’intégrité des journaux d’événements.
Dans le cadre de la mise en place d’un SOC, la collecte des données (les flux réseaux, les
serveurs les firewalls les routeurs les journaux systèmes les base de données les applications.)
doit être réalisée dans l’objectif d’alimenter le service de supervision.
• La normalisation
La normalisation des traces collectées au travers d’analyseurs spécifiques, offre une corrélation
multicritères standardisées (métadonnées : date, heure, IP(s), port et services…). Les traces
brutes sont stockées sans modification pour garder une valeur juridique. De nombreux
analyseurs natifs (varie en fonction des éditeurs) sont disponible pour les solutions éditeurs et
Open-Source. Dans le cas échéant la création d’un analyseur spécifique pour des éléments à
raccorder au SIEM est réalisable (offre une grande flexibilité d’intégration).
• L’agrégation
Les plates-formes SIEM collectent des données provenant de milliers de sources différentes,
car ces événements fournissent les données dont nous avons besoin pour analyser la santé et la
sécurité de l’environnement de nos clients. L'agrégation est le processus consistant à transférer
52
des données et des fichiers journaux à partir de sources disparates dans un dépôt commun. Les
données collectées sont placées dans un magasin de données homogènes, généralement des
dépôts de fichiers plats ou des bases de données relationnelles.
• La corrélation
La corrélation d'événements est une technique permettant de saisir un grand nombre

d’évènements dans un temps défini, de les comprendre et d'identifier les plus importants dans
cette masse d'information. En effet, il permet une identification d’une ou plusieurs menaces à
l’origine d’un ou plusieurs évènements. La corrélation permet :
- La réduction des faux positifs
- La détection des faux négatifs.
- Prendre une décision de contre-mesure.
Cette corrélation est possible grâce à synchronisation du temps
• Le reporting
Le reporting effectue une création de rapports et tableaux de bord afin d’obtenir une visibilité
sur la sécurité et la conformité de notre système d’information. Les capacités de reporting sont
à maintenir régulièrement par le SOC dans le but de :
- Mettre en avant les indicateurs de sécurité les plus pertinents.
- Améliorer la capacité de détection visuelle des analystes en groupant visuellement les

indicateurs partageant des liens de corrélation.
- Créer des tableaux de bord spécifiques pour les exploitants afin de répondre à leurs
attentes par rapport au SIEM et à les impliquer dans le projet.
- Créer des rapports pour démontrer la performance du SOC aux métiers.
• L’archivage
Les solutions SIEM sont utilisées également pour des raisons juridiques et réglementaires. Un
archivage à valeur probante permet de garantir l'intégrité des traces. Les solutions peuvent
utiliser des disques en RAID, calculer l'empreinte, utiliser des chiffrements pour garantir
l'intégrité des traces.
53
Les limites d’un SIEM
Dans un système informatique, les logs permettent de savoir ce qui vient de se passer ou s’est
passé il y a un certain temps. Le rôle d’un SIEM (Security Information Management System)
est d’exploiter les logs.
Sur le plan temporel, le SIEM va donc pouvoir avoir un impact sur les phases de
Détection/Réaction et d’Investigation. Mais, sans source d’information complémentaire, il sera
peu utile sur la phase de Prévention/Protection. Un SIEM n’est qu’un outil d’analyse de logs.
Sa capacité est limitée aux informations fournies dans les logs. De fait, il ne sera pas en mesure
de détecter des incidents ne laissant pas de traces sur les équipements dont les logs sont
collectés. Cela le rend relativement inutile pour détecter un problème sur un système
d’exploitation ou pour diagnostiquer l’impact d’un incident sur un système (telles une intrusion,
l’installation de rootkit, l’altération du système ou des applications.
Bien qu’étant la pierre angulaire d’un SOC, le SIEM a besoin de solutions complémentaires
pour avoir une vision d’ensemble des faiblesses d’un SI et des événements s’y produisant. Les
principaux outils sont les solutions de contrôles de conformité en continue, de vulnérabilités et
d’intégrité. Ces solutions permettent de fournir des informations sur les brèches utilisables par
un attaquant, et suivent et tracent en profondeur les variations des systèmes ou les signes
d’actions potentiellement illicites.
2.3.2. Ressources humaines

2.3.2.1. Les compétences que doivent avoir l’équipe SOC
Un SOC est une organisation nécessitant des compétences sécurité dont le rôle principal est
celui d’analyste. Il est possible de répartir les compétences d’analyste sur plusieurs personnes,
mais le SOC nécessite les compétences suivantes :
Compétences en management
• Le leadership
• Les connaissances en SOC
• Savoir gérer l’équipe
• Le savoir d’écoute
• Connaissances des certifications requises pour un équipe SOC
54
Compétences techniques
• Expérience en administration des systèmes.
• Expérience en administration d’équipement de type HIDS, NIDS.
• Connaissance approfondie des protocoles réseau et expertise dans l’analyse de flux

réseau et des logs.
Compétences en sécurité
• Connaissance des principales techniques d’attaques liées aux scénarios visés.
• Connaissances de base en cryptographie.
• Connaissances des produits de sécurisation.
• Expérience en interprétation de résultats de scanneurs de vulnérabilités
• Capacité de veille technique et l’évolution des cybers menaces.
• Connaissances sur l’architecture de sécurité interne et externe au SOC
2.3.2.2. Les rôles au sein de l’équipe
Analyste de niveau 1
Les analystes de niveau 1 dégrossissent et pré-qualifient les alertes, leurs premières tâches
consistent à formaliser et enregistrer le contexte de l’incident. Les principales activités de
l’analyste niveau 1 :
• Surveillance en temps réel des outils et les indicateurs du SOC de sécurité.

• Trie les évènements de sécurité pour déterminer les événements intéressants.
• Gère les incidents mineurs et les règles de détection génériques.
• Invoque des analystes de niveau 2 en cas d’incident nécessitant une attention
particulière.
55
Le traitement des alertes par les analystes de niveau 1 doit rester dans une fourchette d’une à
15 minutes. Au-delà l’escalade de niveau 2 est à solliciter, les analystes de niveau 1 ne doivent
pas s’engager dans des analyses poussées pour garantir le traitement d’un maximum
d’événements de sécurité et d’alertes.
Un analyste niveau 2 est un rôle qui suppose plus d’expérience et d’expertise que le niveau 1.
Il peut être cumulé selon l’organisation avec d’autres rôles exigeant aussi une expertise sécurité
importante. Les principales activités de l’analyste niveau 2 :
• D’investigation pouvant s’étaler sur plusieurs jours à plusieurs semaines.

• D’assurer le suivi des actions correctives. Suite à la détection d’un incident de sécurité
complexe impliquant des compétences dans plusieurs domaines techniques et
exploitants.
• D’améliorer la capacité de détection du SOC et de réduire les faux positifs traites par le
niveau 1.
Analyste de niveau 3 fournit de support au niveau 2 et possède en plus de l’expertise sur les
méthodes d’attaques. Il est capable de mener des investigations plus poussées que l’analyste de
niveau 2 et de faire de la recherche exploratoire sur l’ensemble des événements. Il doit effectuer
les tâches suivantes :
• Avoir une approche proactive
• Enrichir les règles du SIEM
• Chasse et traque les indices de comportements anormaux
• Pouvoir détecter les failles zero-day.
• Réalise une veille active sur les menaces et vulnérabilités en relation avec le CERT.
56
Responsable SOC
Il s’agit du poste de chef de l’équipe SOC qui allie des qualités managériales et techniques. Le
responsable du SOC fédère l’équipe et assure une bonne communication entre le SOC et les
autres entités de l’entreprise.
Ses principales activités sont :
• Management de l’équipe opérationnelle du SOC
• Respect des « Service Level Agreements » (SLA) du SOC
• Garant de la bonne application des processus :

