1. République Tunisienne
Ministère de l’Enseignement Supérieur
et de la Recherche Scientifique
Université de Carthage
Institut Supérieur des Technologies de
l’Information et de la Communication
Rapport de Stage
Présenté en vue de l’obtention de la Licence en Technologies de
l’Information et de la Communication
Spécialité : Télécommunications
Présenté Par
Nour Berraies
Youssef Ben Salah
Mise en place d’un système de monitoring
SIEM : ELK Stack
Réalisé au sein de Tunisie Télécom
Soutenu publiquement le 05/06/2023 devant le jury composé de :
Président :
Rapporteur :
Encadrant professionnel :
Encadrant académique :
Mme Maha Cherif, Enseignante, ISTIC
Mme Sabrine Naimi, Enseignante, ISTIC
M Walid Zaghdoudi, Ingénieur, TELECOM
Mme Nejla Oueslati, Enseignante, ISTIC
Année Universitaire : 2022-2023
2. République Tunisienne
Ministère de l’Enseignement Supérieur
et de la Recherche Scientifique
Université de Carthage
Institut Supérieur des Technologies de
l’Information et de la Communication
Rapport de Stage
Présenté en vue de l’obtention de la Licence en Technologies de
l’Information et de la Communication
Spécialité : Télécommunication
Présenté Par
Nour Berraies
Youssef Ben Salah
Mise en place d’un système de monitoring
SIEM : ELK Stack
Réalisé au sein de Tunisie Télécom
période de Stage : du 01/02/2023 jusqu’au 01/05/2023
Autorisation de dépôt du rapport de Projet de Fin d’Etudes :
Encadrant professionnel :
Le :
signature :
Encadrant académique :
Le :
Signature :
3. Dédicaces
À mes chers parents, mes idoles, aucune dédicace ne saurait être assez
éloquente pour exprimer l’amour et le respect que j’ai pour vous.
À mes sœurs Héla et Salma, qui n’ont jamais cessé de m’encourager et de
me soutenir dans tous les projets que j’entreprends. En témoignage de
mon affection fraternelle, mon attachement éternel et ma reconnaissance.
À tous ceux que j’aime.
À tous ceux qui m’aiment et me supportent.
BEN SALAH Youssef
i
4. Dédicaces
Au début, je tiens à remercier DIEU de m’avoir donné la santé et la force
de mener à bien ce modeste travail.
Je dédie ce projet à mes drôles parents, aucun hommage ne pourrait être
à la hauteur d’amour et de respect que j’ai pour vous.
À ma chère sœur qu’elle m’a toujours soutenu et m’encourage dans toute
ma vie.
Merci pour vos support et encouragement tout au long de mon parcours.
À mon binôme Youssef qui a partagé avec moi tous les moments de la
réalisation de ce travail.
Tout ceux qui m’aiment et que j’aime.
Nour Berraies
ii
5. Remerciements
Nous avons un grand plaisir de garder cette page en signe de gratitude et de profonde
reconnaissance à tous ceux qui nous ont aidés de près et de loin pour réaliser ce projet.
En premier lieu, nous tenons à remercier Mr Walid Zaghdoudi notre encadrant
professionnel au sein de Tunisie Télécom et notre encadrante académique Mme Nejla
Oueslati pour leurs disponibilités durant la période du stage, leurs judicieux conseils,
leurs efforts et leurs encouragements ; nos respectueuses reconnaissances.
Nous tenons aussi à remercier la société qui nous a accueillis pendant toute la durée
du stage Tunisie Télécom pour cette opportunité de nous intégrer dans leur travail.
Et finalement, nous aimerons adresser ce remerciement à l’Institut Supérieur des Tech-
nologies de l’Information et de la Communication ISTIC et le jury pour leurs propres
efforts réalisés.
iii
13. Liste des abréviations
ADSL Asymmetric Digital Subscriber Line
DDoS Distributed Denial of Service
DoS Denial of Service
DTH Direct to Home
GDPR General Data Protection Regulation
HIPAA Health Insurance Portability and Accountability Act
HIDS Host-based Intrusion Detection System
ID Identifiant
IDS Intrusion Detection System
IP Internet Protocol
IPTV Internet Protocol Television
IT Information Technology
MAC Media Access Control
NAT Network Address Translation
NIST 800-53 National Institute of Standards and Technology 800-53
OSSEC Open Source Security Event Correlator
PCI-DSS Payment Card Industry Data Security Standard
RAM Random Access Memory
ROM Read-Only Memory
SEM Security Event Management
SIEM Security Information and Event management
SI Système Informatique
SIM Security Information Management
SMS Short Message Service
SOC Security Operations Center
SSH Secure Shell
SQL Structured Query Language
TT Tunisie Télécom
VOD Video on Demand
VoIP Voice over Internet Protocol
Wi-Fi Wireless Fidelity
xi
14. Introduction Générale
Suite à la transformation digitale et aux développements technologiques, les systèmes
d’information sont devenus vulnérables aux menaces qui peuvent engendrer une défaite
des données vitales voire même des dommages physiques aux machines. C’est pour cette
raison la sécurité de l’information au sein des organisations est devenue une nécessité pri-
mordiale. Cette exigence de protection des données a stimulé un nouveau domaine nommé
« Cybersécurité ».
Le but de la cybersécurité est d’assurer une protection et une intégrité des informations
(sensibles ou non) au sein des infrastructures digitales. Elle représente l’ensemble des ou-
tils, des politiques, des concepts et des mécanismes de sécurité. Ces derniers, consistent à
protéger : les terminaux, les systèmes informatiques, les serveurs, les réseaux, les disposi-
tifs mobiles, les données et les logs contre les menaces et attaques malveillantes.
Dans ce contexte s’inscrit le sujet de notre stage de fin d’études intitulé : la mise en
place d’un système de monitoring SIEM : ELK Stack et réalisé au sein de l’en-
treprise ‘’Tunisie Télécom”. Dans ce projet, nous allons nous focaliser sur une solution
permettant : la collecte des logs, la gestion de ces derniers et la corrélation des journaux
dans le but de détecter des potentielles anomalies telles que les cyberattaques.
Ce rapport est constitué de trois grands chapitres :
➢ Le premier chapitre est dédié à présenter l’organisme d’accueil, ses missions et ses
domaines d’activités. Il identifie le contexte et la problématique. Une analyse critique de
l’existant est réalisée. La solution proposée est basée sur les limites de ces derniers.
➢ Le deuxième chapitre est consacré aux principes fondamentaux de la sécurité infor-
matique. Il présente les solutions disponibles dans le marché ainsi que leurs avantages et
inconvénients.
➢ Le troisième chapitre se focalise sur la solution adoptée afin d’assurer une meilleure
supervision, sa mise en œuvre depuis l’installation de l’environnement du travail jusqu’à
la réalisation.
1
15. Chapitre 1
Présentation générale du projet
1.1 Introduction
Dans ce premier chapitre, nous allons tout d’abord nous concentrer sur la mise en
contexte du projet en commençant par une présentation de l’organisme d’accueil Tunisie
Télécom dans lequel le travail a été effectué, le contexte du projet et la problématique à
résoudre, l’étude de l’existant et le critique et finalement la solution proposée.
1.2 Présentation de l’organisme d’accueil
Tout d’abord, nous présenterons le cadre juridique de l’organisme d’accueil Tunisie
Télécom, domaines d’activité et ses propres missions.
1.2.1 Organisme d’accueil
L’office national des télécommunications [7] est un établissement à caractère commer-
cial, doté de la personnalité civile et de l’autonomie financière. Il a été conçu et mis en
œuvre par la loi N°36 du 17 avril 1995. Puis il a changé son statut juridique, en vertu du
décret N°30 du 5 avril 2004, pour devenir une société nommée « Tunisie Telecom ».
Figure 1.1 – Logo TT
2
16. Chapitre 1 1.2. Présentation de l’organisme d’accueil
1.2.2 Domaines d’activités
Tunisie Télécom est le principal fournisseur de services de télécommunications en Tu-
nisie ; se compose de 24 conseils régionaux, de 140 espaces et points de vente TT et de
plus de 13 000 points de vente ; offre à ses clients une gamme complète de services de
téléphonie, d’Internet et de télévision.
Nous présentons ci-dessous les principaux services de l’organisation :
• Services de téléphonie fixe : TT fournit des services de téléphonie fixe aux clients
professionnels et résidentiels en Tunisie.
• Services de téléphonie mobile : TT fournit des services de téléphonie mobile
sous la marque "Tunisie Télécom Mobile", qui comprend des Short Message Ser-
vice (SMS), des appels et des services de données.
• Services Internet : TT offre des services Internet haut débit via Asymmetric Di-
gital Subscriber Line (ADSL), Wireless Fidelity (Wi-Fi), et fibre optique. La société
propose également des services de Voice over Internet Protocol (VoIP).
• Services de télévision : TT offre une gamme de services de télévision, notamment
des services Internet Protocol Television (IPTV) , Direct to Home (DTH) , Video
on Demand (VOD) et des services de télévision en ligne.
• Services aux entreprises : TT propose des services de télécommunications pour
les entreprises, notamment des services de centre d’appels, des services de réseaux
privés, des services de vidéo conférence et des services de connectivité à large bande.
• Services financiers : TT fournit des services financiers, y compris le transfert
d’argent et les services de paiement mobile et électronique. [8]
1.2.3 Missions de Tunisie Télécom
Ci-dessous, nous présentons quelques missions menées par TT :
1 – Développer et installer des réseaux téléphoniques et traiter la transmission des don-
nées.
2 – Installer et récupérer des différents types d’équipements informatiques et de com-
munication.
3 – Assurer l’homogénéité, la fiabilité, la sécurité et la confidentialité du système d’in-
formation et de communication dans tout le pays.
4 – Concevoir, mettre en place et gérer les banques de données et les statistiques de
plus 6 millions d’abonné dans son réseau.
