REPUBLIQUE DU CAMEROUN Paix-Travail-Patrie INSTITUT AFRICAIN D’INFORMATIQUE CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA CENTRE REGIONAL DES IMPOTS DU CENTRE II BP : 13719-Yaoundé Tel: (+237)8200 Tel :(+237)242729957 / 242729958 E-mail: [email protected] E-mail : [email protected] Site web: www.impots.cm Site web : www.iaicameroun.com RAPPORT DE STAGE ACADEMIQUE THEME : MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITES INFORMATIQUES AU SEIN DU CRIC2 Stage effectué du 19 juillet au 30 septembre 2022 au Centre Régional des impôts du centre II, en vue de l’obtention du Diplôme d’Ingénieur des Travaux Informatiques Option : Systèmes et Réseaux Rédigé par : NGUESSI NGUEUDIE Steve Ryan Etudiant en 3ième année à l’IAI-Cameroun Sous la supervision : ACADEMIQUE DE : PROFESSIONNELLE DE : M. TEMGOUA Arnaud M. TENE PENKA Simplice Enseignant à l’IAI-Cameroun Inspecteur principal des impôts et chef de la brigade régionale des enquêtes régionales 0 2019-2020 ANNEE ACADEMIQUE 2021-2022 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 DEDICACE À TOUTE MA FAMILLE Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 i MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 REMERCIEMENTS C’est avec un cœur plein de gratitude et de joie que nous souhaitons adresser nos sincères remerciements à toutes ces personnes sans qui la réalisation de ce travail n’aurait été possible, tenons donc à exprimer nos sincères remerciements à : M. ABANDA Armand Claude, le représentant résident de l’IAI Cameroun « Centre d'Excellence Technologique PAUL BIYA », pour tous les efforts menés pour en faveur de la réussite de notre formation au sein du prestigieux établissement dont il a la tête; M. BICKOE Daniel Hyppolite, chef de centre régional des impôts du centre 2, pour la confiance qu’il nous accordé en nous admettant au sein de sa structure ; M. TEMGOUA Arnaud, Encadrant académique, pour sa disponibilité, sa dévotion, ses conseils et sa rigueur dans le travail ; M. TENE Penka Simplice, Encadrant professionnel, pour nous avoir fourni des outils didactiques nécessaires au bon déroulement de notre stage et ses conseils sur la rédaction de notre rapport de stage ; M. & Mme FANKAM, pour leur accompagnement, leur soutient et aussi leurs conseils ; Mme NGUEUDIE Jacqueline, pour son soutien, son accompagnement, ses encouragements et ses conseils ; M. & Mme MBIANDA, pour leur appui inestimable et leur accompagnement ; M. KEMGANG François, pour son accompagnement, son appui et surtout sa forte contribution à la réussite de notre formation ; Tous les enseignants de l’Institut Africain d’Informatique pour leur encadrement ; Tout le personnel du CRIC2 pour leur accompagnement dans la réussite de notre stage ; Tous nos amis et camarades pour l’aide, les remarques et les critiques en particulier Mlle GHOMFO Odette Pamela. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 ii MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 SOMMAIRE DEDICACE ................................................................................................................................. i REMERCIEMENTS .................................................................................................................. ii SOMMAIRE ............................................................................................................................. iii LISTES DES FIGURES............................................................................................................ iv LISTES DES TABLEAUX ...................................................................................................... vii LISTES DES ABBREVIATIONS .......................................................................................... viii RESUME.................................................................................................................................... x ABSTRACT .............................................................................................................................. xi INTRODUCTION GENERALE................................................................................................ 1 PARTIE 1 : PHASE D’INSERTION ........................................................................................ 2 CHAPITRE 1 : ACCUEIL EN ENTREPRISE ...................................................................... 3 CHAPITRE 2 : PRESENTATION DE LA STRUCTURE D’ACCUEIL ............................. 5 PARTIE 2 : PHASE TECHNIQUE ........................................................................................ 10 CHAPITRE 1 : ANALYSE DU PROJET ............................................................................ 11 CHAPITRE 2 : CAHIER DE CHARGES ............................................................................ 14 CHAPITRE 3 : ETAT DE L’ART ....................................................................................... 23 CHAPITRE 4 : IMPLEMENTATION ................................................................................. 53 CHAPITRE 5 : RESULTATS ET COMMENTAIRES ....................................................... 65 CONCLUSION GENERALE .................................................................................................. 71 INDEX BIBLIOGRAPHIQUE ...........................................................................................LXXI WEBOGRAPHIE ................................................................................................................LXXI GLOSSAIRE .......................................................................................................................LXXI ANNEXES ..........................................................................................................................LXXI TABLES DES MATIERES ................................................................................................LXXI Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 iii MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 LISTES DES FIGURES Figure 1: Situation géographique de CRIC2 .............................................................................. 7 Figure 2: Organigramme du CRIC2 ........................................................................................... 9 Figure 3: Architecture physique du CRIC2.............................................................................. 13 Figure 4: Diagramme de Gantt ................................................................................................. 19 Figure 5: Résumé des étapes d'une cyberattaque selon le Mitre .............................................. 29 Figure 6: Schéma du fonctionnement d'un SOC avec le SIEM ............................................... 33 Figure 7: Logo Ossec ............................................................................................................... 