Ce document traite des enjeux de cybersécurité pour les petites et moyennes entreprises, soulignant que la digitalisation et les menaces croissantes rendent ces entreprises particulièrement vulnérables aux attaques informatiques. Il propose des simulations d'attaques pour évaluer la sécurité des systèmes d'information, en identifiant les failles et en renforçant les mesures de protection. La méthodologie inclut des analyses de logs, le déploiement de systèmes de détection d'intrusions et l'utilisation d'outils de cybersécurité pour prévenir et gérer les attaques.

1. Cybersécurité
Simulation et Analyse de la sécurité du Système
d’information de PME

2. Problématique
 Le système d'information est essentiel pour améliorer la productivité, automatiser les tâches récurrentes,
optimiser les processus et réduire les coûts. Cependant, avec la digitalisation, le big data et l'Internet des
Objets, les cybercriminels ciblent de plus en plus les systèmes d'information. Les attaques informatiques, en
particulier celles visant les petites et moyennes entreprises, sont devenues si fréquentes qu'il est probable que
la plupart des entreprises aient déjà été touchées sans s'en rendre compte.
 Les attaques sont souvent indétectables et extrêmement dangereuses. Selon les chiffres de Kaspersky, plus
d'un milliard d'attaques malveillantes sont actives en ligne, avec une croissance de 5 % par rapport à 2022.
Dans ce contexte, il devient essentiel pour les entreprises de se faire aider par des spécialistes de la sécurité
pour identifier et prévenir les attaques potentielles avant qu'elles ne causent des dommages.
 Une façon d'améliorer la sécurité des systèmes d'information est de les confronter au monde réel à travers
des simulations d'attaques, similaires à celles qu'un véritable hacker utiliserait pour évaluer la vulnérabilité
du système. Cette approche permet d'identifier les faiblesses et de prendre les mesures nécessaires pour
renforcer la sécurité.

3. INTRODUCTION
Les outils et applications informatiques facilitent la communication et relient les individus aux informations et
processus de l'entreprise. L'informatique joue un rôle clé dans le développement des entreprises, ce qui incite
ces dernières à investir dans leurs systèmes d'information pour améliorer leur performance et obtenir des
résultats.
Cependant, cette dépendance accrue à l'informatique expose les entreprises à des menaces, notamment les
cybercriminels. Toutes les entreprises, peu importe leur taille ou leur secteur, sont susceptibles d'être ciblées.
Selon des études récentes, 94 % des entreprises ont été victimes d'une cyber-attaque plus ou moins grave au
cours des 12 derniers mois. De plus, 88 % des virus informatiques créés par les hackers échappent à la
détection des antivirus, et 57 % des attaques visent principalement les PME.

4. Objectifs
Le but de ce travail est de simuler le comportement d’un pirate informatique n’ayant
aucune information préalable sur le système d’information. La finalité est de faire
une investigation (analyse des logs) par la suite pour démanteler la source de
l’attaque dans le but de renforcer la sécurité du système.

5. Généralités sur la sécurité de Système d’information

6. La cybersécurité est l'ensemble des mesures et des techniques visant à protéger les
systèmes informatiques, les réseaux et les données contre les attaques, les menaces
(accidentelles ou intentionnelles ; active ou passive).

7. Propriétés fondamentales de la sécurité des SI
 La non-répudiation
 L’identification
 L’authentification

8. Terminologie de la sécurité
 Vulnérabilité,
 Menace,
 Risque,
 Attaque,
 Intrusion
 Contre-mesure.
Cela permet d'évaluer les dangers potentiels auxquels un
système peut être confronté et de prendre des mesures
préventives adéquates.

9. Méthodologie
Phase d’attaques
Phases d’analyse
Contremesure

10. Méthode de Sécurité
Chiffrement symétrique Chiffrement asymétrique
permet de protéger les informations sensibles en les rendant illisibles pour les personnes non
autorisées.

11. Pare-feu (Firewalls)
Les pare-feu (firewalls) permettent
de rendre indépendant les accès aux
réseaux et d’interconnecter deux ou
plusieurs réseaux de niveaux de
sécurité différents.
Ils jouent également un rôle crucial
en contrôlant le trafic réseau et en
empêchant les accès non autorisés.