- Gestion des incidents,
- Optimisations des traitements
- Suivi des demandes de changements
- Garant de la cohérence et de la stratégie technique du SOC
• Animations des revues hebdomadaires, mensuelles.
• Définition et suivi des indicateurs de performance du SOC et mise en place des tableaux
de bord.
• Gestion des escalades et crises : coordination, plans d'actions, reporting, organisation

des opérations d'urgence
• Rédaction des rapports d'activités (tendances et statistiques opérationnelles des

menaces)
• Gestion de la communication du SOC vers les autres entités de l’entreprise
• Rédaction de messages pré formatés d’alerte
• Réalisation des opérations de niveau 2 et 3
Les missions de récupération/investigation (saisie de preuve, copie des informations, …) sur

les systèmes en réaction à un incident peuvent être portées par le SOC, le CERT ou les équipes
locales pour leur proximité avec les actifs. A définir en fonction de l’organisation de l’entreprise
(objectif : efficacité).
57
2.3.3. Gestion des Processus
De nombreux processus peuvent être définis au sein d’un SOC en fonction de son catalogue de
services. Nous allons se limiter à décrire les processus liés à la supervision des événements de
sécurité :
Processus de détection
Processus de qualification
Processus de veille
2.3.3.1. Processus de détection
Le processus de détection est principalement axé sur les moyens de supervision des
risques et la réception d’alertes. Néanmoins la supervision opérationnelle des propres
équipements d’un SOC doit également faire partie de ce processus. La première activité
composant ce processus est de filtrer les évènements entrants pour ne retenir que les éléments
pertinents notamment suppression des faux positifs à partir des bases de connaissances du SOC
et d’opérer un tri selon des critères de pertinence de l’évènement.
Cette activité est à la charge d’un analyste dit de niveau 1, cette tache doit être rapide. Si
l’analyste niveau 1 ne peut effectuer un tri et communiquer de manière exploitable l’alerte au
processus de gestion d’incident (c’est-à-dire si l’alerte n’a pas déjà rencontrée et n’a pas de
procédure associée), il doit faire appel à un niveau 2.
2.3.3.2. Processus de qualification
Le processus de qualification est un ensemble de taches attribuées au rôle d’analyste

niveau 2 du SOC. Ces taches incluent :
• L’étude des lots d’alertes remontées par les analystes niveau 1 après tri et priorisation.
• L’enrichissement et la contextualisation des informations liées aux alertes remontées

par les analystes niveau 1.
• La détermination de la véracité et de la sévérité de l’incident de sécurité sous-jacent.
58
• Dans le cas d’un incident de sécurité avéré, la détermination de la nécessite de passer
ces alertes à un processus de gestion d’incidents.
• L’isolation et la description des faux-positifs afin de les passer en entrée du processus
d’administration du SOC.
• Les investigations de qualification conduites par les analystes de niveau 2 conduisent :
- Soit à l’émission d’une alerte avérée à passer à un processus de gestion d’incident.
- Soit à la nécessite de procéder à d’avantage d’investigations ou de détecter d’autres
événements liés, ce qui renvoie en entrée du processus de détection.
2.3.3.3. Processus de veille
Le SOC se trouve confronté en permanence aux vulnérabilités du système

d’information, aux cybers menaces et aux attaquants qui en sont à l’origine. La veille dans ces
domaines est donc une fonction centrale du SOC pour garder un tempo de défense convenable.
Tous les membres du SOC doivent plus ou moins être impliqués dans ce processus. Cependant
cette implication revêt une importance particulière.
Le responsable du SOC doit s’assurer que son équipe se tient à jour des grandes tendances
d’évolution des menaces et des moyens de détection ainsi que de l’évolution du cadre
réglementaire et des exigences des métiers. Il doit également suivre la mise en œuvre des actions
correctives ou préventives à moyen et long terme.
Les analystes doivent collecter et synthétiser l’actualité en matière de scenarios d’attaque,
collecter et hiérarchiser les avis de sécurité publiés, rester informés des vulnérabilités des
composants du système d’information supervisé. Ils doivent également s’assurer de l’efficacité
des règles en fonction des nouvelles vulnérabilités et alertes.
Les étapes de la gestion des incidents de sécurité sont :

• La détection et signalement
• Prise en compte
• Réponse à l’incident SSI
• Actions post-incident
59
2.3.4. Etude comparative et choix de solution
2.3.4.1. SIEM
L’objectif de ce chapitre parle des SIEM qui est la roue motrice du SOC, les critères de
choix de notre outil et des outils de scan de vulnérabilité
Qradar security intelligence
a.) Description de la solution IBM Security SIEM Qradar
IBM Security SIEM QRadar est une solution propriétaire appartenant au constructeur /
éditeur IBM (International Business Machines Corporation), cette solution SIEM QRadar est
une plateforme de gestion de sécurité des réseaux et équipements qui offre une prise en charge
de la géolocalisation et de la conformité grâce à une combinaison de la connaissance de réseau
de flux, de la comparaison des événements de sécurité et de l'évaluation de la vulnérabilité des
actifs.
IBM SIEM QRadar consolide les données d'événements de journaux et de flux réseau à partir
de milliers de terminaux et d'applications distribués sur l'ensemble d'un réseau.
Il normalise et met en corrélation des données brutes pour identifier des infractions à la sécurité
et il utilise un moteur avancé Sense Analytics pour définir un comportement normal de base,
détecter des anomalies et des menaces avancées et supprimer des faux positifs. Qradar trie,
agrège, corrèle et affiche tous les événements de sécurité indépendamment des types
d'équipements surveillés.
• Collecte de données
La collecte de données constitue la première couche, où des données telles que des événements
ou des flux sont collectées depuis votre réseau. Le dispositif tout-en-un vous permet de collecter
les données directement depuis votre réseau
• Traitement des données
Après la collecte de données, dans la deuxième couche ou couche de traitement des données,
les données d'événement et de flux sont exécutées dans le moteur de règles personnalisées, qui
60
génère des infractions et des alertes, puis les données sont enregistrées dans l'espace de
stockage.
Figure 21: Présentation des composants de Qradar
b.) Les fonctionnalités de Qradar
QRadar offre les trois fonctions principales d'un SIEM :

• Alerter : en temps réel sur les intrusions dans les systèmes d’information
• Archiver : en temps différé toutes les informations de sécurité
• Analyser : l’ensemble de ces données
Outre ces fonctionnalités, IBM SIEM QRadar