5 – Donner des conseils et fournir de nouveaux services dans le domaine de télécom-
munication à tout autre organisme public ou privé, national et même étranger, à
caractère social et économique.
la figure 1.2 présente la structure compléte d’organisation TT :
3
17. Chapitre 1 1.3. Présentation du projet
Figure 1.2 – Organigramme TT
1.3 Présentation du projet
1.3.1 Cadre de projet et problématique
Ce travail s’inscrit dans le cadre d’un stage de fin d’études. Il a deux objectifs princi-
paux. Le premier est de s’intégrer et d’explorer l’établissement d’accueil et ses différents
métiers, et le second consiste à mettre en pratique les théories acquises au cours des an-
nées d’études et à les développer afin de résoudre des problèmes pratiques.
Et comme nous avons mentionné au départ, TT est le plus grand opérateur de télécommu-
nications en Tunisie avec une large couverture dans tout le pays. Ses réseaux comprennent
des milliers de kilomètres des câbles, des liaisons sans fil radio, des fibres optiques, des
routeurs, des commutateurs et d’autres dispositifs de télécommunication.
Et par conséquent, les grands réseaux de TT sont des cibles potentiels pour les cybercri-
minels qui cherchent à y accéder afin de perturber leurs services.
Il est donc essentiel de mettre en place des mesures de sécurité efficaces pour protéger et
analyser les informations de sécurité provenant des différentes sources.
1.3.2 Etude de l’existant
L’objectif de l’étude de l’existant est d’analyser la solution de supervision utilisée par
Tunisie Télécom et de recommander des améliorations afin de renforcer la sécurité de
l’entreprise.
L’équipe de sécurité de Tunisie Télécom a mis en place une solution de supervision basée
sur la plateforme ‘’QRadar” pour surveiller l’infrastructure informatique et détecter des
menaces potentielles.
QRadar [9] est une solution de supervision commerciale d’IBM conçu pour les différentes
grandes entreprises. Elle offre des capacités d’analyse, de corrélation et de reporting des
4
18. Chapitre 1 1.3. Présentation du projet
logs de différents composants tels que les routeurs, les commutateurs, les serveurs et les
applications. En cas de détection des anomalies QRadar génére des alertes.
Figure 1.3 – Authentification du Logiciel QRadar.
1.3.3 Critique de l’existant
QRadar permet la gestion des événements de sécurité SIEM et offre des capacités
d’analyse de sécurité et de corrélation.
Cependant, l’inconvénient majeur du système QRadar est son coût élevé. En effet, c’est
un système SIEM haut de gamme coûteux en terme de mise en place et de maintenance.
De plus, nous avons constaté d’après la figure 1.4 que le nombre d’alertes générées par
le système QRadar est trop élevé. Il est difficile, aux analystes de sécurité d’identifier les
alertes qui nécessitent une attention immédiate. À cela s’ajoute que Qradar génére des
fausses alertes qui pourraient impacter la pertinence de l’analyse.
Figure 1.4 – Onglet d’Infraction dans QRadar Console.
5
19. Chapitre 1 1.4. Conclusion
De plus, les systèmes SIEM comme QRadar sont complexes et peuvent nécessiter une
expertise technique pour les configurer et les utiliser correctement.
De même, nous avons remarqué que le système QRadar fonctionne en silos : pas des
intégrations et des coopérations avec d’autres outils de sécurité, comme les systèmes
de détection d’intrusion ou les outils de gestion de vulnérabilités ce qu’il intacte leur
fonctionnement et démarche pour la détection des menaces.
Aussi, nous avons aperçu que l’infrastructure QRadar nécessite une maintenance régulière
et permanente pour assurer une performance optimale et garantir les dernières mises à jour
de sécurité et de corriger les erreurs qui peuvent affecter sur la qualité de la surveillance
surtout qu’il est difficile à être extensible ; et tous systèmes non évolutifs ne peuvent pas
prendre en charge une croissance des données et des événements de sécurité.
Figure 1.5 – Onglet d’Activité du Réseau dans QRadar Console
1.3.4 Solution proposée
Dans ce projet, le choix de l’outil SIEM sa charnière autour de trois conditions fonda-
mentales :
• Budget
• Efficacité contre les menaces et les attaques
• Flexibilité
Nous citons tout d’abord que le choix de la solution est basé sur les critères principaux
mentionnées au-dessus et sur les problèmes détectés au cours du critique de l’existant, et
pour remédier aux inconvénients majeurs du logiciel utilisé QRadar, la solution adéquate
consiste à utiliser un système de monitoring SIEM : ELK Stack.
1.4 Conclusion
A travers ce chapitre nous avons présenté l’organisme d’accueil, le cadre de projet
et la problématique ainsi que l’étude de l’existant et le critique, puis nous avons déposé
la solution fixée par l’entreprise. Dans le chapitre suivant, nous allons définir quelques
notions de bases liées au domaine de la sécurité informatique.
6
20. Chapitre 2
Les Notions de Bases de la Sécurité
Informatique
2.1 Introduction
Dans ce chapitre, et avant de passer à la présentation des solutions disponibles de
la supervision, nous allons définir quelques notions de bases comme la cyberattaque, la
cybersécurité, la supervision. . . et nous allons citer leurs propres fonctionnements.
2.2 Cyberattaque
Dans cette partie, nous focaliserons à définir la cyberattaque, ses types en mentionnant
quelques exemples d’attaques les plus connus.
2.2.1 Définition
En se basant sur la définition d’IBM et CISCO [10], on peut définir la Cyberattaque
comme une tentative malveillante indésirable de voler, de désactiver, de modifier, d’expo-
ser ou de détruire des informations via un accès non autorisé aux systèmes informatiques
dont le cachet est d’entraîner une cybercrise au niveau de la technologie d’information,
financier ou de réputation.
2.2.2 Types d’attaques
Généralement, nous pouvons citer des différents types d’attaques :
• Une attaque passive : elle est basée essentiellement sur l’écoute, la collection et
l’analyse du trafic.
• Une attaque active : c’est toute modification de contenu qui touche le fonction-
nement d’un service de sécurité.
• Logiciels malveillants : ce sont les attaques basées sur des vulnérabilités des
systèmes ou des réseaux ‘’Malware”.
• Forgées : ce sont les attaques basées sur la manipulation des éléments des commu-
nications afin d’en tirer profit ou de les nuire.
7
21. Chapitre 2 2.2. Cyberattaque
2.2.3 Différents exemples de cyberattaques
Nous citons dans les tableaux 2.1 et 2.2 les différents types d’attaques les plus connus
Table 2.1 – Types d’attaques malveillantes
Nom de l’attaque Définition
Les Logiciels
Malveillants
Backdoor (Porte débordée) C’est une méthode malveillante secrète permet-
tant d’accéder à un système informatique ou un
réseau sans avoir à passer par les canaux d’au-
thentification normaux.
Les Logiciels
Malveillants
Trojan (Cheval de Troie) C’est un type de malware qui est conçu pour
tromper les utilisateurs en se faisant passer pour
un programme légitime, tout en ayant une fonc-
tionnalité cachée qui permet à un pirate d’ac-
céder et de contrôler à distance l’ordinateur in-
fecté, ou d’effectuer des attaques sur celui-ci.
Les Logiciels
Malveillants
Bombe logique C’est un type de programme malveillant qui
est conçu pour se déclencher à une date ou à
un événement précis, comme la suppression de
certains fichiers, l’exécution de certaines com-
mandes, causant ainsi des dommages à l’ordi-
nateur ou au réseau cible.
Les Logiciels
Malveillants
Un virus C’est un programme malveillant qui infecte
d’autres fichiers ou se réplique sur des systèmes
informatiques sans autorisation. Les virus infor-
matiques sont conçus pour endommager, de per-
turber un ordinateur ou au réseau. Ils peuvent
se transmettre via des fichiers ou des docu-
ments infectés, des e-mails, des sites web mal-
veillants ou des périphériques de stockage amo-
vibles compromis.
Les Logiciels
Malveillants
Worm (Vers) C’est un type de code malveillant qui se pro-
page automatiquement à travers un réseau in-
formatique sans avoir besoin d’une intervention
humaine pour se transmettre.
Les Logiciels
Malveillants
Hoax (Canular) C’est une fausse information ou une alerte trom-
peuse qui est intentionnellement diffusée pour
tromper les gens. Les canulars peuvent se pro-
pager par divers moyens, tels que les réseaux
sociaux, les e-mails, les SMS ou les sites Web.
8
22. Chapitre 2 2.2. Cyberattaque
Table 2.2 – Types d’attaques forgées
Nom de l’attaque Définition
Manipulation
d’Attaques
Forgées
Phishing (Hameçonnage) C’est une technique de fraude en ligne
qui trompe les utilisateurs en leur faisant
croire qu’ils communiquent avec une entité de
confiance, telle qu’une banque ou un service en
ligne, afin d’obtenir leurs informations confiden-
tielles.
Manipulation
d’Attaques
Forgées
Cracking (Craquage) C’est une activité malveillante qui implique une
entrée non autorisée dans un système informa-
tique en utilisant des techniques de piratage in-
formatique.
Manipulation
d’Attaques
Forgées
Sniffing (Renfilage) C’est un type d’attaque sur les réseaux infor-
matique qui analyse le traffic afin de récupérer
des informations confidentielles.
Manipulation
d’Attaques
Forgées
Spoofing (Mascarade) C’est une technique qui consiste à falsifier
des informations d’identification, telles qu’une
adresse IP, une adresse e-mail, un numéro de
téléphone ou une adresse de site Web, afin de
dissimuler la véritable identité pour commettre
des cybercrimes.
Manipulation
d’Attaques
Forgées
Smurfing C’est un type de Distributed Denial of Ser-
vice (DDoS) qui utilise un grand nombre d’or-
dinateurs zombies ou des botnets pour envoyer
un grand nombre de requêtes avec des fausses
adresses IP. Cette attaque vise à submerger un
serveur cible ou un réseau avec un trafic exces-
sif, ce qui entraîne une saturation des ressources
du système et une interruption de service.