12. Le cloisonnement des environnement
Cette technique vise à empêcher la propagation d'une intrusion ou d'un logiciel malveillant d'une partie du
système à une autre, en limitant la portée de l'attaque.
La Segmentation du Réseau, tel que le réseau local (LAN), la zone démilitarisée (DMZ) et les
réseaux privés virtuels (VPN), contribue également à renforcer la sécurité des systèmes
d'information en lui offrant une meilleure sécurité, un contrôle d'accès plus précis, une amélioration
des performances, la confidentialité des données et une gestion simplifiée dans un environnement
informatique complexe.

13. les systèmes de détection et de prévention des intrusions (IPS/IDS)
En outre, les systèmes de détection et de prévention des intrusions
(IPS/IDS) sont des outils importants pour surveiller les activités
suspectes et réagir rapidement en cas de violation de la sécurité ; ils
permettent de détecter et d’identifier des intrusions, des incidents et des
anomalies du système d’information.

14. le NAC (Network Access Control)
est une technique de sécurité informatique permettant de soumettre l’accès à un réseau d’entreprise à un
protocole d’identification de l’utilisateur et au respect par la machine de cet utilisateur des restrictions
d’usages définies pour ce réseau.
Le NAC peut également être utilisé pour surveiller en continu l'état de sécurité des dispositifs connectés et
pour appliquer des politiques de sécurité dynamiques en fonction des risques détectés.

15. Hackers, Pirates Informatique
Le terme Hacker est utilisé généralement pour désigner des personnes malintentionnées qui s’attaquent
aux infrastructures réseau d’une organisation.
Il existe différente catégorie de hackers, allant des malveillants (black hats) ; aux hackers
éthiques (white hats), en passant par des hybrides (gray hats), ainsi que d'autres types
de hackers tels que les "suicide hackers", les "script kiddies" et les "hacktivistes".

16. Les phases d’une attaque
De la collecte d'informations à la suppression des traces ;
En passant par la recherche de vulnérabilités ;
L'exploitation des ressources et le maintien de l'accès.

17. Les cybercriminels utilisent des méthodologies et des suites d’étapes bien organisées pour réaliser leurs
attaques et de ne pas se faire démasquer. Nous pouvons scinder ces étapes en cinq (05) parties :
1. La phase de Reconnaissance (Reconnaissance Passive et Active)
2. Phase de Scan
3. La phase d’exploitation
4. La phase de maintien
5. La phase de suppression des traces

18. Les techniques d’attaques
Il existe différents types d’attaques selon la position de l’attaquant,
selon la cible à atteindre, selon les services, ou les objectifs de
l’attaquant. Néanmoins, nous pouvons les classer en cinq (04) grandes
catégories :

19. 1. Les attaques par appropriation de mot de passe
Attaque par Force brute
Attaque par dictionnaire
1. Attaque par déni de service
2. Attaque par modification de page web
3. Attaque basée sur le détournement du mode opératoire des protocoles :

20. Les attaques par appropriation de mot de passe
Les pirates peuvent compromettre les mots de passe des utilisateurs en
utilisant deux méthodes principales :
L'attaque par force brute
L'attaque par dictionnaire.

21. L'attaque par force brute
L'attaque par force brute consiste à tester toutes les combinaisons
possibles de mots de passe jusqu'à trouver le bon. C'est considéré
comme l'attaque la plus simple mais aussi la plus lente.

22. L'attaque par dictionnaire
C’est une méthode où les pirates testent une série de mots de passe
potentiels les uns après les autres jusqu'à trouver le bon mot de passe.
Contrairement à l'attaque par force brute, cette méthode utilise un
fichier (dictionnaire) contenant des mots couramment utilisés. Ce
fichier peut être personnalisé en fonction de la personne, de sa
nationalité, de son âge, etc.

23. Attaque par déni de
service
Internet
Zombie PC
Zombie PC
Zombie PC Zombie PC
Zombie PC
Zombie PC
Attaquant
Le serveur cible
harmul traffic
commands from an attacker
L'objectif principal des attaques DDoS
est de rendre le service inaccessible
aux utilisateurs légitimes.
Ce sont des attaques informatiques
visant à rendre un site web, un
serveur ou un réseau indisponible en
saturant sa bande passante ou en
épuisant ses ressources système.