35 Figure 8: Logo Wazuh.............................................................................................................. 36 Figure 9: Logo Splunk.............................................................................................................. 37 Figure 10: Logo Solarwinds ..................................................................................................... 37 Figure 11: Architecture du serveur Wazuh .............................................................................. 41 Figure 12: Architecture et composants de l'agent Wazuh ........................................................ 43 Figure 13: Architecture de déploiement de Wazuh .................................................................. 45 Figure 14: Flux de collecte et d'analyse des logs ..................................................................... 46 Figure 15: : Flux de surveillance de l'intégrité des fichiers ..................................................... 47 Figure 16: Flux de détection d'anomalies ................................................................................ 49 Figure 17: Flux de surveillance des commandes .................................................................... 51 Figure 18: Flux de mise en œuvre de la réponse active ........................................................... 52 Figure 19: Architecture de déploiement Wazuh au sein du CRIC ........................................... 54 Figure 20: Logo VMware Workstation .................................................................................... 55 Figure 21: Logo Ubuntu ........................................................................................................... 56 Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 iv MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Figure 22: Logo ELK stack ...................................................................................................... 57 Figure 23: Caractéristiques de la VM ...................................................................................... 57 Figure 24: Installation Ubuntu ................................................................................................. 58 Figure 25: Bureau Ubuntu ........................................................................................................ 58 Figure 26: Mise à jour Ubuntu ................................................................................................. 59 Figure 27: Installation Elasticsearch ........................................................................................ 59 Figure 28: Téléchargement du fichier de configurations ......................................................... 60 Figure 29: Création de certificats ............................................................................................. 60 Figure 30:Démarrage de Elasticsearch ..................................................................................... 60 Figure 31: Génération des identifiants ..................................................................................... 60 Figure 32: Installation de wazuh-server ................................................................................... 61 Figure 33: Démarrage service wazuh-manager ........................................................................ 61 Figure 34: Installation filebeat ................................................................................................. 61 Figure 35: Vérification de filebeat ........................................................................................... 62 Figure 36: Installation de Kibana ............................................................................................. 62 Figure 37: Installation du plugin Wazuh .................................................................................. 63 Figure 38: Démarrage du service Kibana ................................................................................. 63 Figure 39: Interface de connexion ............................................................................................ 63 Figure 40: Tableau de bord Wazuh .......................................................................................... 64 Figure 41: Architecture de test ................................................................................................. 67 Figure 42: Setup de Wazuh ...................................................................................................... 68 Figure 43: Installation agent Wazuh ........................................................................................ 68 Figure 44: Démarrage agent wazuh sur windows .................................................................... 68 Figure 45: Installation Wazuh-agent sur Linux........................................................................ 69 Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 v MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Figure 46: Vérification du statut de l'agent .............................................................................. 69 Figure 47: Dashboard avec agents enregistrés ......................................................................... 70 Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 vi MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 LISTES DES TABLEAUX Tableau 1: Les acteurs du projet .............................................................................................. 17 Tableau 2: Tableau périodique des tâches ................................................................................ 18 Tableau 3: Evaluation financière des ressources matérielles ................................................... 20 Tableau 4: Evaluation financière des ressources logicielles .................................................... 20 Tableau 5: Evaluation financière des ressources humaines ..................................................... 21 Tableau 6: Evaluation financière globale ................................................................................. 21 Tableau 7: Tableau de comparaison entre les IDS existants .................................................... 38 Tableau 8: Récapitulatif des composants de Wazuh-indexer................................................... 40 Tableau 9: Liste de ports utilisé par Wazuh ............................................................................. 45 Tableau 10: Equipement pour le test ........................................................................................ 