• Offre une visibilité en temps réel de l'intégralité de l'infrastructure informatique pour la
détection et la hiérarchisation des menaces
• Réduit le nombre d'alertes et les hiérarchise pour concentrer les investigations des
analystes de sécurité sur une liste utile d'incidents suspectés et à forte probabilité.
61
• Optimise la gestion des menaces tout en offrant un accès aux données détaillées et en
générant des rapports d'activité utilisateur.
• Opère sur les différents sites et dans les environnements de Cloud.
• Offre un accès aux données détaillées et génère des rapports d'activité utilisateur pour
aider à gérer la question de la conformité.
• Offre un partage de services et une console centrale qui permettent aux fournisseurs de
service de fournir des solutions de renseignement de sécurité de manière rentable.
Splunk
a.) Description de la solution Splunk
Splunk Enterprise Security (ES) est un SIEM fournissant des renseignements sur les données
machine générées par des technologies de sécurité, et notamment des informations concernant
les réseaux, les terminaux, les accès, les logiciels malveillants, les vulnérabilités et les identités.
Splunk dispose de deux produits, Enterprise et Cloud, pour la recherche, l'alerte, la corrélation
en temps réel et la visualisation pris en charge par un langage de requête. Ils sont utilisés par
les équipes de support informatique et d'applications pour la gestion des journaux, l'analyse, le
suivi et la recherche avancée et la corrélation.
Son offre SIEM peut être déployée en tant que logiciel, dans un cloud public ou privé. La licence
est basée sur le volume de données indexé. Elle permet de détecter les attaques internes et
externes et d'y réagir rapidement ; les équipes de sécurité peuvent ainsi gérer plus simplement
les menaces, minimiser les risques et assurer la protection de leur activité.
Splunk Enterprise Security rationalise l'ensemble des processus de sécurité au travers de tous
types d’organisations quels que soient leur taille et leur domaine d'expertise. Que ce soit pour
assurer une surveillance continue en temps réel, pour prendre rapidement en charge les
incidents, pour équiper un centre des opérations de sécurité (SOC), ou pour donner aux
décideurs une visibilité sur les risques encourus par leur entreprise, Splunk ES offre la flexibilité
nécessaire pour personnaliser des recherches de corrélations, des alertes, des rapports et des
tableaux de bord, afin de répondre à des besoins spécifiques.
62
Figure 22 : Les atouts de Splunk
b.) Les points forts de Splunk
Splunk Enterprise Security accompagne les organisations dans les processus suivants :
• Surveillance en temps réel : obtenez une vision claire de la sécurité de votre
organisation, élaborez simplement des vues personnalisées et explorez les incidents en
profondeur jusqu’aux événements bruts
• Hiérarchisation et action : bénéficiez d'une vue sur la sécurité de vos données afin de
renforcer vos capacités de détection et d'optimiser vos délais de prise en charge des
incidents
• Investigations rapides : utilisez des recherches ad hoc ainsi que des corrélations
statiques, dynamiques et visuelles afin d'identifier les activités malveillantes
• Investigations en plusieurs étapes : effectuez des analyses de faille et des investigations
afin de suivre la trace des activités dynamiques liées à des menaces sophistiquées
• Splunk ES peut être déployé sous forme de logiciel, de service cloud, dans un cloud
public ou privé, ou dans le cadre d'un déploiement hybride (à la fois en tant que logiciel
et dans le cloud).
63
Figure 23 : Les fonctionnalités de splunk
LogRhythm
a) Description de la solution Logrythm
Thoma Bravo a acquis une participation majoritaire dans LogRhythm en juillet 2018.
LogRhythm commercialise sa plateforme de SIEM sous la marque LogRhythm NextGen, dans
des versions destinées respectivement aux grandes entreprises (LogRhythm Enterprise) et aux
entreprises de taille moyenne (LogRhythm XM). Ces deux configurations sont dotées l’une
comme l’autre des composants supplémentaires System Monitor (SysMon Lite et Pro),
Network Monitor (NetMon et NetMon Freemium) et CloudAI. La solution de SIEM peut être
déployée en version logiciel, ou sous forme d’appliance physique ou virtuelle. La version XM
consiste en une appliance tout-en-un, tandis que les divers composants de la plateforme
LogRhythm peuvent être déployés de manière indépendante en fonction des besoins,
respectivement sur site, en mode IaaS et en mode hybride. De plus, la solution prend nativement
en charge le multi-tenant. LogRhythm Enterprise et XM sont proposées sous forme de licences
64
basées sur les messages par secondes (MPS) et par jour. Ces licences peuvent être perpétuelles
ou à durée déterminée, de même que les contrats passés à l’échelle de l’entreprise. System
Monitor base ses tarifs sur les agents, tandis que Network Monitor est facturé selon le débit en
giga-octets par seconde. Le tarif de l’UEBA (User and Entity Behavior Analytics) en français
Analyse du comportement de l’utilisateur dépend quant à lui du nombre d’identités sous
surveillance.
En décembre 2017, LogRhythm a introduit un composant supplémentaire basé dans le cloud

pour compléter les fonctionnalités d’UEBA de sa plateforme. Le fournisseur a aussi introduit
ses fonctionnalités d’UEBA dans un produit indépendant. Les autres améliorations apportées à
la solution portent sur la détection d’identité et sur la surveillance de sources multiples vendues
sous la marque TrueIdentity, ainsi que sur les fonctionnalités de gestion des alertes et incidents.
Elles incluent par ailleurs des appliances physiques de nouvelle génération.
Les organisations en quête d’une solution de SIEM qui prenne nativement en charge le
monitoring réseau, les agents des points de terminaison, et l’analytics basé dans le cloud doivent
envisager le choix de LogRhythm.
a) Les Points forts de logRhythm
LogRhythm adopte une approche basée sur un fournisseur unique. Celle-ci s’adresse aux
acheteurs qui veulent une solution dotée d’options complémentaires et autonomes pour la
surveillance du réseau et de l’hôte, assorties de fonctionnalités d’UEBA.
La solution de SIEM de LogRhythm est axée sur la facilité de déploiement et d’utilisation. Elle
met l’accent sur les éléments UX et UI de l’application. Elle se concentre aussi sur l’utilisation
de contenu pré-packagé lors des fréquentes mises à jour de contenu, et sur les actions
SmartResponse pour faciliter le processus de gestion des incidents. L’administration et
l’activation des cas d’utilisation sont facilitées par les services Co-Pilot pour l’administration,
l’implémentation de l’analytics et la création de contenu personnalisé.
LogRhythm a fait l’objet d’un regain d’intérêt de la part des clients de Gartner au cours des 12
derniers mois, notamment parce que les clients TPE et les petites entreprises achètent sa
solution de SIEM en même temps que ses services de SIEM gérés. Le fournisseur met à profit
et élargit son activité axée sur le canal des revendeurs, en particulier en Amérique du Nord, ce
65
qui semble être à l’origine de cette visibilité accrue. Les clients de Gartner ajoutent souvent
LogRhythm à leurs shortlists.
c) Réserves
LogRhythm n’a pas de magasin d’applications lui permettant de mettre en avant ses
partenariats technologiques et ses intégrations, que ce soit à l’adresse des utilisateurs ou à des
fins de marketing, contrairement aux fournisseurs de SIEM concurrents qui possèdent des
magasins d’applications en ligne.
LogRhythm inclut à sa solution certains cas d’utilisation et certaines fonctionnalités de

remédiation, mais les acheteurs qui recherchent un produit de SOAR (Security Orchestration,
Automation and Response) indépendant devront se rabattre sur une solution tierce. La solution
peut s’intégrer avec Phantom (racheté par Splunk), Demisto, CyberSponse et ServiceNow. Les
acheteurs doivent se faire confirmer qu’ils pourront accéder à leur solution de SOAR préférée.
Le marketing de LogRhythm manque de clarté : sa plateforme se fait tantôt appeler « NextGen

SIEM Platform », tantôt « LogRhythm Threat Lifecycle Management (TLM) Platform ». Les
deux messages sont utilisés sur le site Web du fournisseur et dans son contenu marketing.
Les clients se disent moins satisfaits quant aux tarifs et à la flexibilité contractuelle offerts par
LogRhythm par rapport à certains de ses concurrents.
Choix de l’outils
Nous avons choisi les trois leaders en solution propriétaire puis procéder à une étude
comparative en soulevant les forces les fonctionnalités leur limites de chacune d’elle pour en
choisir celle qui répond à nos besoins.
D’après Gartner 2018 et des années précédentes nous remarquons que les deux solutions
propriétaire IBM Security Qradar et Splunk demeurent des leaders les mieux réputés par rapport
à LogRhythm
66
Tableau 4 : Classement Gartner des outils SIEM
67
Selon Gartner, nous notons Qradar et Splunk ont un niveau de maturité largement supérieur à
la solution logRhythm. En ce sens notre étude comparative exclut systématiquement cette
solution, en résumant la comparaison entre les 2 solutions les plus utilisées sur le marché
(Qradar et Splunk) voir image ci-dessous.
68
Tableau 5 : Etude comparative sur l’accessibilité entre Qradar et Splunk
Produit Lieu Capacité Intelligence Livraison Prix

d’utilisation d’enregistrement
Entreprises et Ingestion des Intègre Logiciel et $1800/GB/jour