24. attaques par modification de pages web
Ces attaques consistent à substituer une page existante par une
nouvelle, dont le contenu est variable en fonction des motivations des
attaquants. Pour réaliser ce type d'attaque, un pirate peut utiliser
différentes méthodes soit à travers :
Une attaque DNS Spoofing
Une Attaques de phishing

25. L'attaque DNS
Spoofing
le pirate redirige la victime
vers un faux site web dans le
but de récupérer ses données
confidentielles, telles que les
identifiants de connexion
(login/mot de passe).

26. Les attaques de
phishing
utilisent souvent des pages
web contrefaites pour
tromper les utilisateurs en
leur faisant croire qu'ils sont
sur un site légitime.

27. Attaque basée sur le détournement du mode opératoire des
protocoles
Ces attaques visent à détourner une session de communication et sont
souvent réalisées à l'aide des techniques suivantes :
Main In The Middle
Attaques par injection

28. Main In The Middle
L'attaquant intercepte les
communications entre deux
systèmes et détourne le flux
de données pour y injecter
des données malveillantes.
Cela peut être réalisé en
usurpant des adresses MAC
ou des adresses IP.

29. Attaques par
injection
Cette technique consiste à
insérer du code malveillant
dans les données échangées
entre les systèmes, dans le
but d'exécuter des actions
malveillantes.

30. Les Programmes malicieux (MALWARE)
Parmi les multiples procédés d’attaques des systèmes d’information, il existe aussi des logiciels malveillants dont les
plus connus sont :
 Virus
 Ver (worm en anglais)
 Cheval de Troie (Trojan horse en anglais)
 Porte dérobée (backdoor en anglais)
 Virus réticulaire (Botnet en anglais)
 Logiciel espion (Spyware en anglais)
 Rançongiciel (Ransomware en anglais)

31. Network Security Monitoring
Le NSM est un système de supervision qui collecte, analyse et signale
les indications et les alertes concernant les menaces potentielles. Son
objectif est de détecter en temps réel les tentatives d'intrusion et les
intrusions réussies sur les équipements connectés au réseau supervisé.
Cela permet d'obtenir des informations cruciales pour mener des
investigations.

32. Le processus de la Sécurité
Le processus de sécurité s’articule autour de quatre étapes :
1. La planification,
2. La protection,
3. La détection,
4. L’action ou la mise en place des contre-mesures aux incidents observés.

33. La planification,
La planification est la phase préparatoire où l'entreprise évalue sa
posture de sécurité et met en place les produits, les personnes et les
processus nécessaires pour identifier et atténuer les intrusions.

34. La protection
La protection consiste à appliquer des contre-mesures pour réduire la
probabilité d'une intrusion. Cela inclut l'utilisation de technologies de
sécurité, le filtrage du trafic réseau indésirable, la protection contre les
attaques et les logiciels malveillants, le contrôle de l'accès aux données,
etc.

35. La détection
La détection implique d'avoir une visibilité sur l'état de l'environnement
informatique et d'utiliser un système de détection d'intrusion pour
identifier les activités malveillantes.

36. L’action ou la mise en place des contre-mesures
L'action est la phase où l'on prend des mesures pour remédier aux intrusions
détectées. Cela peut inclure :
Le confinement des incidents pour isoler les parties du système infectées,
L'investigation pour reconstruire la manière dont l'attaquant s'est infiltré,
Le reporting pour documenter les détails de l'incident et faciliter la gestion
de la sécurité.

37. Le processus de la
Sécurité
4. Action
1. Planification
2. Protection
3. Detection
Comprendre les menaces
Definition d'une politique de
securité
Step 1
Control d'access
Filtrage des trafic entrants et
sortants
etc.
Step 2
Collection
Identification
Validation
Remontée des Incidents
Step 3
Remontée d'incidents
Investigation
Reporting
Step 4
Precessus de
Gestion de la
Securité

38. Avantages de NSM
Il permet d'analyser les comportements
suspects dans le réseau,
De diagnostiquer les problèmes,
De signaler les incidents,
D'identifier les vulnérabilités et les
menaces de sécurité,
De rester informé,
D'éliminer le besoin de contrôles manuels,
D'adopter une approche proactive,
De conserver un journal de toutes les
intrusions,
Et de visualiser et d'analyser facilement les
paquets capturés.