66 Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 vii MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 LISTES DES ABBREVIATIONS AMR : Avis de Mise en Recouvrement API : Application Programming Interface BRER : Brigade Régionale des Enquêtes Fiscales et des Recherches CDI : Centre Divisionnaire des Impôts CIME : Centre des Impôts des Moyennes Entreprises CRIC II : Centre Régional des Impôts du Centre 2 CSI-EP-CTD-OPY : Centre Spécialisé des Impôts des Etablissements Publics, des Collectivités Territoriales Décentralisées, et des autres Organismes Publics de Yaoundé DGE : Direction des Grandes Entreprises DD : Disque Dur FIM: File Integrity Module GHz: Gigahertz GB: Gigabit HDD: Hard Drive Disk HIDS: Host Intrusion Detection System IETF: Internet Engineering Task Force IRS: Inspection Régionale des Services ISO: International Organization Standardization IT: Information Technology ITI: Information Technology Infrastructure Library Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 viii MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Json: JavaScript Object Notation mAh : Milliampère/heure mbps : Mégabits Par Seconde RAM : Random Access Memory RR : Recette Régionale SAG : Service des Affaires Générales SIEM: Security Information and Event Management SOAR: Security Orchestration Automation and Response SOC: Security Operations Center SSL: Secure Socket Layer TLS: Transport Layer Security To: Téraoctets TTP: Techniques Tactiques Procédures Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 ix MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 RESUME Avec la digitalisation croissante des services au sein des organisations, les ressources informatiques se retrouvent au cœur du système d’information des entreprises modernes ; ce qui fait en sorte qu’elles deviennent de plus en plus exposées à d’éventuelles cyberattaques menées par des individus malveillants. Par exemple lorsqu’un utilisateur veut accéder à une ressource dans le réseau, il doit s’y connecter, dès lors il peut déjà devenir une menace pour les autres hôtes, ce qui accroît les risques liés à la sécurité sur les ressources informatiques de l’entreprise. Il s’avère donc important de mettre en œuvre des mesures de sécurités pour prévenir et même limiter les intrusions au sein d’un réseau, dans notre cas spécifiquement celui du CRIC2. Pour relever ce challenge, durant notre stage allant de la période du 19 Juillet au 30 Septembre 2022, nous nous sommes orientés vers « la mise en place d’une solution de détection et de réponse automatique aux incidents de sécurité informatique au sein du CRIC2 ». Cette mise en place a nécessité une analyse approfondie, l’établissement d’un cahier de charges, l’étude des solutions existantes, le déploiement et la configuration de l’outil Wazuh. Les résultats obtenus révèlent que la solution répond à suffisances aux besoins en matière de surveillance, de détection et de réponse aux incidents de sécurité informatique pouvant survenir au sein du CRIC2. Mots clés : systèmes d’information, réseau, hôtes, intrusions, détection, réponse automatique. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 x MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 ABSTRACT With the increasing digitalization of services within organizations, IT resources are at the heart of the information system of modern companies, making them more and more exposed to possible cyber-attacks by malicious individuals. For example, when a user wants to access a resource in the network, he has to connect to it, so he can already become a threat to other hosts, which increases the security risks on the company's IT resources. It is therefore important to implement security measures to prevent and even limit intrusions within a network, in our case specifically that of CRIC2. To meet this challenge, during our internship from July 19 to September 30, 2022, we focused on "the implementation of a solution for detection and automatic response to computer security incidents within CRIC2". This implementation required an in-depth analysis, the establishment of specifications, the study of existing solutions, the deployment and configuration of the Wazuh tool. The results obtained show that the solution sufficiently meets the needs for monitoring, detection and response to computer security incidents that may occur within CRIC2. Key words: information systems, network, hosts, intrusions, detection, automatic response. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 xi MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 INTRODUCTION GENERALE Au vu des évolutions technologiques constante, les systèmes utilisés au sein des organisations se complexifient et sont actualiser ou modifier de jour en jour. Afin d’avoir des ingénieurs de travaux informatique up to date, l’Institut Africain d’informatique (IAICameroun) exige de ses étudiants de troisième année un stage académique d’une durée de trois (03) mois dans une structure d’accueil afin de s’imprégner du monde professionnel; cet ainsi que de la période allant du 19 juillet au 30 Septembre 2022, nous avons été accueilli dans les locaux du Centre Régional des Impôts du Centre 2 (CRIC2), qui est une figure déconcentrée de la Direction Générale des Impôts (DGI). Plus largement, ce stage a été pour nous l’occasion d’approfondir nos connaissances tant dans le domaine informatique que dans le domaine fiscal. La sécurité informatique étant donc une nécessité pour les structures fiscales, nous avons jugé impératif de se poser la question de savoir comment mettre en place un système qui sera capable de centraliser la surveillance du réseau et des hôtes, la détection des intrusions et la réponse automatique aux incidents de sécurité ? Pour y parvenir, nous procèderons en deux temps, nous commencerons par la présentation de la structure d’accueil, ayant de prime à bord présenter la façon dont nous avons été accueillis et notre intégration. Après quoi nous nous intéresserons à l’aspect technique qui nous permettra de comprendre l’existant, d’élaborer un cahier de charges, un état de l’art des solutions possibles pour l’implémentation et enfin des tests de fonctionnalités. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 1 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 PARTIE 1 : PHASE D’INSERTION L’insertion professionnelle est un processus qui permet à un individu ou un groupe d’individus d’entrer sur le marché du travail dans des conditions favorables à l’obtention d’un emploi. Dans le cadre du stage académique, nous avons été reçus comme stagiaire au sein des locaux de CRIC2 pour une période de trois (03) mois et dont la phase d’insertion a durée 02 semaines. Notre phase s’articule autour de : l’accueil et la présentation de la structure hôte sans oublier les différentes ressources dont elle regorge. APERCU CHAPITRE 1 : ACCUEIL ET INTEGRATION EN ENTREPRISE CHAPITRE 2 : PRESENTATION DE L’ENTREPRISE Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 2 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 CHAPITRE 1 : ACCUEIL EN ENTREPRISE Dans ce chapitre, nous parlons de notre première prise de contact avec la structure qui a bien voulu nous accueillir et les tâches à nous confier au sein de celle-ci en l’occurrence le Centre Régional des Impôts du Centre 2 (CRIC2) APERCU 1.1. ACCUEIL 1.2. INTEGRATION Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 3 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 1.1. ACCUEIL Le mardi 19 juillet de l’an 2022 marque notre toute première prise de contact avec le CRIC2, journée pendant laquelle nous avons eu l’extrême privilèges d’être convié à une réunion avec le chef de centre régional M. Daniel Hippolyte BICKOE et d’autres membres de la structure notamment : M. TENE PENKA Simplice, chef de la brigade régionale des enquêtes fiscales et des recherches ; M. GUIMPBIKIE YIKOUA Patient, Mme NGO NKEN Marie, chef service des affaires générales. Les objectifs de cette séance de travail étaient de nous présenter tout premièrement le système fiscal camerounais (les contribuables, l’immatriculation, la déclaration et les impôts), la présentation sommaire du CRIC2(à travers ses missions, son personnel, son règlement intérieur), la présentation de nous stagiaire, leurs attentes vis-à-vis de nous et réciproquement, et enfin l’établissement d’un chronogramme de passage entre les différents services (voir annexe 1). 1.2. INTEGRATION Notre insertion au sein du CRIC2 n’a pas été d’un doux repos en raison de notre ignorance totale des activités du monde fiscal, mais grâce aux efforts consentis par le personnel et aux nôtres, nous avons pu très rapidement nous y adapter. Pour faciliter donc notre insertion, un chronogramme de passage entre les différents services a été établit. Durant ces passages, il était question pour nous d’assimiler les rôles joués par chaque service et d’y effectuer des tâches connexes comme le tri du fichier national des contribuables, l’établissement des droits de communications, le montage des présentations PowerPoint, le croisement et la consolidation entre fichier des contribuables, la réparation d’ordinateurs en pannes, et spécialement la création d’une Base de données à la Brigade Régionale des Enquêtes Fiscales et des Recherches. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 4 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 CHAPITRE 2 : PRESENTATION DE LA STRUCTURE D’ACCUEIL APERCU 2.1. HISTORIQUE 2.2. MISSIONS 2.3. SITUATION GEOGRAPHIQUE 2.4. ORGANIGRAMME DU CRIC2 Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 5 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 2.1. HISTORIQUE Le Centre Régional des Impôts du Centre II (CRIC2) est une figure récente des services déconcentrés de la Direction Générale des Impôts (DGI), créé à la faveur de l’arrêté 000361/MINFI du 19 Juin 2019. Mais il faudra attendre les arrêtés ministérielles N° 232, 233, et 234 du 26 Août 2020 pour voir ses principaux services centraux et opérationnels, dans leur configuration actuelle, être pourvus en responsables. 2.2. MISSIONS De manière générale, Le Centre Régional des Impôts du Centre II est chargé, dans son ressort territorial de compétence : Du suivi de l’application des textes législatifs et réglementaires en matière fiscale ; Du contrôle, de la coordination et de l’animation de l’activité de tous les services des impôts installés dans son ressort territorial de compétence ainsi que de la formation du personnel ; De la collecte, de la centralisation, de la mise à disposition et du suivi de l’exploitation par les services compétents des renseignements à but fiscal ; De l’identification, de la localisation et de l’immatriculation des contribuables ; Des émissions et du recouvrement en matière d’impôts directs et indirects, des droits d’enregistrement et du timbre, de redevances et taxes diverses ; Des contrôles et vérifications en matière d’impôts directs et indirects, des droits d’enregistrement et du timbre, de redevances et taxes diverses ; De l’exploitation fiscale des informations foncières ; De la centralisation des données statistiques sur les émissions et le recouvrement directs et indirects, des droits d’enregistrement, du timbre et de la curatelle, de redevances et taxes diverses, y compris les taxes pétrolières, minières, forestières, agricoles, pastorales et sur les produits halieutiques ; De la lutte et de la répression pénale de la fraude fiscale ; De l’instruction des requêtes gracieuses et contentieuses des contribuables ; De l’installation et du contrôle des machines à timbrer ; De l’approvisionnement, de la conservation et du contrôle des timbres et des valeurs fiscales. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 6 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 2.3. SITUATION GEOGRAPHIQUE Les services centraux du CRIC2 sont installés au quartier Nylon-Bastos, dans l’ex-bâtiment qui a abrité la Direction des Grandes Entreprises (DGE). Quant à ses structures opérationnelles, à l’exception du CSI-EP-CTD-OPY qui occupe le même bâtiment que les services centraux, elles sont disséminées sur l’étendue de son territoire de compétence limité dans une partie de la ville de Yaoundé. Figure 1: Situation géographique de CRIC2 (Source : Google map) Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 7 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 2.4. ORGANIGRAMME DU CRIC2 Placé sous l’autorité d’un (01) Chef de Centre Régional, les services du CRIC2 sont organisés en deux grandes catégories à savoir : les services centraux et les structures opérationnelles. Ses services centraux sont donc : L’inspection Régionale Des Services ; Le Service Des Affaires Générales ; La Brigade Régionale Des Enquêtes Fiscales Et Des Recherches ; La Recette Régionale des Impôts ; La Cellule Du Contentieux ; La Brigade Régionale De Programmation Et Du Suivi Des Contrôles Et Des Vérifications ; Le Service de la Communication ; La Cellule Des Statistiques, De L’immatriculation, Du Contrôle De Gestion Et De L’informatique ; La Cellule Spéciale D’enregistrement. S’agissant de ses structures opérationnelles par ailleurs de tous les métiers fiscaux (assiette, contrôle, recouvrement) à l’exception du contentieux, l’on dénombre : Un (01) Centre Spécialisé Des Impôts Des Etablissements Publics, des Collectivités Territoriales Décentralisées, et des autres Organismes Publics de Yaoundé (CSI-EPCTD-OPY) ; Un (01) Centre Des Impôts Des Moyennes Entreprises (CIME Yaoundé OUEST) ; Trois (03) Centres Divisionnaires des impôts dits Rénovés (CDI-R) soit le CDI 4 à Messa Camp-sic, CDI 5 à Biyem-Assi lycée et le CDI 6 à Efoulan pont). Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 8 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Voici résumé tout ce qui a été dit précédemment concernant l’organisation fonctionnelle et administrative du CRIC2 Figure 2: Organigramme du CRIC2 (Source : Service des affaires générales) Durant la phase d’insertion, nous avons eu un bref aperçu sur le fonctionnement de la structure, une connaissance sur le travail collaboratif, la vie professionnelle. Notre étude du contexte nous a alors permis de choisir pour thème : « MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC2 ». Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 9 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 PARTIE 2 : PHASE TECHNIQUE Après la présentation de notre accueil et l’intégration au sein du CRIC II, La phase technique est la phase dans laquelle nous allons présenter les différentes spécificités du projet tant dans la planification à travers le cahier de charge, compréhension de la solution à travers l’état de l’art et la mise sur pied du système à travers l’implémentation. Alors, dans cette partie, nous présenterons dans un premier temps, l’analyse du projet, après le cahier de charges, ensuite l’étude de l’art, puis l’implémentation et enfin les résultats. APERCU CHAPITRE 1 : ANALYSE DU PROJET CHAPITRE 2 : CAHIER DE CHARGES CHAPITRE 3 : ETAT DE L’ART CHAPITRE 4 : IMPLEMENTATION DE LA SOLUTION CHAPITRE 5 : RESULTATS ET COMMENTAIRES Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 10 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 CHAPITRE 1 : ANALYSE DU PROJET Dans ce chapitre, nous évaluons la pertinence de notre projet en passant par une étude critique de l’existant et en ressortant une problématique dont nous aurons à proposer la solution appropriée. APERCU 1.1. PRESENTATION DU PROJET 1.2. ETUDE DE L’EXISTANT 1.3. PROBLEMATIQUE Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 11 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 1.1. PRESENTATION DU PROJET Notre projet s’intitule « Mise en place d’une solution de réponse automatique aux incidents de sécurité informatique au sein du CRIC2 », il sera donc ici question pour nous de mettre en place un système permettant de détecter les intrusions et autres menaces, les trier, déterminer s’il faut agir et enfin contenir et/ou résoudre l’incident. Tout ceci sans aucune implication du personnel humain. Ainsi l’analyste de sécurité n'aura pas à suivre les étapes, les instructions et le flux de travail de prise de décision pour enquêter sur un événement et déterminer s'il s'agit d'un incident légitime. Les actions répétitives et chronophages lui sont retirées afin qu'il puisse se concentrer sur un travail plus important et à valeur ajoutée. 1.2. ETUDE DE L’EXISTANT Du fait que la bonne réalisation d’un projet informatique nécessite préalablement une étude des lieux, nous avons opter pour une analyse approfondie du système en place afin de l’améliorer. Il est essentiel de disposer d’informations précises sur l’infrastructure réseau physique et les problèmes qui ont une incidence sur le fonctionnement du réseau. L’infrastructure technique du CRIC2 repose sur une variété d’équipement de dernière génération parmi lesquelles nous recensons : Trois (03) commutateurs Cisco : servant à relier les différents segments du réseau ; Deux (02) routeurs Cisco : servant à interconnecter le réseau local à Internet et à effectuer un routage de paquet entre les segments logiques du réseau local ; Un (01) Pare-feu Cisco : protégeant la totalité du réseau interne ; Deux (02) point d’accès Cisco : pour permettre un accès au réseau et une connectivité aux équipements sans fil ; Un (01) serveur HP : à l’intérieur du quel sont déployés plusieurs services à l’exemple de l’annuaire ; Des laptops & des desktops : qui sont les terminaux utilisateurs dans ce réseau ; Des téléphones IP : pour les communications téléphoniques internes ; Des imprimantes multifonctions : pour des tâches de bureautique diverses notamment l’impression, la numérisation, etc. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 12 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 L’architecture physique du réseau du CRIC2 est ainsi résumé comme suit : Figure 3: Architecture physique du CRIC2 1.3. PROBLEMATIQUE L’existentiel étudié, nous avons pu faire une analyse de son fonctionnement et avons quelques insuffisances à savoir : L’absence d’un système de surveillance des performances du réseau ; L’absence d’un plan de réponse instantanée aux cyberattaques, augmentant la durée de l’indisponibilité du réseau si jamais celui-ci se fait attaquer ; L’absence d’un système d’alerte sur les évènements se produisant au sein du réseau. Des insuffisances relevées, nous posons la question de savoir : comment mettre en place un système qui sera capable de centraliser la surveillance du réseau et des hôtes, la détection d’intrusion et la réponse automatique à tout autre incident de sécurité ? Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 13 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 CHAPITRE 2 : CAHIER DE CHARGES Le CDC (Cahier de Charges) est un document établi de commun accord entre le maître d’ouvrage et le maître d’œuvre précisant les objectifs, les délais, le coût et les attentes du projet à réaliser. C’est donc un document élémentaire préliminaire et indispensable pour la conception et l’implémentation des systèmes d’informations. Tout au long de ce chapitre, nous travaillerons sur les parties fondamentales faisant ressortir les points saillants du travail qui nous a été confié. Dans un premier temps, nous présenterons le contexte de réalisation de notre projet, ensuite nous présenterons les objectifs à atteindre, après nous mettrons en exergue des besoins puis la planification du projet et enfin nous ferons une évaluation financière. APERCU 2.1. CONTEXTE DU PROJET 2.2. OBJECTIFS DU PROJET 2.3. EXPRESSION DES BESOINS 2.4. PLANIFICATION DU PROJET 2.5. EVALUATION FINANCIERE Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 14 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 2.1. CONTEXTE DU PROJET Suite à la numérisation du service fiscal, l’on observe au sein du CRIC2 que le traitement du fichier des contribuables et les autres processus métier sont réalisés à l’aide d’ordinateurs qui forment un réseau local et ayant accès au réseau public, en l’occurrence Internet. Face à ce constat, nous avons mené une investigation afin de savoir quelles sont les mesures de sécurité préventive & même curative misent en œuvre contre d’éventuelles cyberattaques ; le résultat de cette enquête nous a révélé que seul le pare-feu en entré du réseau et les antivirus installés sur les hôtes constituent les mesures principales de sécurité; choses que nous avons déplorer au vue du rang de deuxième contributeurs qu’occupe le CRIC2 avec un taux de plus de cent (100) milliards au sein de la DGI et de la multitude d’autres solutions existantes pour ces cas, raison pour laquelle nous avons donc décidé d’orienter notre travail vers la mise en place d’une solution de réponse automatique aux incidents. 