Manipulation
d’Attaques
Forgées
Denial of Service (DoS)
C’est une attaque informatique qui perturbe le
fonctionnement normal d’un système informa-
tique en surchargeant les requêtes, de sorte qu’il
ne répond plus aux requêtes légitimes.
9
23. Chapitre 2 2.3. Cybersécurité
2.3 Cybersécurité
Nous consacrons la deuxième partie à présenter la cybersécurité, ses types et ses ser-
vices.
2.3.1 Définition
En s’appuyant aussi sur la définition d’IBM [11] et CISCO [12], La cybersécurité est
la pratique qui consiste à protéger les systèmes critiques et les informations sensibles
contre les attaques malveillantes. Elle est également appelée sécurité des technologies de
l’information ou bien « Information Technology (IT) ».
2.3.2 Types de sécurité
Nous pouvons répartir la sécurité en plusieurs catégories :
• La sécurité des informations : garantit les services de sécurité.
• La sécurité des applications : protection des appareils contre les menaces et les
attaques.
• La sécurité réseaux : protection du réseau informatique contre les intrus.
• La sécurité opérationnelle : mécanisme de défense dont le but est le contrôle
d’accès et le stockage des données.
2.3.3 Services de sécurité
La politique de cybersécurité exige ces cinq piliers de services :
• Confidentialité : C’est un service qui consiste à rendre l’information incompréhen-
sible à travers des mécanismes de cryptographie.
• Intégrité des données : C’est un service qui protège les données contre toutes
modifications malveillantes.
• Disponibilité : C’est un service qui garantit par la redondance des équipements.
• Authentification : C’est un service qui offre une protection contre l’usurpation
d’identité.
• Non-répudiation : Une entité réseau ne peut pas nier un message qu’elle a émis.
2.4 Supervision
Commençons par définir la supervision
2.4.1 Définition
La supervision [13] ou le monitoring [8] en informatique est la surveillance, le pilo-
tage, le suivi et le contrôle de tout système informatique en temps réel, afin de pallier les
problèmes potentiels, les goulots d’étranglement et les moindres anomalies qui peuvent
ralentir la progression et la disponibilité continue du système.
10
24. Chapitre 2 2.4. Supervision
La supervision désigne généralement la mise en place à l’aide d’outils logiciels conçus pour
la collecte des données de performance des différents composants du système tels que ; les
serveurs, les réseaux, les bases de données, les applications, etc. . . Ces données sont pré-
sentées sous forme de graphiques, de tableaux de bord et d’alertes (en cas de dépassement
de seuils critiques ou d’événements inhabituels).
L’intérêt principal de la supervision des systèmes informatiques des réseaux ou des appli-
cations est principalement la gestion optimale de l’infrastructure informatique.
En effet, elle permet aux administrateurs systèmes la détection rapide des problèmes en
temps réel et relatives au diagnostic des causes, aux réseaux, aux services en ligne, aux
débits, aux contrôle les flux, aux composants matériels, aux systèmes d’exploitations, au
système de stockage des données. Elle permet aussi la prise des mesures correctives avant
qu’ils n’affectent l’expérience d’utilisateur ou entraînent une interruption de service.
Elle peut également aider à identifier les tendances et les modèles de comportement du
système, à planifier la capacité et à améliorer l’efficacité opérationnelle.
2.4.2 Security Operation Center
Définition
SOC signifie Centre d’Opérations de Sécurité [14] est une fonction centralisée au sein
d’une entreprise qui surveille et améliore l’ensemble de l’infrastructure informatique de
l’organisation. L’intérêt du SOC est de détecter, analyser et prévenir les événements effi-
cacement en temps réel.
Le SOC est chargé de superviser 24h/24h les systèmes d’information au sein des en-
treprises afin de le sécuriser des cyberattaques. Il est considéré essentiellement comme un
point de corrélation pour chaque événement détecter et sauvegarder au sein de l’entreprise
qui est surveillée.
2.4.3 Fonctions du SOC
1. Surveillance proactive continue : Les outils utilisés par le SOC analysent le
réseau 24h/24h afin de signaler toute anomalie ou activité suspecte.
2. Classement et gestion des alertes : Le SOC examine précautionneusement les
alertes, il élimine tout faux positif et résolut l’agressivité des menaces réelles et les
cibles possibles.
3. Réponse aux menaces : Le SOC agit comme un intervenant principal, il exerce
des opérations défensives telles que l’arrêt des processus nuisibles et l’isolement des
points de terminaison.
4. Récupération et correction : Le SOC règle les systèmes et récupère toutes les
informations perdues qui peut engendrer la suppression ou le redémarrage des ter-
minaux.
5. Gestion de la conformité : Le SOC est responsable de la vérification régulière
de ses systèmes afin d’assurer la conformité à ces règlements, qui peuvent être émis
11
25. Chapitre 2 2.4. Supervision
par leur organisation, industrie ou organes directeurs.
6. Gestion des journaux : Le SOC utilise le SIEM pour agréger et corréler les flux de
données des applications, des systèmes d’exploitation, des terminaux et des pare-feu
qui produisent tous leurs propres journaux internes.
La figure 2.1 décrit le principe de fonctionnement du SOC.
Figure 2.1 – Fonctionnement du SOC [1].
2.4.4 Types du SOC
Les SOC peuvent être classés en plusieurs types [15] en fonction de leur taille, de leur
portée et de leur niveau de sophistication. Voici quelques-uns des types de SOC les plus
courants :
— SOC interne : un SOC interne est géré et exploité par l’entreprise elle-même. Il est
généralement situé dans les locaux de l’entreprise et peut être géré par le personnel
interne.
— SOC externalisé : un SOC externalisé est géré par un prestataire de services tiers.
Les entreprises peuvent externaliser leur SOC pour bénéficier d’une expertise sup-
plémentaire et d’une surveillance constante de la sécurité.
— SOC hybride : un SOC hybride combine les aspects d’un SOC interne et externa-
lisé. Il peut être géré par le personnel interne de l’entreprise en collaboration avec
un prestataire de services tiers.
12
26. Chapitre 2 2.4. Supervision
— SOC virtuel : un SOC virtuel est un SOC qui utilise des technologies de com-
munication à distance pour surveiller la sécurité des réseaux et des systèmes. Il est
souvent utilisé par les petites entreprises qui n’ont pas les ressources nécessaires
pour installer un SOC interne.
— SOC centralisé : un SOC centralisé est un SOC qui surveille et gère la sécurité
de plusieurs entités organisationnelles à partir d’un emplacement centralisé. Il est
souvent utilisé par les grandes entreprises ayant plusieurs sites ou filiales.
— SOC décentralisé : un SOC décentralisé est un SOC qui est réparti sur plusieurs
sites géographiques. Il peut être utilisé par les entreprises ayant des bureaux dans
plusieurs régions ou pays.
Il existe d’autres types de SOC qui peuvent être adaptés aux besoins et aux exi-
gences spécifiques de chaque entreprise.
2.4.5 Security Information and Event Management
Définition
La gestion de l’information et des événements de sécurité « SIEM » [16] est une tech-
nologie spécifique qui aide les organisations à reconnaître les menaces de sécurité et les
vulnérabilités potentielles.
Elle met en évidence les anomalies de comportement des utilisateurs et emploie l’intelli-
gence artificielle pour robotiser plusieurs mécanismes manuels associés à la détection des
menaces et à la réponse aux incidents :
C’est la combinaison de deux briques : Gestion des informations de sécurité « Security
Information Management (SIM) » et Gestion des événements de sécurité « Security Event
Management (SEM) ».
• Gestion des informations de sécurité « Security Information Management
SIM » :
SIM [17] est un logiciel de rétention des informations qui collecte les logs à partir
de dispositifs de sécurité (logiciels antivirus, pare-feu, Intrusion Detection System (IDS),
équipements réseaux, des serveurs proxy. . .) afin d’analyser et traduire les données sauve-
gardées d’une façon corrélées, proportionnelles et rationalisées.
• Gestion des événements de sécurité « Security Event Management SEM
» :
SEM est un processus de supervision en temps réel ou quasi temps réel qui permet
d’identifier, de surveiller et d’évaluer des événements liés à la sécurité. Le but est d’aider
les administrateurs systèmes à analyser, ajuster et gérer l’architecture, les stratégies, les
politiques et les procédures de sécurité de l’information.
Et la figure 2.2 présente l’architecture d’un système SIEM.
13
27. Chapitre 2 2.4. Supervision
Figure 2.2 – Architecture du SIEM [2].
2.4.6 Principe de fonctionnement du SIEM
• Collecte de données : Les SIEM [18] collectent des données de sécurité à partir
de diverses sources, notamment les journaux d’événements, les alertes de sécurité,
les informations sur les menaces et les vulnérabilités, les flux de données réseau et
les données d’utilisateurs.
• Agrégation : Les SIEM agrègent les données de sécurité en temps réel pour fournir
une vue globale des activités de sécurité de l’ensemble du système d’information.
• Corrélation : Les SIEM corrélaient les données de sécurité pour identifier les mo-
dèles et les relations entre les événements de sécurité apparemment non liés. Cela
permet de détecter les menaces avancées et les attaques sophistiquées qui peuvent
échapper aux systèmes de sécurité traditionnels.
• Analyse : Les SIEM analysent les données de sécurité pour identifier les événements
et les activités suspects, ainsi que pour évaluer la gravité des menaces. Les SIEM
utilisent des algorithmes d’apprentissage automatique et des règles de détection pour
détecter les anomalies et les indicateurs de compromission.
• Alertes et rapports : Les SIEM génèrent des alertes en temps réel pour signa-
ler les menaces potentielles, ainsi que des rapports détaillés pour aider les équipes
de sécurité à comprendre les tendances et les modèles de sécurité. Les rapports
peuvent également être utilisés pour démontrer la conformité réglementaire et les
performances opérationnelles.
La figure 2.3 illustre le principe de fonctionnement du SIEM.