Industries données Splunk UBA cloud
Splunk
journalièrement et
apprentissage
automatique
Industries et Plus de 400 UEBA, Machine, A partir de

entreprises sources de données Forensic logiciel et $10,400
et des millions EPS inspection de VM
Qradar (End point paquets et
Security) intégration
Watson
Tableau 6 : Etude comparative sur la capacité entre Qradar et Splunk
Capacité Splunk IBM Qradar
Real-Time Security Monitoring 3.4 4.0
Threat Intelligence 3.5 4.0
Behavior Profiling 3.7 3.8
Data & End User Monitoring 3.5 3.5
Application Monitoring 3.7 4.0
Analytics 4.2 3.9
Log Management & Reporting 3.9 3.6
Deployment & Support Simplicity 3.1 4.0
69
D’après le tableau de classement de Gartner nous remarquons qu’en 2017 IBM Security
Qradar est classé première par rapport à Splunk mais en 2018 Splunk le devance. Cependant
beaucoup d’entreprise utilise IBM Qradar vu que c’est un produit de IBM et disponible sur
boitier comparer à Splunk, mais son implémentation sur le matériel demande beaucoup de
ressources donc difficile de l’implémenter en simulation.
En résumé notre choix pour la mise en place du SIEM de notre SOC se porte sur Splunk.
2.3.4.2. Outil de Scan de vulnérabilité
Selon Forester, les vulnérabilités sont la première porte d’accès pour 53% des cyber-
attaques. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) préconise
l’ajout d’un scanner de vulnérabilité en continu comme bonne pratique de réduction de risques.
Ce type de solution permet une meilleure détection et une amélioration de la réaction face aux
menaces. Par ailleurs, maintenir ses systèmes en conformité permet d’en réduire le périmètre et
donc les vulnérabilités. Vérifier toute évolution de ces états facilite la réaction à un
dysfonctionnement ou à l’exploitation d’une brèche.
Nessus
Nessus est un outil automatique de scanneur de vulnérabilité des systèmes

d’information. Il détecte les anomalies potentielles ou avérées sur les machines scannées. Il
permet via un mode client/serveur et à l’aide de Metasploit de lancer des attaques sur les
systèmes d’information et les résultats sont présentés sous forme de rapport. Nessus possède
une base d’attaques importante et permet de tester les applications Web. Il est compatible avec
Windows et Linux.
Son utilisation peut donc être à double tranchant. D'un côté, une équipe sécurité peut l'utiliser
pour scanner son réseau dans le but de prévenir les intrusions et les dénis de service. D'un autre
côté, un hacker peut l'utiliser à des fins illégales et en profiter pour exploiter les vulnérabilités
déclarées.
En plus, Nessus stocke et gère toutes ses failles de sécurité grâce à un système de plugins.
Nessus permet la découverte des machines sur le réseau en balayant les ports ouverts ainsi
70
identifie les services actifs, leurs versions. Nessus possède des plugins comme Hydra qui
permet de tester la robustesse des mots de passe des applications Web.
Nessus nous permet de faire des scans de vulnérabilités pour plusieurs machines, notamment
16 adresses IP pour version gratuite et illimité pour la version Pro.
Les principales caractéristiques de Nessus sont :
• Découverte d’actifs à haut débit
• Audit de la vulnérabilité
• Détection de malware/Botnets, etc…
• Configuration et audit de conformité
• Scan et audit des plateformes virtuelles et de cloud
• Etc…
Qualys
a) Description de la solution QualysGuard
QualysGuard Vulnerability Management automatise l’audit du réseau et la gestion des

vulnérabilités à travers l’entreprise, notamment grâce à la découverte et à la cartographie du
réseau, à la classification des actifs par priorité, au reporting de l’évaluation des vulnérabilités
et au suivi des actions correctives en fonction des risques métier. Grâce à QualysGuard
Vulnerability Management, les responsables de la sécurité peuvent auditer, appliquer et
documenter les efforts réalisés en matière de sécurité du réseau, conformément aux politiques
internes et à la réglementation en vigueur.
Cette solution de sécurité logicielle disponible sous la forme de service à la demande (SaaS :
Software as a Service) ne nécessite aucun déploiement. QualysGuard VM permet aux
entreprises de gérer efficacement leurs vulnérabilités et garantir le contrôle de leur sécurité
réseau avec des rapports centralisés, des solutions approuvées ainsi que des fonctionnalités
complètes de gestion des actions correctives avec génération de tickets d’incidents.
QualysGuard fournit des rapports complets sur les vulnérabilités, notamment avec les niveaux
de gravité, des estimations sur les délais de résolution et l’impact sur l’activité, ainsi que des
analyses de tendances concernant les problèmes de sécurité.
QualysGuard VM est disponible via un abonnement annuel qui varie selon le nombre d’adresses
IP scannées (externes et internes).
71
c) Les fonctionnalités de la solution
Les fonctionnalités des applications incluent la découverte et l'inventaire des actifs, la gestion
des vulnérabilités, la priorisation des mesures correctives, la surveillance de la conformité, la
sécurité des conteneurs, l'analyse des applications Web et le pare-feu, la surveillance de
l'intégrité des fichiers, l'indication de compromission, etc…
Cette solution engendre entre autres une panoplie de fonctionnalité, parmi ceux nous en
choisissons et citons quelques-unes :
• Découvrir et hiérarchiser tous les actifs réseau sans logiciel à installer ou à maintenir
• Identifier et résoudre de manière proactive les failles de sécurité
• Gérer et réduire les risques pour votre entreprise.
• Garantir la conformité aux lois, réglementations et politiques de sécurité de l’entreprise
• Intégrer des applications tierces et clientes via une API XML extensible
• Distribuer les mesures correctives via un moteur de workflow complet
Figure 24 : Interconnexion de QualysGuard
72
Ikare
a) Description de la solution Ikare
IKare automatise la mise en place des meilleures pratiques de sécurité et du Management des
Vulnérabilités. L’outil fournit à la fois une solution simple de monitoring de l’ensemble du
système d’information une gestion et un contrôle faciles des principaux facteurs de sécurité.
La solution de gestion des vulnérabilités IKare analyse les réseaux informatiques et détecte les
équipements mal configurés, les défaillances ou faibles mots de passe et les applications non
mises à jour. IKare aide aussi bien les petites que les grandes organisations à maintenir un
environnement informatique sécurisé. Elle effectue les évaluations en continue afin de détecter
les nouvelles vulnérabilités à temps, et permet d’accélérer l’atténuation ou la correction des
risques.
IKare permet de bénéficier d’un outil de surveillance sécurité très évolué propre à mener des
actions correctives efficaces et instantanées sur votre informatique. Grâce entre autres à son
moteur OpenVAS, IKare réduit jusqu’à 90% le taux de vulnérabilité informatique de
l’entreprise (90% est aussi le taux de réussite des audits intrusifs réalisés par les Experts de
ITrust chez ses clients).
IKare automatise les processus de gestion et contrôle des vulnérabilités dans toute
l'organisation. Ainsi quelle que soit la taille de votre organisation, IKare permet de garder le
contrôle et de gérer efficacement la sécurité de votre réseau. IKare inclut les caractéristiques
suivantes :
• Découvertes des actifs réseaux
• Monitoring sécurité
• Gestion des vulnérabilités
• Analyse des menaces
b) Les avantages de Ikare
Cette dernière requiert une multitude d’avantage parmi ceux nous en citons 5 :
• Faire chuter l’exposition aux risques informatiques (règle des 90%).