39. Description des outils et Environnement de travail

40. Outils utilisés
plusieurs machines virtuelles sont utilisées pour simuler les différents niveaux de l'architecture réseau.
Metasploitable 2
Kali Linux
PfSense

41. Metasploitable 2
Une machine Linux vulnérable utilisée
pour effectuer des recherches de
sécurité et des tests de pénétration

42. Kali Linux
une distribution Linux
spécialisée dans les tests de
sécurité et les tests d'intrusion.

43. Différents outils sont utilisés sous Kali Linux, tels que :
Nmap pour la détection de ports ouverts,
Metasploit pour l'exploitation de vulnérabilités,
Cupp pour la génération de listes de mots de passe,
et Hydra pour les attaques par force brute.

44. PfSense
Une distribution personnalisée de
FreeBSD, offrant des
fonctionnalités avancées de
routage et de pare-feu.

45. Snort
un système de détection d'intrusion de réseau (NIDS), est
également utilisé pour surveiller le trafic réseau et détecter les
comportements suspects.

46. L'architecture réseau
L'architecture du réseau mise en
place est basée sur un modèle
couramment utilisé par les
entreprises, comprenant :
 un réseau interne,
 une zone démilitarisée (DMZ)
 Et un accès à Internet.

47. L’intranet, c’est le réseau privé interne de l’entreprise simulé dans notre cas par la machine Windows 10
et Ubuntu.
La DMZ simulé par la machine Metasploitable2, qui sert de zone tampon entre le réseau interne et
Internet.
Le système de protection simulé par le pare-feu (PfSense) est utilisé pour sécuriser le réseau interne
contre les attaques malveillantes.
L’Internet, simulé par la machine Kali Linux.

48. Plan d’adressage
Machine Adresse IP/interface Passerelle Masque Zone
Ubuntu
Windows 10
192.168.1.130/eth0
192.168.1.129/eth0
192.168.1.254 255.255.255.0 LAN
Kali Linux 192.168.133.129/eth0 192.168.133.255 255.255.255.0 Internet
Metasploitable 192.168.2.128/eth0 192.168.2.255 255.255.255.224 DMZ
PfSense
192.168.133.131/eth0
192.168.1.2/eth1
192.168.2.1/eth2
/ -------
Pare-feu

49. Simulation : Attaques, Analyse et Contremesure

50. Scenario D’Attaques
Le premier scénario concerne une attaque visant à compromettre les
machines du réseau en exploitant une vulnérabilité liée au protocole
FTP ; tandis que le deuxième scénario se concentre sur une attaque par
force brute sur le protocole SSH.

51. Phase de collecte d’information
Dans le cadre de ce travail, vue que nous travaillons dans un environnement virtuel ; elle nécessite un accès à
l’internet pour la recherche d’informations, pour interroger les bases de données publique
comme le DNS Database.

53. SCAN NMAP
Connaissant l’adresse IP de la
cible
Le scan Nmap furtif en utilisant
l’option : -sV
# nmap -sV 192.168.2.128

54. Attaque Backdoor (porte dérobée)
une faille de sécurité liée à la version 2.3.4 du protocole FTP est
exploitée pour prendre le contrôle d'un serveur vulnérable. Cela permet
d'ouvrir une session Shell en tant que super-utilisateur sur la machine
cible, offrant ainsi la possibilité de réaliser des actions malveillantes,
telles que l'injection d'un nouveau compte utilisateur.

55. Phase d’exploitation
Le port 21 étant ouvert, donc il constitue
un vecteur d’attaque. Nous Vérifions s’il
existe véritablement une vulnérabilité sur
ce dernier en exécutant le script ftp-
vsftpd-backdoor.
Après l’exécution du script, nous
remarquons que la cible est bien
vulnérable à une attaque backdoor.
Détail de la commande :
~# nmap -Sv –spoof-mac
00 :0c :29 :dd :2a 192.168.2.128

56. CONSULTATION DE la base de données du Framework Metasploit

57. exécution de
l’exploit
Maintenant nous pouvons exécuter
l’exploit exploit/unix/ftp/vsftpd-
234-backdoor sur la cible
192.168.2.128. Cet exploit ouvre une
session Shell sur la machine de la
victime avec les privilèges du super-
utilisateur (root).