14
28. Chapitre 2 2.4. Supervision
Figure 2.3 – Fonctionnement du SIEM [3].
2.4.7 Relation entre SOC et SIEM
SOC et SIEM sont deux notions associées à la sécurité informatique . En effet, le
SOC peut utiliser le SIEM pour collecter et analyser les événements de sécurité. Le SIEM
permet au SOC d’avoir une vue d’ensemble sur la sécurité du système, il permet aussi
de détecter rapidement les menaces de sécurité, de générer des alertes en temps réel pour
permettre une réponse rapide.
Le SIEM est un outil utilisé par le SOC pour surveiller et analyser les événements de
sécurité dans les environnements informatique, et par la suite, le SOC utilise les infor-
mations fournies par le SIEM pour surveiller activement les activités suspectes et réagir
rapidement aux menaces de sécurité.
En guise de conclusion, le SOC et le SIEM sont deux éléments importants pour la sécurité
informatique d’une entreprise et travaillent ensemble pour renforcer la sécurité informa-
tique de l’entreprise, surveiller les systèmes, détecter les incidents de sécurité et y répondre
rapidement.
À travers la figure 2.4, nous présentons la relation entre SOC et SIEM.
15
29. Chapitre 2 2.4. Supervision
Figure 2.4 – Relation entre SOC et SIEM [4].
2.4.8 Journalisations : Logs
En informatique, les fichiers logs (appelés aussi des fichiers journaux) sont des fichiers
qui permet le stockage et l’enregistrement d’un antécédent des évènements et des actions
attachées à un processus intervenant sur une application, un serveur ou un dispositif in-
formatique.
Et généralement, les logs sont stockés dans des fichiers texte ou dans des bases de données
logs afin d’exploiter pour identifier les erreurs, diagnostiquer les problèmes, détecter les in-
trusions en identifiant les événements anormaux, constater les lieux des attaques, effectuer
des analyses de données dont le but visualiser les actions du Système Informatique (SI)
et retracer l’historique et les actions d’un attaquant pour améliorer les performances et
la sécurité des systèmes.
Le schéma 2.5 montre l’interconnexion entre les fichiers journaux et les systèmes SIEM.
Figure 2.5 – Interconnexion entres les fichiers logs et les systèmes SIEM [5].
16
30. Chapitre 2 2.5. Solutions disponibles
2.5 Solutions disponibles
Commençons par définir quelques logiciels de supervision
2.5.1 Définition de chaque logiciel de supervision
Voici une liste de logiciels couramment utilisés pour la gestion de l’information et des
événements de sécurité :
• ELK Stack : cette suite open source est composée de 4 principaux éléments : Elas-
ticsearch, Kibana, Beats et Logstash. Elle permet de collecter les journaux de tous
les dispositifs et applications, de les traiter, d’analyser et de créer des visualisations
pour surveiller les applications et les équipements.
Figure 2.6 – Logo ELK Stack
• QRadar : il s’agit d’une solution commerciale proposée par IBM qui fournit une
plateforme centralisée pour la gestion de la sécurité et l’analyse des événements.
Figure 2.7 – Logo QRadar
• Splunk : cette plateforme de gestion de journaux offre des analyses en temps réel
des données machines provenant de toutes les sources, notamment les journaux, les
événements, et les métriques.
Figure 2.8 – Logo Splunk
17
31. Chapitre 2 2.5. Solutions disponibles
• SolarWinds Log and Event Manager : c’est une solution pour la gestion de
journaux et l’analyse d’événements qui fournit une vue centralisée de la sécurité et
une réponse rapide aux incidents.
Figure 2.9 – Logo SolarWinds and Event Manager
• McAfee Enterprise Security Manager : c’est une solution qui fournit une plate-
forme centralisée pour la collecte, la visualisation, et l’analyse de données de sécurité.
Figure 2.10 – Logo McAfee Enterprise Security Manager
• ArcSight : c’est une solution commerciale d’HP qui fournit une analyse en temps
réel des événements et une protection contre les menaces pour les entreprises.
Figure 2.11 – Logo ArcSight
18
32. Chapitre 2 2.6. Conclusion
2.5.2 Les Avantages et les inconvénients des logiciels de la su-
pervision
Le tableau 2.3 présente les différents critères de chaque SIEM définis dans la section
ci-dessus :
Table 2.3 – Avantages et inconvénients des logiciels de la supervision
SIEM proposées Avantages Inconvénients
ELK Stack Flexibilité
Open-source
Analyse en temps réel
Complexité
Coût de licence
QRadar Facile à utiliser
Analyse en temps réel
Coût élevé
Configuration compliquée
Splunk Large écosystème d’intégra-
tion
Interface personnalisée
Nécessite une expertise en
programmation
Coût élevé
ArcSight Fonctionnalités de sécurité
avancées
Configuration compliquée
Coût élevé
McAfee Enterprise Security
Manager
Intégration avec une variété
de technologies de sécurité
McAfee
Fonctionnalités de sécurité
limitées
Coût élevé
SolarWinds Log Coût abordable par rapport
à d’autres systèmes SIEM
Fonctionnalités de sécurité
limitées
Il est important de mentionner que ces avantages et inconvénients sont généraux et
peuvent être fluctués en fonction des spécifications et de l’emploi de chaque système.
2.6 Conclusion
Nous avons consacré ce chapitre à définir quelques notions telles que la cybersécurité,
la cyberattaque, le principe de la supervision et principalement le centre d’opérations de
sécurité SOC et la gestion de l’information et des événements de sécurité SIEM, indiquer
leurs caractéristiques, leurs types et de déterminer leurs fonctionnements. Et par la suite,
nous avons bien décrit les différents types de logiciels de supervisions, ses avantages et ses
inconvénients.
Dans le chapitre suivant, nous déposerons la solution adéquate et nous présenterons ses
propres composantes et leur fonctionnement puis nous focalisons sur l’installation de l’en-
vironnement du travail, la réalisation et le développement de la solution.
19
33. Chapitre 3
Réalisation et tests
3.1 Introduction
Dans ce dernier chapitre, nous présenterons la solution, l’environnement du travail
matériel, logiciel et l’architecture du travail. Ainsi que, nous focaliserons sur la partie
pratique de la réalisation de la solution optée et les tests.
3.2 Choix de la solution et justification
Commençons par une comparaison entre ELK stack et Qradar
3.2.1 Avantages du ELK Stack par rapport à la solution adoptée
par TT
En premier lieu, il existe plusieurs raisons pour lesquelles nous avons opté l’utilisation
ELK Stack au lieu de QRadar (utilisé par TT) pour la gestion de l’information et des
événements de sécurité SIEM.
En effet, la Suite ELK est une solution open-source qui est gratuite à utiliser et qui peut
être personnalisée en fonction de vos besoins spécifiques.
Outre, Elastic Stack est un logiciel flexible puisqu’il est composé de quatre outils (Elas-
ticsearch, Logstash, Kibana et Beats) qui peuvent être déployés et utilisés de manière
indépendante ou en tant que solution complète.
N’oublions pas la performance qu’ELK peut nous garantir vu qu’il traite et analyse des
données volumineuses et massives en temps réel ce qui peut être crucial pour la détection
des incidents de sécurité et la prise des mesures rapides pour les corriger.
D’ailleurs, ELK a une grande communauté de développeurs et d’utilisateurs qui contri-
buent constamment de nouvelles fonctionnalités et intégrations et cela peut aider à ré-
soudre les problèmes et à trouver des solutions plus rapidement.
En guise de conclusion, ELK Stack est le choix le plus populaire et la solution la plus
idéale pour les entreprises qui cherchent une solution flexible, personnalisable et peu coû-
teuse afin de répondre à leurs besoins.
20
34. Chapitre 3.2. Choix de la solution et justification
3.2.2 Composants du ELK
Comme nous citons au niveau de la définition de la suite ELK, ELK Stack [19] est
un acronyme pour Elasticsearch, Logstash, Kibana et Beats. Ces composants principaux
forment la plateforme ELK.
• Elasticsearch : Elasticsearch est un moteur de recherche distribué qui permet le
stockage, la recherche et l’analyser des données massives. Il est conçu pour être évo-
lutif, rapide et convivial.
• Logstash : Logstash est un collecteur des logs qui offre la possibilité de collecter,
de traiter et de normaliser les données.
• Kibana : Kibana est un outil employé essentiellement pour la visualisation, l’ana-
lyse des données et la création des tableaux de bord personnalisés.
• Beats : Beat est une plate-forme gratuite et libre s’occuper de la transmission et
la transite les données vers Wazuh et Elasticsearch.
• Wazuh : Wazuh est une plateforme open source du projet Open Source Security
Event Correlator (OSSEC) qui appartient à la famille des Host-based Intrusion De-
tection System (HIDS) utilisée pour la prévention, la détection, la surveillance des
logs applicatifs et des appels système dont le but de répondre aux menaces trouvées.
La figure 3.1 représente l’architecture du serveur Wazuh.
Figure 3.1 – Architecture du Serveur Wazuh [6]
21
35. Chapitre 3.3. Environnement du travail
Ensemble, ces composants d’Elastic Stack constituent une plate-forme complète pour
le traitement, l’analyse de données de sécurité et la collecte des logs de système.
3.2.3 Fonctionnement d’ELK Stack
Le fonctionnement de la plate-forme ELK Stack se déroule en trois étapes principales :
➢ La collecte des données : Wazuh est utilisé afin de collecter les données à partir
de diverses sources et systèmes. Ces derniers seront par la suite filtrés, standardisées et
traitées avant d’être stocker à la base de données Elasticsearch.
➢ Le stockage des données : Les données collectées par les agents Wazuh sont
stockées dans le module Elasticsearch.
➢ L’analyse et la visualisation des données : Les données stockées dans Elastic-
search peuvent être visualisées et analysées à l’aide de Kibana et/ou Wazuh. Kibana et
Wazuh offrent une interface graphique conviviale pour explorer les données et créer des
tableaux de bord personnalisés.