• Vous mettre en complète conformité réglementaire.
• Rassurer vos clients et augmenter vos marges commerciales.
73
• Dégager votre responsabilité en cas de compromission des données.
• Viabiliser et faire chuter vos coûts opérationnels.
Figure 25 : Les étapes de scan sur IKARE
d) Les apports de la solution Ikare
Les principaux apports de la solution sont les suivants :

• Audit des vulnérabilités temps réel,
• Identification proactive des problèmes de sécurité, Alertes de sécurité
• Découverte automatisée de l’infrastructure et des applications,
• Gestion de Business Unit,
• Groupes virtuels permettant une vue décisionnelle de la sécurité,
• Conformité CNIL et E-Privacy et règles métier.
74
Tableau 7 : Etude Comparative sur les solutions de vulnérabilités
Scanner de vulnérabilité Nessus Qualys Guard Ikare
Vulnerability
Topologie principale de Grands compte, PME Grand compte PME

client
Scan applicatif Oui oui Oui
Découvertes d’hosts oui oui Oui
Possibilité de générer des oui oui Oui

attaques intrusives
Format des fichiers de CSV et PDF HTML, XML et PDF XML, PDF, CSV et
rapport HTML
Couverture du top 20 oui oui Oui

selon NIST et ANNSI
Possibilité d’importer non non non

une liste d’adresse IP
issue d’un autre outil
Possibilité de scanner oui oui oui

plusieurs machines IP
simultanément
Possibilités de scanner de non oui non

façons exhaustive et
automatique des
machines modifiées
Nombre IP version 16 IP Licence externe Licence 32 IP bridée

gratuite internet et 1 URL
75
Choix de solution de scan de vulnérabilité
Suite à la comparaison des outils de scanner de vulnérabilité, le choix s’est porté sur
deux outils Nessus et ikare. Nessus est installable sous forme de logiciel sur un PC en local et
à partir de ce dernier nous avons l’habilité de scanner tous les équipements connectés sur le
réseau.
A propos d’ikare, il est installable suite à un téléchargement de l’iso sur leur plateforme. Lors
de la configuration de ikare, cette dernière récupère une adresse ip dans le réseau et obtient une
vision globale de notre parc informatique qui nous permettra de scanner tous équipements.
Maintenant, Nessus s’en charge du scanner de vulnérabilités des équipements mobiles
(ordinateurs portables, smartphones etc..), en parallèle ikare s’en charge de scanner les serveurs
car le scanner des serveurs nécessite du temps et peut agir sur la disponibilité des ressources.
76
Troisième partie
Implémentation
77
III. Implémentation
Ce chapitre va s’accentué sur l’implémentation de notre outil SIEM, de scan de vulnérabilité

et un scenario de simulation d’attaque pour tester notre SIEM.
Présentation de notre architecture
Figure 26 : Architecture de notre SIEM
La figure ci-dessus présente notre architecture réseau de manière générale. Les éléments
figurant sont l’internet représenté par des nuages connecter directement à notre routeur. Le IPS
(Intrusion Protection System), le IDS (Intrusion Detection System), les contrôles applicatifs, le
filtrage web et le VPN (Virtual Private Network) est gérer par notre UTM (Unified Threat
Management) Fortigate qui englobe beaucoup de fonctionnalité.
Notre réseau est séparé en deux zones : une zone DMZ (Demilitarized Zone) où se trouve nos
serveurs et une Zone interne composé de l’espace utilisateur et l’espace server dont note notre
fameux SIEM.
Le serveur qui héberge notre SIEM est un serveur physique avec un système d’exploitation
linux et une distribution de CentOS 8.
78
Cout de déploiement
Tout déploiement de solution nécessite un coût. Même si ce dernier ne peut pas être déterminé
de manière exacte, une estimation du prix des outils et des ressources peut se faire de manière
approximative.
Rappelons que le SOC est composé de Managers (responsable SOC, …), d’Analystes (Niveau
1, 2, 3), Pentesters, …
A part les ressources humaines on a aussi les technologies qui sont l’ensemble des outils qui
permettent de mener à bien le travail d’un SOC.
De ces outils on retrouve les SIEMs, les outils de scan de vulnérabilité, les outils de gestion des
processus, les systèmes de détections, d’alertes …
Pour estimer le cout d’un SOC on a le salaire de chaque ressource humaine qui peut varier de
800.000 à 4.000.000 même plus dépendant de la grille salariale de l’entreprise.
Chaque technologie aussi à un prix qui est disponible sur devis sur le site de l’outil.
Le tableau ci-dessous donne une estimation des coûts de chaque outil
Tableau 8 : Tableau des couts de déploiement
Outils Spécifications Quantité Prix en Fcfa

Serveur Lenovo Thinkserver 01 3.000.000
SIEM Splunk 01 1.600.000/an

Nessus 01 3.600
Scan de Ikare 01 1.200.000/an
Vulnérabilité
Metasploite 01 --
Kali Linux 01 --
Moyenne -- -- 5.000.000 /an
79
Selon le site tekkit.io, pour une surveillance et analyse 24/7 via un SOC externalisé, il faut
compter un budget entre 300k€ à 700k€ alors qu’une internalisation du SOC coûte entre
1 000k€ et 2 000k€ ce qui inclut le développement et le maintien de la plateforme mais pas les
coûts technologiques.
3.1. Scan de vulnérabilité
Dans ce chapitre, nous allons aborder la mise en place de Nessus
3.1.1. Mise en place de Nessus
Tout d’abord, pour aider Nessus à bien faire son travail et éviter de rechercher et de scan les
hots inactifs qui pourrait agir sur l’utilisation des ressources, nous souhaitons utiliser Angry IP
Scanner qui est un logiciel libre de balayage de port utilisé pour rechercher la présence de
périphérique informatique connecté à un réseau TCP/IP appelé.
Il suffit juste de lui renseigner une adresse réseau ou une plage d’adresse puis il s’en charge
directement du travail, en effet nous voyons sur la figure ci-dessous qu’en moins de 7s il a pu
scanner plus 20 hôtes dont il trouve 5 hôtes actifs avec leurs adresses IP et leurs noms respectifs.
80
Figure 26 : Résultat de Angry IP Scanner sur notre réseau
3.1.1.1. Création d’une nouvelle stratégie
Suite à une bonne installation de Nessus sur machine Windows, la figure ci-dessous nous
permet d’accéder au tableau de bord de Nessus après avoir bien renseigner le login et password.
81
Figure 27 : Interface de connexion de Nessus
Lors d’une connexion, nous accédons directement à l’interface graphique qui demeure
complète, simple et intuitive avec ces différents services (Policies, Scan, Plugins Rules) et les
assistances natives permettant de mettre en place des stratégies qui peuvent être utilisés à des
fins de scanner de vulnérabilité ou d’audit. Voir figure ci-dessous
82
Figure 28 : Template des scans sur Nessus
La figure ci-dessus engendre plus de 20 assistants de stratégies native déjà préconfigurer selon
nos besoins d’audit ou scan qui pourrait nous aider à bien faire notre travail. Il nous suffit de
cliquer sur une assistante pour s’imprégner de la documentation. Nous pouvons ensuite
sectionner selon notre choix de travail étant donné que chaque assistant diffère de l’autre.
Dans notre cas nous souhaitons faire un scan avancé du réseau local, afin de recenser toutes les
vulnérabilités existant au sein de notre parc informatique et apporter une couche corrective.
83
3.1.1.2. Création de scan avancer
Pour ce faire nous choisissons l’assistance ‘’Advanced Scan’’ pour effectuer un scan avancé de
notre parc informatique.
Figure 29 : Création de scan avancée
Il engendre trois onglets de configuration : les paramètres généraux, les privilèges et les Plugins.
Voir figure ci-dessous
Figure 30 : Onglet de configuration de Nessus
Lorsqu’on accède à l’interface Advanced Scan, nous pouvons renseigner les paramètres
de bases tels que :
• Le nom ‘’ouse_scan_avancée ‘’
• La description
• Le dossier de contenance
84
• Les cibles (les 4 adresses IP actifs trouvées en amont par le logiciel Angry IP Scanner)
voir la figure ci-dessus.
Figure 31 : Les paramètres de bases de notre scan
La rubrique suivante désignant programme, nous permet de planifier le moment des scans soit
(journalière ou hebdomadaire, mensuelle, trimestrielle ou annuelle) en plus de la date et l’heure
et les nombres de répétitions (par exemple : on peut configurer de telle sorte que chaque jour à
09h 30 se déclenche un scan automatique du réseau) voir figure ci-dessous.
85
Figure 32 : Onglet programme
Sur les rubriques suivantes nous pouvons renseigner notre email pour recevoir les notifications
sous forme de rapport soit en type CSV, pdf, html.
La rubrique découverte gère les ping avec les différents protocoles utilisées (ARP, TCP, ICMP
etc…) suivi d’un balayage de port et la découverte de serveur.
Sur la partie évaluation existe une répertoire Windows permettant de scanner de manière
approfondie en interrogeant (SystemRoot, ProgramFiles, ProgrammeData, Analyse des profils
d’utilisateurs) des cibles Windows. (Voir Annexe)
L’onglet plugin
L'onglet « Plugins » permet à l'utilisateur de choisir des contrôles de sécurité spécifiques en