58. Injectons d’un nouveau compte d’utilisateur

59. Attaque Par force Brute Hydra

60. Scenario d’attaque
une attaque par force brute est réalisée sur le protocole SSH pour découvrir le mot de passe de
l'administrateur du serveur cible. L'outil Cupp est utilisé pour générer une liste de mots de passe
possibles en fonction des réponses à des questions interactives. Ensuite, l'outil Hydra est utilisé pour
mener l'attaque par force brute en utilisant cette liste de mots de passe.

61. Phase d’exploitation
Le port 22 (SSH) étant ouvert, donc il
constitue un vecteur d’attaque. Pour se
faire, connaissant quelques informations
relatives sur l’utilisateur de la machine
cible (adresse IP ; login ; date de
naissance).
En exécutant la commande Cupp avec
l’argument i :
#Cupp -i (Question
interactive pour le profilage du mot de
passe utilisateur)

62. le brute forcing
#Hydra -s 22 -l tbathily -P tbathily.txt -t 64
-F -V 192.168.2.128 SSH

63. Résultat du brute forcing

64. CONNEXION SSH

65. Contre mesure de sécuritéinformatiques

66. Mesure de Prévention contre les attaques Backdoor
Mises à jour de sécurité régulières; Utilisation de logiciels de sécurité en détectant et en bloquant les
tentatives d'accès non autorisées ; Configuration des règles de pare-feu ; Surveillance des activités
suspectes sur le serveur FTP.
Configuration des privilèges pour empêcher les utilisateurs non autorisés d'installer des portes
dérobées ou d'accéder à des fonctions critiques du système.
Audits de sécurité réguliers en garantissant que les systèmes sont sécurisés et conformes aux
normes de sécurité.

67. Mesure contre l’attaque par SSH (Secure Shell) avec Hydra
 Utiliser une clé de SSH ; Limiter l’accès aux connexions SSH (En autorisant que les adresses IP
approuvées ; aide à prévenir contre les attaques par Forte Brute).
 Utilisation d’un VPN (En cryptant le trafic et masquer l’adresse IP du serveur).
 Utiliser un système de détection d'intrusion (IDS) pour la détection des attaques et un outil de prévention
d'intrusion (IPS) pour bloquer les attaques par force brute et protéger le serveur contre les attaques
connues.
 Mettre en place sur le serveur des règles d’analyse de journaux (fichiers logs) avec surveillance des ports.

68. Mesure de Prévention contre les attaques web
Changer l’en-tête de réponse HTTP par défaut
Vérifiez les saisies sur les formulaires web
N’installer pas le serveur web sur la machine que celui de la base de données.
Désactiver les messages d’erreur

69. Autres mesures de prévention
Sensibilisez les employées à la cybersécurité
Fermer tous les ports non utilisés sur le pare-feu
Segmenté le réseau en plusieurs domaines (architecture sécurisée du réseau)
Sécurisé les accès distants
Mise en place d’un système de renouvèlement des mots de passe
Renforcer le système d’authentification

70. Conclusion Générale
La cybercriminalité représente toujours un défi constant malgré les efforts des
analystes du système d'information à travers de nombreux pays. Les attaques
continuent d'augmenter et les pirates deviennent de plus en plus sophistiqués.
Avec l'utilisation croissante des technologies de l'information dans les entreprises,
il est devenu essentiel de se protéger contre des menaces telles que le phishing, les
attaques de session de connexion, les attaques web, etc. Il est donc primordial pour
les entreprises de mettre en place des pratiques et des méthodes visant à garantir
l'intégrité et la confidentialité des informations stockées, afin de lutter contre la
cybercriminalité.

71. D’après ce travail, nous pouvons affirmer être capable de faire un test d’intrusion sur n’importe quel système
d’information.
Certains, nous avons beaucoup appris lors de l’élaboration de ce travail, mais il aurait été plus
intéressant de faire les différents tests dans un environnement réel. Cela nous aurait permis non seulement de
faire la reconnaissance passive, de cartographier le réseau cible et aussi de faire des tests d’intrusion sur les
équipements informatiques (les routeurs, les Switchs. Etc.).