En résumé, la plate-forme ELK assure la collection, le stockage et l’analyse des don-
nées de différentes sources et les visualiser sous différentes formes dont le but est d’obtenir
des informations utiles et des insights.
3.3 Environnement du travail
Passons maintenant à l’environnement matériel
3.3.1 Environnement matériel
Table 3.1 – Caractéristiques de l’environnement matériel
Constructeur ASUS
Système d’exploitation
Windows 10 Professional x
64 bit
Mémoire vivante : Random
Access Memory (RAM)
12 GB
Disque dur : Read-Only
Memory (ROM)
1 TO
Processeur Intel Core I7-4750HQ
Carte graphique GPU Intel HD Graphics
Sur l’ordinateur portable mentionné dans le tableau 3.1, nous installons 5 machines
virtuelles ayant les caractéristiques décrites dans le tableau 3.2
22
36. Chapitre 3.3. Environnement du travail
Table 3.2 – Caractéristique des différentes machines virtuelles créées
Machine
virtuelle 1 :
Serveur
Machine
virtuelle 2 :
Client 1
Machine
virtuelle 3 :
Client 2
Machine
virtuelle 4 :
Client 3 :
Machine
vunèrable
Typhoon 1.02
Machine
virtuelle 5 :
Pirate
Système
d’exploitation
Cent OS 7 Ubuntu 22.04.2 Windows 10
Ubuntu 14.04
LTS
Kali
Mémoire
vivante : RAM
3 GB 1.5 GB 1.5 2 GB 3 GB
Disque dur :
ROM
25 GB 22 GB 22 GB 20 GB 20 GB
Nombre de
cœurs de
processeur
alloués
2 Processors 1 Processors 1 Processors 2 Processors 2 Processors
Réseau adapté
Network
Address
Translation
(NAT)
NAT NAT NAT NAT
3.3.2 Environnement logiciel
Pour la réalisation de ce projet, nous avons choisi les logiciels suivants :
• VMware Workstation 17 Player
VMware Workstation [20] est un outil de visualisation utilisé pour exécuter plusieurs
systèmes d’exploitation sur un seul ordinateur hôte physique. Chaque machine vir-
tuelle peut exécuter simultanément sur n’importe quel système d’exploitation Linux,
Microsoft, Oracle, MacOs, etc. . . afin de développer des nouveaux logiciels ou de tes-
ter une architecture complexe d’un système d’exploitation.
Figure 3.2 – Logo VMware-Workstation-player
• Elastic Stack version 7.17.6
Elastic Stack [21], également connu sous le nom d’ELK Stack, est une plateforme
23
37. Chapitre 3.3. Environnement du travail
open source complète de gestion de données créée par la société Elastic. Cette pla-
teforme permet la collecte, le traitement, le stockage, la recherche et la visualisation
de données en temps réel.
Figure 3.3 – Logo Elastic Stack
• Wazuh version 4.3.10
Wazuh est un système de gestion de sécurité open source conçu pour aider les
organisations à surveiller et à gérer la sécurité de leur infrastructure informatique.
Le module Wazuh permet également aux utilisateurs de configurer des politiques de
sécurité personnalisées pour détecter les menaces et les vulnérabilités spécifiques à
leur environnement. [13]
Figure 3.4 – Logo Wazuh
• Kali version 2022.1
Kali [22] est une solution multiplateforme gratuite et open-source basée sur le sys-
tème d’exploitation ‘’Debian Linux” conçue pour les tests d’intrusions avancés et à
l’audit de sécurité afin de détecter des vulnérabilités potentielles. Kali fournit des
outils, des configurations qui facilitent le repérage des vulnérabilités.
Figure 3.5 – Logo Kali
24
38. Chapitre 3.3. Environnement du travail
• Metasploit
Metasploit [23] est un Framework inventé pour le développement et l’exécution d’ex-
ploits contre toute machine distante dans le but est de créer, personnaliser, fournir
des informations sur les vulnérabilités et de faciliter la pénétration des systèmes
informatiques. Il est très vigoureux et permet de déclencher des performances sur
la machine cible dans le but de la nuire et d’acquérir un accès non autorisé.
Figure 3.6 – Logo Metasploit
3.3.3 Architecture d’environnement du travail
En se basant sur la figure 3.7, nous pouvons constater que cette architecture est celle
d’un système SIEM. Elle est composée d’une machine physique et d’un environnement
virtualisé VMware.
Sous VMware, il y a une machine CentOS 7 qui contient ELK et Wazuh, et qui est connec-
tée à une machine Windows 10 et une machine Ubuntu 22.04.
On trouve également une machine Kali qui est utilisée pour tester le niveau de la sécurité
du réseau en tentant de pénétrer les machines Ubuntu et Windows.
Il y a également une machine Ubuntu 14.04 LTS vulnérable (Typhoon 1.02) qui sera testée
avec Kali pour obtenir un accès root, puis elle sera ajoutée au réseau pour évaluer son
niveau de vulnérabilité.
Enfin, les résultats de cette intrusion sont visualisés via ELK pour analyser le comporte-
ment du système.
25
39. Chapitre 3.4. Installation d’Elastic Stack
Figure 3.7 – Architecture d’environemment du travail
3.4 Installation d’Elastic Stack
Dans cette partie, nous allons focaliser sur les différentes étapes de l’installation d’Elas-
tic Stack.
3.4.1 Installation de prérequis
Tout d’abord, nous devons déterminer le nom du Local host.
Figure 3.8 – Commande pour déterminer le nom de localhost
Dés quand on a déterminé le nom du local host, nous pouvons créer les fichiers sudoers
qui nous permettent d’accéder comme un root à l’aide de la commande sudo nano
/etc/sudoers.
26
40. Chapitre 3.4. Installation d’Elastic Stack
Figure 3.9 – Commande pour créer des fichiers Sudoers
Figure 3.10 – Ajouter l’utilisateur comme un root
Ensuite, nous installons java et open jdk à travers la commande de figure 3.11.
Figure 3.11 – Commande pour installer java et open jdk
Pour vérifier la version de java installée, nous tapons la commande java –version.illustrée
dans la figure 3.12.
Figure 3.12 – Commande pour verifier la version du java
Et pour terminer cette première partie, nous installons les différents packages curl et
unzip nécessaire pour l’installation comme la montre la figure 3.13.
27
41. Chapitre 3.4. Installation d’Elastic Stack
Figure 3.13 – Commande pour installer les fichiers prérequis
3.4.2 Installation d’Elasticsearch
Après la préparation d’environnement d’installation, nous pouvons installer les com-
posants d’Elastic Stack.
Et pour commencer, le premier service qu’on va installer est la base de données Elastic-
search qu’elle joue le rôle d’un moteur de recherche pour les alertes et les données.
C’est pour cela, nous devons importer la clé GPG d’Elasticsearch qui nous permet de
signer, crypter et décrypter les données nécessaires.
Figure 3.14 – Commande pour importer la clé GPG à Elasticsearch
Puis, nous ajoutons le dépôt comme le montre la figure 3.15
Figure 3.15 – Commande pour ajouter le dépôt d’Elastic Stack
La prochaine étape consiste à installer le package Elasticsearch comme l’illustre la
figure 3.16
28
42. Chapitre 3.4. Installation d’Elastic Stack
Figure 3.16 – Commande pour installer le package Elasticsearch
Finalement, nous devons installer le fichier de configuration d’Elasticsearch pour as-
surer la bonne démarche d’installation d’Elasticsearch.
Figure 3.17 – Commande pour télécharger le fichier de configuration d’Elasticsearch
3.4.3 Création et déploiement de certificats
En premier lieu, nous installons le fichier de configuration. Puis, nous créons des cer-
tificats et par suit nous extrairons les fichiers installés.
Figure 3.18 – Commande pour télécharger le fichier de configuration des Certificats.
Figure 3.19 – Commande pour créer les certificats.
29
43. Chapitre 3.4. Installation d’Elastic Stack
Figure 3.20 – Commande pour extraire les fichiers Zip téléchargés du Certificats.
Du moment que l’installation des certificats se fait sans erreurs, nous créons un réper-
toire nommé /etc/elasticsearch/certs pour copier le fichier CA, le certificat et la clé.
Figure 3.21 – Commandes pour créer le répertoire et configurer les fichiers des certifi-
cats.
Ainsi, les commandes de figure 3.22 permet d’activer et de démarrer le service Elas-
ticsearch.
Figure 3.22 – Commandes pour activer et démarrer le service Elasticsearch.
Pour tester le bon fonctionnement de notre service nous tapons la commande sys-
temctl status elasticsearch.
Figure 3.23 – Commande pour vérifier l’activation d’Elasticsearch.
30
44. Chapitre 3.4. Installation d’Elastic Stack
Comme le serveur Elasticsearch fonctionne convenablement, nous pouvons générer les
informations d’identification de la Suite Elastic.
Figure 3.24 – Commande pour exécuter les nouveaux mots de passe.
La commande de figure 3.25 affiche tous les mots de passe du système.
Figure 3.25 – Affichage des nouveaux mots de passe.
Finalement, pour vérifier que l’installation s’est bien déroulée nous tapons la com-
mande de la figure 3.26. Elle affiche toutes les informations concernant l’installation
d’Elasticsearch.
31
45. Chapitre 3.4. Installation d’Elastic Stack
Figure 3.26 – Commande pour vérifier le bon fonctionnement de l’installation d’Elas-
ticsearch.
3.4.4 Installation du module Wazuh
Avant l’installation du Wazuh, nous ajouterons des référentiels compatibles à la version
installée d’Elasticsearch pour assurer le bon fonctionnement du serveur Wazuh.
Figure 3.27 – Commande pour importer la clé GPG à Wazuh.
Figure 3.28 – Commande pour ajouter le dépôt du Wazuh.
En outre, nous installons le package du gestionnaire de serveur Wazuh à l’aide de la
commande de la figure 3.29.