fonction du groupe de plugins ou des contrôles individuels
86
Figure 33 : Onglet plugin
Après avoir paramétrer les informations sur le scan, nous cliquons sur « Save » (Enregistrer).
Une fois la soumission effectuée, le scan commence immédiatement si « Now » (Maintenant)
a été sélectionné, avant que l'affichage ne revienne à la page générale « Scans » (Scans).
87
Figure 34 : Lancement du scan
3.1.1.3. Résultat de scan Avancée
A la fin du scan, nous pouvons parcourir les résultats du scan de ‘’Ouse_Scan_Avancé’’, en

cliquant sur un rapport dans la liste.
La figure ci-dessous montre relativement le résultat du scan des 04 hôtes avec un code couleur
indiquant le degré de criticité, cela nous permet d’avoir une vision récapitulative sur les
équipements vulnérables au sein de notre parc.
Nous pouvons également exporter le résultat en extension (Nessus, HTML, CSV etc.).
88
Figure 35 : Résultat de notre scan
Remarque : Ces résultats nous donnent l’avantage d’une aperçue sur les faiblesses dans notre
parc informatique, qui doivent être remédier avec des méthodes correctives (mise à jour,
patch,etc…) le plus rapidement possible avant les malveillant exploitent les failles.
3.2. Outil SIEM

3.2.1. Déploiement de Splunk
Suite à une bonne installation et configuration de Splunk sur Centos (Voir Annexe) des captures
ont été prise pour expliquer l’utilité de chaque partie c’est à dire le rôle de quelques onglets lors
de l’exploit de Splunk.
Maintenant, nous allons passer directement à la connexion de l’interface graphique après avoir
bien renseigner le login et password afin d’accéder aux différents services de ce dernier.
89
Figure 36 : Interface de connexion de splunk
3.2.1.1. Onglet Tableau de bord
L'onglet Tableau de bord est l'onglet par défaut qui s'affiche lorsque nous nous connectons. Il
nous fournit un environnement d'espace de travail prenant en charge plusieurs tableaux de bord
sur lesquels nous pouvons afficher nos vues de sécurité des réseaux, d'activité ou de données
collectées par Splunk.
90
Figure 37 : Tableau de bord de splunk
Sur l’interface on voit quatre icones présenter sur la figure ci-dessus.
Onglet présentation nous permet d’avoir la présentation de chaque entrés de données,

sur la fonction recherche et du tableau de bord
Figure 38 : Onglet présentation
Onglet entrées des données
91
Cet onglet nous permet d’ajouter des données à splunk telles que des données cloud, de réseau,
de système d’exploitation et de sécurité.
Figure 39 : Onglet entrées des données
Sur le ruban il y’a le nom de l’administrateur du SIEM, les messages générer par notre
plateforme, paramètres, activités et l’onglet aide.
92
Figure 40: Ruban de notre SIEM
3.2.1.2. Onglet paramètre
L’onglet paramètre engendre beaucoup de services. C’est à ce niveau qu’on va administrer notre
serveur, la gestion des utilisateurs, des environnements distribuées (forwadeurs, indexeur…)
Figure 41: Onglet paramètre
93
3.2.1.3. Onglet recherche
Onglet recherche nous permet d’effectuer toutes formes de recherche sur notre SIEM
Figure 42: Onglet recherche
94
Figure 43: Informations sur les rapports
Pour que splunk puisse recevoir les évènements du réseau ou bien d’un hôte il faut que ce
dernier installe le Splunk universal forwader expliqué par le paragraphe ci-dessous.
Splunk universal forwader
Les transitaires fournissent une collecte de données fiable et sécurisée à partir de diverses
sources et fournissent les données à Splunk Enterprise ou Splunk Cloud pour indexation et
analyse. Il existe plusieurs types de redirecteurs, mais le plus courant est le redirecteur universel
ou splunk universal forwader (SUF) en Anglais, un agent à faible encombrement, installé
directement sur un point de terminaison. Les redirecteurs envoient automatiquement des
données basées sur des fichiers de toute sorte à l'indexeur Splunk. Dans la plupart des cas, il
s'agit d'une sorte d'événements de journal, mais les fichiers peuvent contenir toutes les données
dans n'importe quel format.
95
Les redirecteurs universels sont gérés de manière centralisée, ne nécessitent aucune
configuration et sont transparents pour les opérations des terminaux. Les grands clients Splunk
déploient des milliers de redirecteurs universels pour collecter des données à partir des serveurs,
des applications, des points de terminaison des employés et de tout système Windows ou Unix,
quel que soit leur emplacement.
Le redirecteur universel :
• Transfère les données des systèmes distants en toute sécurité en temps réel.
• Dispose une surcharge de ressources minimale et un impact sur les performances des
terminaux.
• Prend en charge des milliers de formats de données machine.
• Fournit de nombreuses fonctionnalités telles que SSL, la compression et la mise en
mémoire tampon.
Installation de splunk universal forwader sur notre client (voir annexe)
Après une bonne installation de SUF sur les machines à supervisé on peut voir les évènements
et le forwadeur correspondant sur notre plateforme splunk.
96
Figure 44: Vu sur les évènements sur notre plateforme
Figure 45: Vu des forwadeurs sur notre SIEM
97
Figure 46: Informations des évènements sur un forwadeurs
3.3. Scenario (simulation d’une attaque interne)
Le travail consiste à contrôler une machine d’un employé à distance de manière illégale par le
biais d’un attaquant possédant un PC (Kali Linux) et enfin observer la réaction de Splunk par
rapport à l’attaque.
98
Figure 47 : Adresse IP de l’Attaquant
3.3.1. Démarche
En résumé nous allons créer un payload autrement dit un script permettant de se connecter sur
la session de la cible et même contrôler le PC afin d’usurper certaines informations sensibles.
En occurrence lors de la création du payload, il est essentiel de renseigner l’adresse IP de
l’attaquant comme étant le serveur de la machine cible, en plus ajouté le mode (reverse_tcp)
qui permet à l’attaquant d’être en mode sous écoute de la cible c’est à dire la cible cherchera
toujours à joindre l’attaquant et lui envoyé ces informations sensibles.
99
Figure 48 : Procédure de création d’un payload
100
Figure 49 : Procédure de création d’un payload (suite)
Figure 50 : Renseignement de l’adresse IP de l’attaquant et du port
101
Figure 51 : Payload créer
Après avoir installé le payload sur la cible, l’attaquant peut voir les sessions ouvertes par notre
payload à distance (voir image suivante)
Figure 52 : Vu des sessions ouverts sur notre session cible
102
Figure 53 : Réaction de splunk
En somme, notre objectif a été bien atteint car notre SIEM a pu détecter le trafic anormal entre
l’attaquant et sa cible de manière proactive et la remédiation va être effectuer le plus rapidement
possible grâce au plan mise en place
103
Conclusion
Un SOC est avant tout une équipe d’experts en sécurité. Le succès de son intégration et
de son maintien en conditions opérationnelles dépendra certes des moyens techniques mis en
œuvre mais avant tout du maintien de la compétence humaine mobilisée. Le SOC doit s’inscrire
dans la stratégie globale de sécurité du SI et disposer de missions claires et établies pour pouvoir
être dans un premier temps évalué et pour établir ses limites. Il ne doit pas seulement être un
moyen de contrôle en aval mais aussi un moyen de prévention positionné en amont.
Le travail technique consistait tout d’abord à évaluer l’ensemble des risques auxquels
notre réseau est confronté et définir ses processus critiques, puis passer directement à
l’implémentation de notre fameux SIEM Splunk, et enfin la dernière étape consistait à tester la
robustesse de détection de notre SOC en simulant une attaque interne et voir la réaction de cette
dernière face au scénario.
La réalisation d’un Proof of Concept (POC) sur quelques cas d’utilisation simple nous
a permis de valider les prérequis techniques (collecte des traces, horodatage des évènements)
et organisationnels (processus de gestion d’incident, communication, escalade), ainsi que
l’outillage SOC (SIEM, Scan de vulnérabilité). En effet, l’amélioration continue est une
caractéristique majeure du SOC, avec les évolutions permanentes des règles de détection pour
la prise en compte de nouvelles menaces et/ou retour d’expérience suite à incident, la réduction
des faux positifs, sans oublier la documentation (fiches réflexe, processus de gestion
d’incidents, …).
En guise de perspective, nous comptons mettre en place une grande plateforme ‘SOC-
As-A-Service’ basée sur le cloud, dont le but est de se rapprocher aux petites et moyennes
entreprises disposant d’infrastructure modeste en leur proposant une solution ‘SOC on demand’
afin d’assurer la sécurité des SI mais aussi l’intégration de l’intelligence artificielle qui prend
du galon dans les SOC.
104
Bibliographie
1. Livres :
10 strategies-cyber-ops-center.pdf Joseph Muniz Cisco