32
46. Chapitre 3.4. Installation d’Elastic Stack
Figure 3.29 – Commande pour installer le package du gestionnaire Wazuh.
Finalement, nous activons et démarrons Wazuh comme la montre la figure 3.30.
Figure 3.30 – Commande pour activer et démarrer le service de gestionnaire Wazuh.
Nous assurons le fonctionnement du service de gestionnaire Wazuh à travers la com-
mande de la figure 3.31.
Figure 3.31 – Commande pour vérifier l’activation du Wazuh.
3.4.5 Installation de Filebeat
L’installation d’outil Filebeat garanti la transmission sécurisée des alertes et des évè-
nements entre le serveur Wazuh et la base de données Elasticsearch.
Et pour installer le package Filebeat, nous tapons la commande suivante : yum install
33
47. Chapitre 3.4. Installation d’Elastic Stack
filebeat-7 .17 .6.
Figure 3.32 – Commande pour installer les Filebeat.
Puis, nous téléchargeons le fichier de configuration Filebeat ainsi que le modèle d’alertes
pour la base de données Elasticsearch et le module Wazuh pour Filebeat à travers les com-
mandes mentionnées dans la figure 3.33.
Figure 3.33 – Commandes pour télécharger le fichier de configuration Filebeat, le
modèle d’alertes pour Elasticsearch et module de Wazuh pour les Filebeat.
Ensuite, nous ajoutons le mot de passe d’elastic dans le fichier /etc/filebeat/filebeat.yml.
Figure 3.34 – Commande pour modifier le fichier Filebeat.
34
48. Chapitre 3.4. Installation d’Elastic Stack
Figure 3.35 – Ajout de mot de passe d’Elastic dans le fichier Filebeat.
De même, nous copions les certificats dans le fichier /etc/filebeat/certs.
Figure 3.36 – Commandes pour copier les certificats dans le fichier Filebeat.
En dernier lieu, nous activons et démarrons le service Filebeat comme illustrée dans
la figure 3.37.
Figure 3.37 – Commandes pour activer et démarrer le service Filebeat.
Pour assurer l’activation du service Filebeat, nous tapons la commande de figure 3.38.
35
49. Chapitre 3.4. Installation d’Elastic Stack
Figure 3.38 – Commande pour vérifier le bon fonctionnement de service Filebeat.
La commande filebeat test output illustrée dans la figure 3.39 affirme le succès
d’installation du Filebeat.
Figure 3.39 – Commande pour tester le succès d’installation de Filebeat.
3.4.6 Installation de Kibana
Pour terminer l’installation d’Elastic Stack, nous installerons l’interface web Kibana
qui nous permet la visualisation des événements et des alertes stockés dans la base de
données Elasticsearch.
Pour cela, nous installons initialement le package Kibana comme la montre la figure 3.40.
Figure 3.40 – Commande pour installer le package Kibana.
36
50. Chapitre 3.4. Installation d’Elastic Stack
Dès que l’installation du Kibana s’effectue, nous copions les certificats Elasticsearch
dans le dossier de configuration de Kibana.
Figure 3.41 – Commandes pour copier les certificats d’Elasticsearch dans le dossier de
configuration de Kibana.
Aussi, nous téléchargeons le fichier de configuration de Kibana.
Figure 3.42 – Commande pour télécharger le fichier de configuration Kibana.
A l’aide de la commande vim /etc/kibana/kibana.yml, nous remplaçons le mot de
passe par défaut trouvé par le mot de passe d’Elastic.
Figure 3.43 – Commande pour modifier le fichier Kibana.
37
51. Chapitre 3.4. Installation d’Elastic Stack
Figure 3.44 – Ajout du mot de passe Elastic au fichier de Kibana.
Ensuite, nous créons le répertoire /user/share/kibana/data et nous installons le
plugin Wazuh Kibana.
Figure 3.45 – Commandes pour créer le répertoire Kibana et installer le plugin Wazuh
Kibana.
En dernier lieu, nous relions le socket de Kibana au port 443.
Figure 3.46 – Commande pour relier le socket Kibana au port 443.
L’activation et le démarrage du service Kibana se fait à l’aide des commandes de la
figure 3.47.
38
52. Chapitre 3.4. Installation d’Elastic Stack
Figure 3.47 – Commandes pour activer et démarrer le service Kibana.
Finalement, la commande systemctl status kibana vérifie l’activation du service
Kibana.
Figure 3.48 – Commande pour vérifier le fonctionnement de Kibana.
3.4.7 Désactivation des Référentiels
Pour assurer la compatibilité entre la version de Wazuh, Elastic Stack et les paquets,
nous désactivons toute mise à jour involontaire du système comme illustré à la figure 3.49.
Figure 3.49 – Commandes pour désactiver les références des nouvelles versions.
Pour accéder à l’interface Web nous devons savoir l’adresse IP du serveur wazuh. La
commande ip add affiche les différents types d’adresses.
39
53. Chapitre 3.4. Installation d’Elastic Stack
Figure 3.50 – Commande pour déterminer l’adresse IP du serveur.
Voici une capture qui montre l’authentification au logiciel Elastic Stack.
Figure 3.51 – Authentifier au Elastic Stack.
40
54. Chapitre 3.5. Installation des agents
3.5 Installation des agents
Dès que l’installation du serveur Elastic Stack s’effectue, nous passons à l’étape sui-
vante qui consiste d’installer les agents de wazuh sur nos différents client Ubuntu 22.04.2
et Windows 10.
Et avant tout, nous devons arrêter le fonctionnement du Firewall du système CentOS 7.
Figure 3.52 – Arrêt du fonctionnement du Firewall du CentOS.
3.5.1 Installation des agents sur Ubuntu 22.04
Pour installer l’agent wazuh, nous devons tout d’abord accéder en tant qu’un admi-
nistrateur.
Figure 3.53 – Mettre l’utilisateur comme un root.
Figure 3.54 – La mise à jour du système Ubuntu.
41
55. Chapitre 3.5. Installation des agents
Après la préparation d’environnement de travail, nous pouvons maintenant installer
convenablement les agents du wazuh à travers les commandes de la figure 3.55.
Figure 3.55 – Installation des agents sur Ubuntu.
3.5.2 Installation des agents sur Windows 10
L’installations des agents du wazuh sur Windows 10 s’effectue à l’aide des deux com-
mandes de la figure 3.56.
Figure 3.56 – Installation des agents sur Windows.
Et finalement, nous vérifions le succés d’installation à travers les tableaux de bords
du wazuh qui affiche l’interconnexion entre le serveur et les clients Ubuntu et Windows
et l’activation des agents.
42
56. Chapitre 3.6. Visualisation du système :
Figure 3.57 – Activation des Agents sur Ubuntu et Windows.
3.6 Visualisation du système :
Dans cette partie, nous allons présenter les différents composants de l’interface gra-
phique du système. Wazuh est constitué de quatre modules principaux, comme l’indique
la figure 3.58 :
• Security information management
• Threat detection and response
• Auditing and Policy Monitoring
• Regulatory Compliance
Figure 3.58 – Capture des composants du module wazuh.
43
57. Chapitre 3.6. Visualisation du système :
• Security information management :
Ce module est formé de deux outils essentiels « Security Events » et « Integrity Monito-
ring ».
Il est responsable de la collecte, la corrélation et la gestion des journaux de sécurité.
La figure 3.59 illustre comment Wazuh détecte les alertes et les traduit dans un gra-
phique.
Figure 3.59 – Capture du tableau du bord Wazuh.
La figure 3.60 affiche le traitement des fichiers logs. Elle est composée de quatre parties :
— Le premier champ détecte la date et l’heure des évènements.
— Le second affiche les noms des évènements et les décrit.
— La troisième colonne montre le niveau d’alerte de chaque évènement termes de
menace pour la sécurité. Le niveau peut varier de 1 à 15, le tableau 3.3 décrit
chaque alerte et son taux de gravité :
Table 3.3 – Niveau d’alerte de chaque événement.
Niveau d’alerte Signification
1 Ignoré
2 Notification système de faible priorité
3 Evénements réussis/autorisés
4 Erreur de priorité basse du système
5 Erreur générée par l’utilisateur
6 Attaque de faible pertinence
7 Critique
8 Première fois vu
9 Erreur provenant d’une source non valide
10 Plusieur erreurs générées par l’utilisateur
11 Avertissement de contrôle d’intégrité
12 Evénement de grande importance
13 Erreur inhabituelle (Haute importance)
14 Evénement de sécurité de grande importance
15 Attaque sévère
44
58. Chapitre 3.7. Scénarios des attaques
— La quatrième colonne montre l’Identifiant (ID) affecté par la MITRE ATT&CK de
chaque évènement.
Figure 3.60 – Capture analyse des évènements.
• Threat detection and response :
Il est aussi composé de deux outils nommés « Vulnerabilities » et « MITRE ATT&CK ».
Ce module détecte les menaces potentielles telles que les activités suspectes, les attaques
des logiciels malveillants et les tentatives de piratage.
• Auditing and Policy Monitoring :
Ce module est constitué de trois outils « Policy Monitoring », « System Auditing » et «
Security Configuration Assessment ».
Le module Auditing and Policy Monitoring de Wazuh permet la surveillance de la confor-
mité des systèmes informatiques aux politiques de sécurité et aux réglementations en
vigueur en temps réel.
• Regulatory Compliance :
Ce dernier module de Wazuh est composé des normes suivantes « Payment Card Industry
Data Security Standard (PCI-DSS) », « General Data Protection Regulation (GDPR) »,
« Health Insurance Portability and Accountability Act (HIPAA) » et « National Institute
of Standards and Technology 800-53 (NIST 800-53) ».
Il permet aux organisations d’assurer la conformité de leurs systèmes informatiques aux
réglementations en vigueur.
Et dans ce projet, nous allons focaliser sur deux outils essentiels : ‘’Security informa-
tion management” et ‘’Threat detection and response”.
3.7 Scénarios des attaques
Ce volet sera consacré à une série de scénarios d’attaques qu’on peut réaliser sur notre
système afin de tester le bon fonctionnement de notre SIEM en détectant ses différentes
attaques et créant des réponses immédiates. Voici quelques exemples d’attaques qu’on va
effectuer :
• Surveillance de l’intégrité des fichiers.
• Détection d’une attaque par injection SQL.
45
59. Chapitre 3.7. Scénarios des attaques
• Détection de vulnérabilité.
• Attaque force brute par SSH.
3.7.1 Surveillance de l’intégrité des fichiers
La surveillance d’intégrité des fichiers est un module disposé par Wazuh qui assiste
à maintenir une longueur d’avance sur les failles de sécurité et à détecter les alertes qui
pourraient exposer le réseau à des attaques de pillage.
Et dans ce contexte, nous allons découvrir comment ELK Stack et plus précisément le
module de surveillance Wazuh intègre lors d’une modification dans le système de fichiers
pour détecter toutes créations, changement ou suppression des fichiers.
Et par la suite, nous essayons de modifier un fichier dans le répertoire /root. Et pour
cela, nous accédons au fichier /var/ossec/etc/ossec.conf de l’agent Wazuh installé sur
la machine Ubuntu 22.04.
Figure 3.61 – Commande pour modifier le fichier ossec.conf.
Nous activons l’audit des données qui détecte toutes informations sur l’utilisateur et
le processus modifiés.
Figure 3.62 – Capture d’ajout de la ligne directories check-all pour vérifier l’intégrité
du fichier.
Puis, nous redémarrons l’agent Wazuh et nous testons leur fonctionnement.
46
60. Chapitre 3.7. Scénarios des attaques
Figure 3.63 – Commandes pour démarrer et vérifier le bon fonctionnement d’agent
wazuh.
Le module Wazuh a détecté les changements et les a affichés sous forme d’alertes de
sécurité.
Figure 3.64 – Première description d’alerte de Sécurité par ELK Stack.
Les figures 3.65, 3.66 et 3.67 présentent en détails comment réagit Wazuh avec cette
alerte en affichant toutes les données nécessaires.
47
61. Chapitre 3.7. Scénarios des attaques
Figure 3.65 – Première description d’alerte de Sécurité.
Figure 3.66 – Deuxième description d’alerte de Sécurité.
48
62. Chapitre 3.7. Scénarios des attaques
Figure 3.67 – Troisième description d’alerte de Sécurité.
3.7.2 Détection d’une attaque par injection SQL
SQL Injection est un type de vulnérabilité de sécurité web qui permet aux attaquants
d’exploiter les failles des requêtes dynamiques qu’une application fait à la base de don-
nées.
Elle permet au pirate d’accéder, de modifier, de supprimer et de manipuler les données
liées à la base de données ce qui engendre des problèmes liés au fonctionnement des ap-
plications et même la destruction des bases de données.
L’injection SQL est l’une des techniques de piratage web les plus courantes et poten-
tielles car elle peut être employée dans le but de nuire les applications Web qui utilisent
les requêtes SQL pour la création des bases de données. (La majorité des applications
Web exploitent les bases de données SQL).
Et le module Wazuh offre la possibilité de détecter ce genre des attaques persistantes
et nocives en effectuant les étapes suivantes.
Tout d’abord, nous allons mettre à jour les packages locaux sur la machine ubuntu.
Figure 3.68 – Commande pour mettre à jour les packages locaux.
Et par la suite, nous installons le serveur Web Apache afin de surveiller les journaux
Apache.
49
63. Chapitre 3.7. Scénarios des attaques
Figure 3.69 – Commande pour installer serveur web Apache.
Pour autoriser l’accés externes aux port Web, nous devons déasactiver les para-feu.
Figure 3.70 – Commande pour installer serveur web Apache.
La commande systemctl status apache2 vérifie l’activation du serveur Web.
Figure 3.71 – Commande montre le bon fonctionnement du serveur Apache.
50
64. Chapitre 3.7. Scénarios des attaques
La commande de la figure 3.72 affiche l’installation de la page destination d’Apache.
Figure 3.72 – Installation du Apache.
Ensuite, nous essayons de modifier un fichier dans le répertoire /root. Et pour cette
raison, nous accédons au fichier /var/ossec/etc/ossec.conf de l’agent Wazuh installé
sur la machine Ubuntu 22.04.
Figure 3.73 – Commande pour accéder au fichier ossec.conf.
Nous ajoutons le code montionné dans la figure 3.74 pour surveiller Apache.
Figure 3.74 – Ajout du code pour surveiller Apache.
51
65. Chapitre 3.7. Scénarios des attaques
Puis, nous redémarrons l’agent Wazuh et nous testons leur fonctionnement.
Figure 3.75 – Commandes pour redémmarer et tester le bon fonctionnement du wazuh-
agent.
Nous injectons l’attaque SQL Injection à la commande de la figure 3.76.
Figure 3.76 – Injection de l’attaque.
Voici la réaction instantanée du module Wazuh afin de détecter cette attaque mal-
veillante.
Figure 3.77 – Résultat du système.
52
66. Chapitre 3.7. Scénarios des attaques
Figure 3.78 – Résultat affiché par wazuh.
Figure 3.79 – Description d’alerte 1.
Figure 3.80 – Description d’alerte 2.
Figure 3.81 – Description d’alerte 3.
3.7.3 Détection de vulnérabilité
La vulnérabilité [24] [25] en informatique désigne toute faille accidentelle ou inten-
tionnelle dans la configuration ou la conception du système permet au pirate d’accéder
illégalement au réseau informatique dans le but d’ignorer ou de violer les politiques de
sécurité d’une entreprise.
Et le système ELK Stack utilise un ensemble des outils et des solutions pour détecter et
53
67. Chapitre 3.7. Scénarios des attaques
mentionner les vulnérabilités du système.
Et dans ce contexte, nous essayons de visualiser comment wazuh détecte la vulnérabi-
lité des systèmes informatiques.
Pour cette raison, nous installons une machine vulnérable nommée Typhoon 1.02, [26]
[27] son système d’exploitation est Ubuntu 14.04.
Comme le montre la figure 3.82 pour accéder à la machine nous devons taper le nom
de l’identifiant et le mot de passe.
Figure 3.82 – Authentification de Typhoon 1.02
Donc, nous vérifions de l’adresse MAC de la machine Typhoon.
Figure 3.83 – Vérification de l’adresse MAC de la machine vulnhub
54
68. Chapitre 3.7. Scénarios des attaques
Puis, et à l’aide de Kali, nous tapons la commande netdiscover pour découvrir les
machines en ligne ou connectées et déterminer l’adresse IP de Typhoon en se basant à
son adresse MAC.
Figure 3.84 – Commande pour découvrir les machines connectées.
L’étape suivante consiste à scanner les ports de la machine cible.
Figure 3.85 – Commande pour scanner les ports de la machine cible.
55
69. Chapitre 3.7. Scénarios des attaques
Nous détectons un accès d’entré à mongoadmin dans http-rebots et une ouverture
du port 8080 (Port HTTP) pour Apache Tomcat.
Figure 3.86 – Détection d’une entrée mongoadmin dans robot.
Figure 3.87 – Détection d’ouverture du port 8080 pour Apache Tomcat Coyote JSP
Engine 1.1.
La figure 3.88 montre le résultat affiché en tapant sur le navigateur :
56
70. Chapitre 3.7. Scénarios des attaques
http ://192.168.35.148/mongoadmin.
Nous obtenons les justificatifs d’identité : nom d’utilisateur et mot de passe.
Figure 3.88 – Les données nécessaires pour Login.
Par la suite, nous scannons à travers la commande drib le site qui génère une grande
sortie des répertoires intéressants.
Figure 3.89 – Commande pour scanner le site.
La figure 3.106 montre l’ouverture du répertoire drupal qui affiche la version utilisée.
57
71. Chapitre 3.7. Scénarios des attaques
Figure 3.90 – Ouverture du répertoire drupal.
Figure 3.91 – Commande pour déterminer la version du Drupal .
En se basant sur la figure 3.107 nous remarquons que la version drupal 8 utilisé par
la machine est très ancienne et cela nous permet d’exploiter le module Metasploit pour
fournir des informations sur les vulnérabilités de la cible. Donc la prochaine étape consiste
d’installer et d’exécuter Metasploit.
58
72. Chapitre 3.7. Scénarios des attaques
Figure 3.92 – Lancement de Metasploit.
La commande search drupal permet de rechercher le répertoire drupal dans Metas-
ploit.
Figure 3.93 – Commande pour rechercher drupal dans Metasploit.
La figure 3.94 montre les modifications des paramètres du Metasploit.
59
73. Chapitre 3.7. Scénarios des attaques
Figure 3.94 – Modification des paramètres du Metasploit.
Voici les changements effectués sur Metasploit.
Figure 3.95 – Résultat de la modification efféctuée sur Metasploit.
La commande run ré-exécute Metasploit.
60
74. Chapitre 3.7. Scénarios des attaques
Figure 3.96 – Commande pour redémarrer Metasploit.
Ensuite, nous recherchons le sploit de la version 3.13.0 et nous l’envoyons vers la
machine Typhoon.
Figure 3.97 – Commandes pour chercher le Spoit 3.13.0 et l’envoyer vers Typhoon
1.02.
Au bout d’un certain temps, nous avons eu une idée de profiter des résultats obtenus
au-dessus et surtout de la figure 3.88 qui contient les justificatifs d’identité de la cible et
de connecter par le protocole SSH.
Pour cela, et sur une nouvelle fenêtre de terminale, nous devons connaitre l’adresse IP
du serveur Kali.
61
75. Chapitre 3.7. Scénarios des attaques
Figure 3.98 – Commande pour déterminer l’adresse IP de Kali.
Puis, nous tapons la commande suivante : ssh typhoon@192.168.35.148.
Figure 3.99 – Commande pour connecter avec SSH.
La figure 3.100 montre la réception du fichier qui contient le sploit.