SecurityOperationsCenter_eBook.pdf Wunder, John: STIX 2.0 Finish Line, 2017c.
Livre blanc L’intelligence artificielle, vraie rupture en cybersécurité
Livre blanc Tous ce que vous avez toujours voulu s’avoir sur les SOC
Cybersécurité, sécurité informatique et réseau Solange Ghernaouti 5e edition 370p
Supervision de la securite du système d’information dans les secteurs banque et assurance
2. Mémoire :
Etude et mise en place d’une PKI avec les outils Open Source de Iliassou DIALLO
Etude et mise en place d’un Security Operations Center de Ahmed Jamil BA
xii
Webographie
https://www.netacad.com/courses/cybersecurity/cyberops-associate [Date de dernière

consultation le 14/10/2020]
https://www.scidev.net/afrique-sub-saharienne/fosse-numerique/article-de-fond/afrique-et-
cybercriminalite-le-cas-du-senegal.html [Date de dernière consultation le 17/11/2019]
https://www.mitre.org/publications/all/ten-strategies-of-a-world-class-cybersecurity-
operations-center [Date de dernière consultation le 12/09/2019]
https://www.lemagit.fr/definition/SOC [Date de dernière consultation le 08/07/2019]
https://www.ibm.com/products/qradar-siem [Date de dernière consultation le 17/11/2019]
https://www.esecurityplanet.com/products/ibm-security-qradar-siem.html [Date de dernière

https://www.oracle.com/fr/cloud/soc-security-operations-center.html [Date de dernière

https://www.splunk.com/en_us/cyber-security.html [Date de dernière consultation le

07/12/2019]
https://www.iso.org/fr/isoiec-27001-information-security.html [Date de dernière consultation

le 17/11/2019]
https://www.itrust.fr/scanner-de-vulnerabilite/ [Date de dernière consultation le 14/01/2020]
https://www.informatiquenews.fr/soc-role-cybersecurite-selon-gartner-54048 [Date de
dernière consultation le 08/11/2019]
https://www.riskinsight-wavestone.com/2020/07/booster-sa-cybersecurite-grace-a-du-
machine-learning%e2%80%af-2-2/ [Date de dernière consultation le 10/02/2020]
https://www.wooxo.fr/Wooxo-news/Le-blog-Wooxo/Nouvelle-reglementation-RGPD-et-
protection-des-donnees-ce-que-les-entreprises-doivent-savoir [Date de dernière consultation le
02/10/2019]
https://www.techniques-ingenieur.fr /normes-iso-2700x-vers-la-gouvernance-de-la-securite-
des-systemes-d-information-g9060/ [Date de dernière consultation le 24/09/2019]
xiii
Annexe
Annexe 1 : Installation de Splunk
Ci-dessous un petit résumé de la procédure d’installation de Splunk sur notre système linux
Centos.
Copie de Splunk sur Centos avec Winscp
Extraction de splunk
Ajout du groupe et de l’utilisateur Splunk
Vérification de la création
xiv
Copie de notre l’extrait splunk sur notre dossier splunk
Installation et lancement de Splunk
Acceptation de licence
Interface d’accueil de connexion de splunk
Annexe 2 installation de splunk universal forwader
Choix du compte d’installation
Renseignement du nom d’utilisateur et du mot de passe

Sélection des éléments à monitorer
Installation terminer
Annexe 3 : installation de Nessus
Interface de connexion de Nessus

Tables des matières
A la mémoire de .......................................................................................................................... i
Dédicace ..................................................................................................................................... ii
Remerciements .......................................................................................................................... iii
Avant-Propos ............................................................................................................................. iv
Sommaire ................................................................................................................................... v
Glossaire .................................................................................................................................... vi
Listes des figures ...................................................................................................................... vii
Liste des tableaux ...................................................................................................................... ix
Résumé ....................................................................................................................................... x
Abstract ..................................................................................................................................... xi
Introduction générale .................................................................................................................. 1
I. Cadre théorique et méthodologique ................................................................................... 3
1.1. Cadre théorique............................................................................................................ 3
1.1.1. Contexte générale ................................................................................................. 3

1.1.2. Problématique....................................................................................................... 4
1.1.3. Objectifs de recherche .............................................................................................. 4
1.1.4. Pertinence du sujet ................................................................................................... 5
1.2. Cadre méthodologique ................................................................................................. 6
1.2.1. Présentation d’un SOC ........................................................................................ 6

1.2.2. Délimitation du champ d’étude ............................................................................ 8
1.2.3. Techniques d’investigation....................................................................................... 8
1.2.4. Difficultés rencontrées ......................................................................................... 9
II. Etude détaillés .................................................................................................................. 11
2.1. Généralité sur la sécurité ........................................................................................... 11
2.1.1. Objectifs de la sécurité ....................................................................................... 11

2.1.2. Domaines d’applications .................................................................................... 13
2.1.2.1. Sécurité physique et environnementale ........................................................... 13
2.1.2.2. Sécurité de l’exploitation ............................................................................... 14
2.1.2.3. Sécurité logique, applicative et sécurité de l’information .............................. 15
2.1.2.4. La sécurité des infrastructures de télécommunication ................................... 16
2.1.2.5. La sécurité des applications et des contenus .................................................. 16
2.1.2.6. Sécurité par le chiffrement ............................................................................. 17
2.1.3. Cybersécurité ...................................................................................................... 19
2.1.3.1. Exemples de risques liés à la cybersécurité ................................................... 20
2.1.4. Différentes facettes de la sécurité ....................................................................... 20
2.1.4.1. Diriger la sécurité ........................................................................................... 20
2.1.4.2. Politique de sécurité .................................................................................... 21
2.1.4.3. Audit des systèmes d’informations ............................................................. 25
2.1.5. Les Cyberattaques .............................................................................................. 26
2.1.5.1. Attaque par déni de service ............................................................................ 26
2.1.5.2. Attaque de l’homme du milieu ....................................................................... 27
2.1.5.3. Attaque phishing ............................................................................................ 28
2.1.5.4. Attaque par mot de passe ............................................................................... 28
2.1.5.5. Attaque par injection SQL.............................................................................. 28
2.1.5.6. Attaque XSS (Cross-site scipting).................................................................. 29
2.1.5.7. Attaque par écoute illicite .............................................................................. 29
2.1.5.8. Attaque par des logiciels malveillants ............................................................ 30
2.1.6. Gestion des risques ............................................................................................. 31
2.2. Généralités sur le SOC .............................................................................................. 31
2.2.1. Concept & fondamentaux d’un SOC ................................................................. 32

2.2.1.1. Activité d’un soc ............................................................................................. 34
2.2.1.2. Les différents modèles d’un SOC .................................................................. 34
2.2.2. Complémentarité entre SOC et CERT/CSIRT ................................................... 38
2.2.2.1. Différence entre SOC et CERT ...................................................................... 38
2.2.2.2. Synergie entre SOC et CSIRT ........................................................................ 39
2.2.3. Journaux, événements, alertes et incidents............................................................ 42
2.2.3.1. Journaux / Enregistrements ............................................................................ 42
2.2.3.2. Evènements .................................................................................................... 42
2.2.3.3. Alerte .............................................................................................................. 43
2.2.3.4. Incident ........................................................................................................... 43
2.2.4. Recommandation & aspect juridique sur la cybercriminalité ............................... 44
2.2.4.1. Loi sur la cybercriminalité au Sénégal ........................................................... 44
2.2.4.2. Recommandation de l’ANSSI et CNIL .......................................................... 47
2.3. Les composants du SOC ............................................................................................... 48
2.3.1. Technologies .......................................................................................................... 50

2.3.1.1. SIEM .............................................................................................................. 50
2.3.2. Ressources humaines.............................................................................................. 54
2.3.2.1. Les compétences que doivent avoir l’équipe SOC......................................... 54
2.3.2.2. Les rôles au sein de l’équipe .......................................................................... 55
2.3.3. Gestion des Processus ............................................................................................ 58
2.3.3.1. Processus de détection .................................................................................... 58
2.3.3.2. Processus de qualification .............................................................................. 58
2.3.3.3. Processus de veille ......................................................................................... 59
2.3.4. Etude comparative et choix de solution ................................................................ 60
2.3.4.1. SIEM .............................................................................................................. 60
2.3.4.2. Outil de Scan de vulnérabilité ........................................................................ 70
III. Implémentation............................................................................................................. 78
3.1. Scan de vulnérabilité .................................................................................................... 80
3.1.1. Mise en place de Nessus........................................................................................ 80

3.1.1.1. Création d’une nouvelle stratégie ................................................................... 81
3.1.1.2. Création de scan avancer ................................................................................ 84
3.1.1.3. Résultat de scan Avancée ............................................................................... 88
3.2. Outil SIEM ................................................................................................................... 89
3.2.1. Déploiement de Splunk .......................................................................................... 89

3.2.1.1. Onglet Tableau de bord .................................................................................. 90
3.2.1.2. Onglet paramètre ............................................................................................ 93
3.2.1.3. Onglet recherche............................................................................................. 94
3.3. Scenario (simulation d’une attaque interne) ................................................................. 98
3.3.1. Démarche .............................................................................................................. 99

Conclusion .............................................................................................................................. 104
Bibliographie ............................................................................................................................ xii
Webographie ........................................................................................................................... xiii
Annexe .................................................................................................................................... xiv
Tables des matieres ................................................................................................................. xvi

Memoire Ousmane SYLLA

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Memoire Ousmane SYLLA

Transféré par

Droits d'auteur :

Formats disponibles

REPUBLIQUE DU SENEGAL

UN PEUPLE-UN BUT-UNE FOI

Ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation

Institut Supérieur d’Informatique

Mémoire de Fin de Cycle Pour l’Obtention du Master Professionnel

Etude et mise en place d’un centre

Présenté et Soutenu par : Sous la Direction :

Année Académique : 2018-2019

On désire aussi remercier tout le corps professoral de l’ISI particulièrement à M. Thierno

L'éducation en général et la formation professionnelle en particulier, figure depuis

Introduction générale .................................................................................................................. 1

1.2. Cadre méthodologique ................................................................................................. 6

1.2.2. Délimitation du champ d’étude ................................................................................... 8

II. Etude détaillés .................................................................................................................. 11

2.2. Généralités sur le SOC .............................................................................................. 31

2.3. Les composants du SOC ............................................................................................... 48

3.2. Outil SIEM ................................................................................................................... 89

3.3. Scenario (simulation d’une attaque interne) ................................................................. 98

Conclusion .............................................................................................................................. 104

ANSSI Agence National de la Sécurité Des Systèmes D’Informations

CERT Computer Emergency Response Team

CIRCL Computer Incident Response Centrer Luxembourg

CNIL Commission Nationale De L’informatique Et Des Libertés

CSOC Cyber Security Operations Centrer

DDoS Distributed Denial Of Service

EPS Event Per Second

FPM Flow Per Minute

HIDS Host-Based Instrusion Detection Sytem

SEM Security Event Management

SIEM Security Information And Event Management

SIM Security Information Management

SLA Service Level Agrement

SOC Security Operations Center

SSH Secure Shell

SSI Sécurité Des Systèmes D’informations

TLS Transport Layer Security

VPN Virtual Private Network

WAN Wide Area Network

UEBA User and Entity Behavior Analytics

Figure 1 : Vue global d’un SOC................................................................................................. 8

Tableau 1 : SOC Dédiés/Internalises ....................................................................................... 36

Ce document est structuré en trois parties :

Ce chapitre s’accentue sur le contexte général, la problématique, la pertinence du sujet,

1.1.1. Contexte générale

Dans un monde hyper connecté, les cyberattaques ne cessent de se multiplier et

La cybercriminalité est désormais agile, industrialisée, structurée et professionnelle.

La problématique revient à répondre les questions suivantes :

• Qu’est-ce qu’un SOC, quelles sont ses missions ?

• Comment s’intègre-t-il dans la stratégie de défense de l’entreprise ?

• Quelles sont les fonctions d’un SOC ?

• Comment un SOC nous permet de surveiller la sécurité, de prévenir les attaques,

1.1.3. Objectifs de recherche

L’objectif général de ce travail est l’étude et la mise en place un centre opérationnel, et

Le sujet de la supervision des Systèmes d’Information (S.I.) revient sur le devant de la

Le chapitre qui suit abordera le cadre méthodologique.

1.2. Cadre méthodologique

Ce chapitre dénommé Cadre méthodologique évoquera les sections suivantes à s’avoir

1.2.1. Présentation d’un SOC

• Veille en sécurité informatique

• Sensibilisation des utilisateurs en fonction des observations faites sur le SI

• Expertise et conseil auprès des équipes informatiques

• Pilotage de la mise en œuvre des correctifs de sécurité

La présentation de SOC est illustrée sur le schéma ci-dessous.