62
76. Chapitre 3.7. Scénarios des attaques
Figure 3.100 – Commande pour récupérer le sploit.
Nous exécutons le fichier qui contient le sploit.
Figure 3.101 – Commandes pour exécuter fichier contenant le sploit.
La figure 3.102 montre le succès d’exécution du fichier.
Figure 3.102 – Succés d’exécution du fichier.
A ce niveau-là, nous pouvons directement installer l’agent-wazuh à travers Kali puisque
le type du clavier utilisé par Typhoon est QWERTY et cela engendre des lacunes lors de
l’écriture des commandes.
La figure 3.103 montre l’installation d’agent-wazuh.
63
77. Chapitre 3.7. Scénarios des attaques
Figure 3.103 – Commandes pour installer agent-wazuh.
Voici le résultat affiché par le module Wazuh et le succès d’interconnexion de l’agent
par le système.
Figure 3.104 – Résultat d’interconnexion de l’agent affiché par Wazuh.
La dernière étape consiste à détecter la vulnérabilité de la machine, donc nous accé-
dons au fichier root ossec.conf.
Figure 3.105 – Commande pour accéder au fichier ossec.conf.
Nous vérifions les paramètres liés à la détection des vulnérabilités.
64
78. Chapitre 3.7. Scénarios des attaques
Figure 3.106 – Configuration de la vulnérabilité 1.
Figure 3.107 – Configuration de la vulnérabilité 2.
65
79. Chapitre 3.7. Scénarios des attaques
Figure 3.108 – Configuration de la vulnérabilité 3.
Figure 3.109 – Configuration de la vulnérabilité 4.
Finalement, nous redémarrons le serveur wazuh-manager.
Figure 3.110 – Commande pour redémarrer agent-wazuh.
66
80. Chapitre 3.7. Scénarios des attaques
Le système détecte immédiatement la vulnérabilité de la cible et affiche les résultats
suivants.
Figure 3.111 – Résultat affiché par Wazuh 1.
Figure 3.112 – Résultat affiché par Wazuh 2.
3.7.4 Attaque force brute par protocole SSH
Les attaques force brute SSH dans les systèmes informatiques sont des tentatives de
connexions SSH utilisées dans le but d’accéder illégalement à des systèmes protégés par
mot de passe, tels que les comptes de messagerie électronique, les comptes bancaires en
ligne ou les réseaux privés. . . en effectuant une suite des tests pour découvrir le nom d’uti-
lisateur et le mot de passe.
Et pour effectuer cette attaque, nous allons tout d’abord activer le protocole SSH sur la
machine cible Ubuntu 22.04.
Figure 3.113 – Commande pour activer le protocole SSH sur machine Ubuntu.
67
81. Chapitre 3.7. Scénarios des attaques
Pour assurer l’activation du protocole SSH, nous tapons la commande de figure 3.114.
Figure 3.114 – Commande pour vérifier le fonctionnement de SSH sur Ubuntu.
Ensuite nous accédons convenablement en tapant les identifiants corrects. La capture
3.115 montre le succès d’interconnexion lorsqu’on tape le nom d’utilisateur et le mot de
passe correctement.
Figure 3.115 – Capture Login SSH.
Puis, nous essayons de taper des mots de passe inexacts afin de visualiser la réponse
du système. Le protocole SSH offre par défaut trois essais seulement à l’utilisateur et par
la suite la permission sera refusée mais sans bloquer l’utilisateur.
68
82. Chapitre 3.7. Scénarios des attaques
Figure 3.116 – Capture 3 essais d’attaque SSH.
Donc nous essayons d’insérer une règle qui bloque l’utilisateur après deux essais in-
correcte seulement pendant 180 secondes.
Figure 3.117 – Commande pour accéder aux règles.
Figure 3.118 – Capture de la règle SSH ajouté.
Nous redémarrons le serveur Wazuh et nous testons la réaction du système après
l’ajout de la règle 5760.
69
83. Chapitre 3.8. Conclusion
Figure 3.119 – Capture du blocage d’attaque SSH.
Le serveur Wazuh affiche les différentes alertes détéctées immédiatemment. Il réagit
à cette tentative trouvée en bloquant l’utilisateur après deux essais comme le montre la
figure 7.120.
Figure 3.120 – Capture qui affiche la réponse du Wazuh : échec d’authentification SSH.
En résumé, le serveur Wazuh n’a pas détecté l’alerte seulement mais en ajoutant
et modifiant des règles il réagit rapidement afin d’éviter toutes tentatives malveillantes
indésirables.
3.8 Conclusion
Dans ce dernier chapitre, nous avons justifié notre choix de solution en décrivant les
avantages d’ELK stack. Nous avons ensuite présenté les composants et le fonctionnement
de cette solution, ainsi que les environnements logiciels et matériels nécessaires à sa mise
en place.
Nous avons également détaillé l’architecture de notre environnement du travail, puis pro-
cédé à l’installation de la solution et à la configuration des agents.
Aussi, nous avons réalisé la visualisation du système et à la configuration des agents.
Et finalement, nous avons créé des scénarios d’attaques pour tester le fonctionnemnt du
systéme et voir le résulats du Wazuh.
70
84. Conclusion Générale
Grâce à cette expérience professionnelle réalisée au sein de Tunisie Télécom, nous avons
eu l’opportunité de mettre en pratique nos compétences théoriques et professionnelles ac-
quises lors de nos études à l’institut.
Pendant la période de stage, nous avons d’abord découvert le réseau de Tunisie Té-
lécom, ainsi que les outils de sécurité utilisés par l’entreprise, notamment le système de
supervision QRadar. Après avoir examiné les lacunes de ce système, nous avons proposé
une alternative plus évolutive : le système de supervision ELK Stack. Dans la deuxième
partie du projet, nous avons étudié Elastic Stack. Son fonctionnement consiste à collecter
stocker et corréler les informations du réseau en vue d’identifier rapidement les incidents
de sécurité.
Il permet aussi de suivre les activités et diagnostiquer les problèmes de performance.
Nous avons consacré la partie pratique à la préparation de l’environnement de travail,
l’installation des machines virtuelles CentOS 7, Ubuntu 22.04.2, Windows 10, Typhoo
1.02 et Kali, ainsi que l’installation du système de supervision ELK Stack et ses com-
posants : tels que la base de données Elasticsearch, l’interface graphique de visualisation
Kibana, les FileBeats, le module Wazuh et ses agents wazuh.
Nous avons également présenté les différents composants du système, tels que l’audit
la surveillance des politiques, la conformité réglementaire, la détection et la réponse aux
menaces et surtout la gestion des informations de sécurité.
Enfin, nous avons mis en œuvre divers tests de détection de vulnérabilités afin de
démontrer l’aptitude de notre solution à analyser le niveau de vulnérabilité. Nous avons
aussi réalisé des scénarios d’attaques, tels que l’attaque par injection SQL, l’attaque par
force brute.
Nous avons constaté que l’avantage majeur d’incorporer le module Wazuh dans ELK
Stack est de détecter les menaces et les attaques potentielles en temps réel. Par conséquent
la sécurité de l’entreprise sera considérablement améliorée.
En conclusion, ce projet nous a permis d’acquérir une expertise en matière d’audit
de sécurité des réseaux et des systèmes, de nous familiariser avec l’environnement Linux,
d’explorer Metasploit et de réaliser des attaques à l’aide de Kali.
Cette expérience nous a également ouvert de nouvelles perspectives sur les systèmes
SIEM et l’intelligence artificielle qui jouent un rôle primordial dans la protection des
entreprises contre les cyberattaques.
71
85. Netographie
[1] SOC. In : tales from security professional (consulté le 19-05-2023).
https://tales-from-a-security-professional.com/which-services-can-
you-expect-from-a-security-operation-center-ce5e97aa6a31
[2] Architecure d’un SIEM. In : tutorial and example (consulté le 19-05-2023). https:
//www.tutorialandexample.com/siem-tools
[3] SIEM. In : orange business (consulté le 19-05-2023). https://www.orange-
business.com/fr/blogs/securite/lois-reglementations-standards-et-
certifications/gestion-des-informations-et-evenements-de-securite-
siem
[4] SIEM. In : openclassrooms (consulté le 19-05-2023). https://openclassrooms.com/
fr/courses/1750566-optimisez-la-securite-informatique-grace-au-
monitoring/7144162-identifiez-les-objectifs-du-monitoring
[5] SIEM. In : spiceworks (consulté le 19-05-2023). https://www.spiceworks.com/it-
security/vulnerability-management/articles/what-is-siem/
[6] Wazuh Architecture. In : Wazuh (consulté le 19-05-2023). https:
//documentation.wazuh.com/current/deployment-options/elastic-stack/
index.html
[7] Tunisie Télécom. In : Tunisie telecom (consulté le 19-05-2023). https://
www.tunisietelecom.tn/Fr/Particulier/A-Propos/Entreprise
[8] Supervision informatique. In : informatique-securite (consulté le 19-05-
2023). https://www.informatique-securite.net/quest-cest-reellement-
supervision-informatique/
[9] Qradar. In : IBM (consulté le 19-05-2023). https://www.ibm.com/docs/fr/SSKMKU/
com.ibm.qradar.doc/b_qradar_users_guide.pdf
[10] Cyberattaque. In : Oracle (consulté le 19-05-2023). https://www.oracle.com/fr/
cloud/cyberattaque-securite-reseau-informatique.html
[11] Cybersécurité. In : IBM (consulté le 19-05-2023). https://www.ibm.com/fr-fr/
topics/cybersecurity
[12] Cybersécurité. In : CISCO (consulté le 19-05-2023). https://www.cisco.com/c/
fr_fr/products/security/what-is-cybersecurity.html
[13] Supervision. In : appvizer (consulté le 19-05-2023). https://www.appvizer.fr/
magazine/services-informatiques/supervision-info/supervision-
informatique
[14] SOC. In : varnois (consulté le 19-05-2023). https://www.varonis.com/blog/
security-operations-center-soc
72