2.2. OBJECTIFS DU PROJET Pour mieux réaliser ce projet, il est nécessaire pour nous de se fixer un certain nombre d’objectifs à atteindre : 2.2.1. OBJECTIF GENERAL L e but premier de ce projet est de mettre en place au sein du CRIC2 un système qui sera capable de détecter les intrusions, répondre automatiquement aux incidents de sécurité informatique détecter. 2.2.2. OBJECTIFS SPECIFIQUES Concernant les objectifs spécifiques, nous avons : Surveiller et détecter les intrusions au sein du CRIC2 ; Emettre des alertes concernant les évènements de sécurité ; Investiguer et répondre à ces évènements ; Avoir une vue d’ensemble et une gestion centralisée de tous les équipements ; Permettre une supervision du réseau ; Collecter les journaux d’évènement. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 15 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 2.3. EXPRESSION DES BESOINS 2.3.1. BESOINS FONCTIONNELS Nous avons effectué une analyse fonctionnelle auprès des futurs utilisateurs de notre solution et il en est ressorti en termes de besoins fonctionnels : La collecte et l’analyse des fichiers journaux ; La journalisation et la remonté des alertes ; La surveillance continue du réseau et des hôtes ; La détection des intrusions ; La détection de vulnérabilités ; La réponse aux incidents. 2.3.2. BESOINS NON-FONCTIONNELS Il s’agit ici des besoins qui caractérisent le système, se sont généralement des besoins en termes de performance, nous avons donc relevé parmi ceux-ci : L’interopérabilité : notre solution devra être capable de communiquer et d’interagir avec d’autres solutions de sécurité implémentées ou à venir ; L’extensibilité : elle devra être capable de donner la possibilité d’ajout de modules afin d’améliorer sa performance ; La disponibilité : le système doit être en état permanent de fonctionnement ; La fiabilité : les informations reçues du système doivent être fiable et irréprochable ; La facilité de maintenance : les problèmes que rencontreront le système devront être résolu de façon rapide ; La facilité d’utilisation : les fonctionnalités doivent être facilement accessible par l’utilisateur final. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 16 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 2.4. LES ACTEURS DU PROJET Tableau 1: Les acteurs du projet NOMS FONCTIONS STATUT ROLES CRIC2 Structure d’accueil Maître d’ouvrage Définir ses besoins et ses attentes par rapport au projet M. TENE PENKA Encadrant Simplice Professionnel Chef de projet Responsable projet, de chargé préparation et l’équipe de la de la coordination de la réalisation du projet M. TEMGOUA Encadrant Académique ARNAUD Responsable Veiller au fonctionnel fonctionnement bon de la solution par rapport aux besoins définis par le maître d’ouvrage M. NGUESSI Elève Ingénieur des Responsable Gérer la production et les NGUEUDIE Steve Ryan travaux en Informatique Technique aspects techniques du projet (faisabilité, étapes pour la réalisation) 2.5. LES CONTRAINTES DU PROJET Les contraintes liées à la réalisation d’un projet sont l’ensemble des facteurs limitant dont il faut impérativement tenir compte lors de la réalisation de celui-ci. Les principales contraintes dans la gestion de projet sont au nombre de trois et se font communément qualifier de « triangle d’or », à savoir : le coût, le délai et la qualité. 2.5.1. LE COÛT Pour la bonne réalisation de notre projet, un budget va donc lui être alloué afin de couvrir ses charges financières, le nôtre sera donc déterminé plus bas après l’évaluation financière qui sera mené. 2.5.2. LE DELAI Il est extrêmement essentiel car tout bon projet doit avoir une durée de fini de réalisation, concernant le nôtre la durée de réalisation défini est de soixante-treize (73) jours. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 17 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 2.5.3. LA QUALITE La réalisation de notre projet doit répondre à un niveau élevé de qualité pour répondre aux besoins et aux attentes des utilisateurs finaux, il doit pouvoir évoluer au fil du temps et de l’environnement. 2.6. PLANIFICATION DU PROJET Afin de respecter la contrainte délai de la réalisation d’un projet, il est capital pour nous de répartir nos tâches sur des intervalles de temps bien définis. Pour ce faire, nous dresserons d’abord une liste des tâches à effectuer et ensuite nous réaliserons grâce au logiciel Gantt Project un diagramme de Gantt pour permettre une représentation visuelle des durées de réalisations de nos tâches. 2.6.1. TÂCHES Tableau 2: Tableau périodique des tâches NOM DE LA TACHE DATE DE DEBUT DATE DE FIN DUREE (EN JOURS) Rédaction du rapport 20/07/2022 30/09/2022 73 Accueil, découverte et intégration 20/07/2022 03/08/2022 15 Choix et validation du thème 04/08/2022 07/08/2022 04 Analyse du projet 08/08/2022 14/08/2022 07 Cahier de charges 15/08/2022 21/08/2022 07 Etat de l’art 22/08/2022 28/08/2022 07 Choix de la solution 29/08/2022 31/08/2022 03 Implémentation 01/09/2022 14/09/2022 14 Test de fonctionnalités 15/09/2022 22/09/2022 08 Corrections 23/09/2022 30/09/2022 08 dans la structure Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 18 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 2.6.2. DIAGRAMME DE GANTT L’image ci –dessous notre diagramme de Gantt Figure 4: Diagramme de Gantt 2.7. EVALUATIONS FINANCIERES L’évaluation financière est ici l’estimation du coût de la réalisation de notre projet, car tout projet aussi petit qu’il soit à un coût. Cependant, la détermination de ce coût n’est pas faite par hasard, nous prenons en compte les différentes ressources matérielles, logicielles et humaines, tout en nous référant au tableau fournit par le ministère du commerce résumant les prix des différentes denrées sur le marché pour l’an 2022, nommé la mercuriale des prix et tarifs de références pour l’an 2022 et également des prix des boutiques officielles en ligne de certains produits. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 19 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 2.7.1. RESSOURCES MATERIELLES Le tableau ci-dessous nous en fait un résumé : Tableau 3: Evaluation financière des ressources matérielles (Source : la mercuriale 2022 et les sites officiels) Description Quantité Libellé Prix Prix Total (en Unitaire FCFA) (en FCFA) Serveur HP CPU intel Xeon 3.3 Ghz, DD 2To, ProLiant MLIO RAM 8GB 01 971 750 971 750 01 321 250 321 250 01 218 500 218 500 01 50 000 50 000 Gen 9 Laptop Dell Core i5/2.5Ghz, RAM 8GB, DD Latitude E6410 320Go, écran 14’’ Laptop Dell Core Duo/1.5Ghz, RAM 2GB, DD320, inspiron N5050 écran 14’’ Modem Huawei Routeur 3G wifi, 150 Mbps, batterie E5730 5200mAh Total ressources matérielles 1 561 500 2.7.2. RESSOURCES LOGICIELLES Le tableau ci-dessous présente les ressources logicielles dont nous avons besoin et leurs prix estimatifs : Tableau 4: Evaluation financière des ressources logicielles (Source : les sites officiels) Libellé Description Microsoft Windows Système 10 d’exploitation Microsoft Windows Système 7 d’exploitation VMware Type de Licence Quantité Prix Unitaire Prix Total (en FCFA) (en FCFA) Propriétaire 01 126 000 126 000 Propriétaire 01 40 000 40 000 Hyperviseur Propriétaire 01 145 000 145 000 Microsoft Office Suite Propriétaire 01 287 500 287 500 Professionnel 2016 Bureautique Workstation 16 Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 20 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Ubuntu Server 20.04 Système Libre 01 0 0 Libre 01 0 0 d’exploitation Kali Linux 2021.4 Système d’exploitation Google Chrome Navigateur Web Libre 01 0 0 Gantt Project 3.2 Logiciel de Libre 01 0 0 planification Total ressources logicielles 598 500 2.7.3. RESSOURCES HUMAINES L’évaluation financière en ressources humaines est résumé tel nous présente le tableau ci-après : Tableau 5: Evaluation financière des ressources humaines Statut Nombre Durée (en jours) Montant Montant total (en journalier (en FCFA) FCFA) Chef de Projet 01 54 250 000 13 500 000 Responsable 01 23 200 000 4 600 000 01 40 150 000 6 000 000 Fonctionnel Responsable Technique Total ressources humaines 24 100 000 2.7.4. EVALUATION GLOBALE DU PROJET Tableau 6: Evaluation financière globale Libellé Montant (en FCFA) Total ressources matérielles 1 561 000 Total ressources logicielles 598 500 Total ressources humaines 24 100 000 Imprévus (10% total ressources) 2 625 950 Total 28 885 450 L’estimation totale de notre projet s’élève donc à un montant vingt-huit millions huit cent quatre-vingts cinq milles quatre-cent cinquante. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 21 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 2.8. LES LIVRABLES En matière de management de projet, un livrable désigne le rendu final ou partiel de la réalisation du projet. Pour nous il s’agira de notre rendu final, qui sera constitué de : Un rapport de stage portant sur notre intégration dans l’entreprise et sur la réalisation de notre projet ; L’implémentation de la solution retenue. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 22 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 CHAPITRE 3 : ETAT DE L’ART Ce chapitre contiendra nos études faites sur les solutions similaires aux problèmes que nous voulons résoudre et à la solution que nous voulons mettre en place par la fin nous ferons une synthèse et porterons nos choix sur ceux qui respectent nos besoins. APERCU 3.1. GENERALITES SUR LA SECURITE INFORMATIQUE 3.2. IMPORTANCE DE LA CYBERSECURITE 3.3. INCIDENTS DE SECURITE INFORMATIQUE Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 23 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 3.1. GENERALITES SUR LA SECURITE INFORMATIQUE La sécurité informatique encore appelé cybersécurité est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place d’outils visant à empêcher l'utilisation non-autorisée, le mauvais usage, la modification ou le détournement du système d'information. En gros, elle consiste à protéger un système informatique contre toute violation, intrusion, dégradation ou vol de données. La sécurité informatique n’a alors qu’un objectif majeur, celui de la protection des données. Elle repose sur cinq (05) principes majeurs qui sont : l’intégrité, la disponibilité, la confidentialité, la non répudiation et l’authentification. 3.1.1. L’INTEGRITE Ce principe de la sécurité informatique vise à assurer l’intégrité des données informatiques c’est-à-dire : la donnée doit rester fiable et crédible durant tout son cycle de vie. Il permet alors de garantir et de préserver la validité et l’exactitude des données. On distingue généralement deux types d’intégrité : L’intégrité physique : elle traite des défis associés au stockage et à la récupération correcte des données. Les défis liés à l'intégrité physique peuvent inclure des défauts électromécaniques, des défauts de conception, la fatigue des matériaux, la corrosion, des pannes de courant, des catastrophes naturelles et d'autres risques ; L’intégrité logique : maintient les données inchangées car elles sont utilisées de différentes manières dans des bases de données. Elle protège également les données contre les erreurs humaines et attaques informatiques, mais d’une manière bien différente de l’intégrité physique. 3.1.2. LA DISPONIBILTE La donnée doit être accessible en permanence pour toutes les personnes autorisées à l’endroit et à l’heure prévue. Cela permet de ne pas être pénalisé en passant à côté d’informations ou bien ne pas pouvoir accomplir une tâche ou une fonction. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 24 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 3.1.3. LA CONFIDENTIALITE La mission est ici de maintenir une non-divulgation des données et/ou leur nonaccessibilité aux personnes ou systèmes non autorisés. La confidentialité exige également que celui qui reçoit l’information ne puisse pas la transmettre à d’autres sans l’aval du propriétaire ou du gestionnaire. En effet, toutes les entreprises possèdent des informations importantes qu’elles souhaitent garder confidentielles. Elles concernent souvent l’entreprise elle-même, ses clients ou ses employés. À titre d’exemple, il peut s’agir de données du type : des identifiants de comptes utilisateurs, des identifiants bancaires, des détails du processus de fabrication de ses produits, etc. 3.1.4. LA NON REPUDIATION La non-répudiation des informations a pour but d’assurer que l’émetteur d’une information ne soit pas en mesure de nier qu’il est bien à l’origine de celle-ci. Elle permet de mettre en œuvre la traçabilité pour conserver les traces de l’état et des mouvements de l’information. Sans elle, on n’a aucune chance d’avoir l’assurance que les autres critères sont respectés. 3.1.5. L’AUTHENTIFICATION L’authentification permet d’assurer l’identité d’un utilisateur grâce à l’usage d’un code d’accès : ici, l’objectif de la sécurité informatique est de garantir que chaque utilisateur est bien celui qu’il dit être. Le contrôle d’accès, par un mot de passe par exemple, permet de limiter la consultation ou l’utilisation de certaines ressources seulement aux personnes autorisées et de maintenir la confiance dans les relations d’échange. Ainsi elle est, pour un système informatique, un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité afin d'autoriser l'accès de cette entité à des ressources du système. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 25 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 3.2. IMPORTANCE DE LA CYBERSECURITE POUR LES ENTREPRISES Avec l’avènement du monde numérique et des moyens de communications modernes, Toutes les entreprises utilisent des outils digitaux et des systèmes d’informations modernes dans leurs activités professionnelles au quotidien, pour le traitement de leurs données en interne et aussi les données de leurs clients. Les différents objectifs de la sécurité informatique ont tous pour mission de protéger ces données-là. En effet, de plus en plus d’entreprises sont victimes de cyberattaques, Ces attaques malveillantes profitent d’une faille de sécurité dans le système informatique pour essayer de subtiliser de l’information ou des données confidentielles d’où l’importance majeure de la cybersécurité au sein des entreprises. Néanmoins la cybersécurité à d’autres objectifs satellite pour l’entreprise à savoir : Maintenir la productivité : la sécurité des infrastructures informatiques est excellente pour éviter les interruptions de productivité au sein des entreprises ; Eviter les pertes financières : certaines entreprises considèrent la mise en place de certains systèmes de sécurité coûteuse mais ils n’ont pas idée des pertes que peut engendrer une cyberattaque ; Augmentation de la crédibilité : Les violations de données peuvent souvent nuire à la réputation des entreprises. L’ensemble du marché est en concurrence pour gagner la confiance des tiers (clients, fournisseurs, etc.). 3.3. INCIDENTS DE SECURITE INFORMATIQUE Selon l’Information Technology Infrastructure Library (ITIL), un incident en informatique est défini comme tout événement qui ne fait pas partie du fonctionnement standard d'un service et qui cause, ou peut causer, une interruption ou une diminution de la qualité de ce service. Pour la norme ISO/IEC 27000, Il s’agit d’un ou plusieurs événements indésirables ou inattendus, présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisme et de menacer la sécurité de l’information. Pour résumer, un incident informatique est un événement ou une panne imprévue occasionnant la perturbation ou le dysfonctionnement d’un parc informatique. Le problème détecté empêche l’utilisateur de réaliser une tâche ou d’utiliser un service informatique. Il l’entrave dans l’exercice de ses missions quotidiennes et affecte sa productivité. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 26 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 De façon spécifique, un incident de sécurité informatique porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Principalement, les incidents de sécurité informatique sont des menaces couramment qualifiées de cyberattaques. 3.3.1. LES DIFFERENTS CYBERATTAQUES Comme énoncé plus haut, une cyberattaque est le fait de mettre en œuvre des actes malveillants contre les systèmes informatiques afin de compromettre leur bon fonctionnement. Ils en existent plusieurs, mais les plus courantes sont : L’usurpation d’adresse IP : communément appelé IP Spoofing, cette attaque consiste à la création de paquets IP (Internet Protocol) contenant une adresse source modifiée afin de cacher l’identité de l’expéditeur et se faire passer pour un autre système informatique de confiance, ainsi l'identité de l'attaquant est cachée. Man in the middle (MITM) ou attaque de l’homme au milieu : est un type d'attaque d'écoute clandestine, où les attaquants interrompent une conversation ou un transfert de données en cours. Après s'être insérés au « milieu » de l’échange, les attaquants se font passer pour des participants légitimes. Cela permet à un attaquant d'intercepter des informations et des données de l'une ou l'autre des parties tout en envoyant des liens malveillants ou d'autres informations aux deux participants légitimes d'une manière qui pourrait ne pas être détectée avant qu'il ne soit trop tard. Dans cette attaque, le participant du milieu (l’attaquant) manipule la conversation à l'insu de l'un ou l'autre des deux participants légitimes, agissant pour récupérer des informations confidentielles et autrement causer des dommages. Le Phishing : encore appelé hameçonnage, est une pratique malveillante qui consiste à récupérer des informations personnelles sur un internaute. L’attaquant fait croire à la victime qu'elle s'adresse à un tiers de confiance (banque, administration, etc.), afin de lui soutirer des renseignements personnels comme ses mots de passes, numéro de carte de crédit, numéro ou photocopie de la carte d'identité etc. En effet, le plus souvent, une copie exacte d'un site internet est réalisée dans l'optique de faire croire à la victime qu'elle se trouve sur le site internet officiel où elle pensait se connecter. La victime va ainsi saisir ses identifiants personnels qui seront récupérés par celui qui a créé le faux site, il aura ainsi accès aux données personnelles de la victime et pourra dérober tout ce que la victime possède sur ce site. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 27 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Le Ransomware : ou rançongiciel en français, est un programme malveillant prenant en otage les données. Il chiffre et bloque les fichiers contenus dans l’ordinateur de sa cible et demande une rançon en échange d'un moyen de déchiffrement. Le cybercriminel met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner de manière annoncée réversible. L’utilisateur perd ainsi le contrôle de toutes les informations stockées sur l’appareil. L’attaquant adresse alors un message à la victime en lui proposant de lui fournir le moyen de déchiffrer ses données contre le paiement d’une rançon. Le pirate exige que la rançon soit payée en cryptomonnaie (Bitcoin, Monero ou Ethereum par exemple), car l’utilisation de ces monnaies virtuelles peut leur garantir un certain anonymat et compliquer fortement la tâche des autorités pour les tracer. Déni de service : couramment abrégé Dos (Denial of service), Le déni de service est une attaque réseau qui empêche l'utilisation légitime des ressources d'un serveur en surchargeant celui-ci de requêtes erronées. Les ordinateurs disposent de ressources limitées, puissance de calcul ou mémoire par exemple. Lorsqu'elles atteignent leurs limites, le programme peut se bloquer ou planter, ce qui le rend indisponible. Une attaque DoS consiste en diverses techniques pour saturer ces ressources et faire en sorte qu'un serveur ou un réseau ne soit plus disponible pour ses utilisateurs légitimes, ou au moins pour faire fonctionner le serveur plus lentement. Elle peut provenir de plusieurs sources, là on parle alors d'attaque par déni de service distribuée (DDoS pour Distributed Denial of Service). Toutes les cyberattaques aussi diverses soient-elles, sont de plus en plus sophistiquées, complexes, et elles comprennent aujourd’hui tout un écosystème bien organisé. En cybersécurité, les techniques, tactiques et procédures (TTP) sont une approche pour profiler et contextualiser les opérations d’une cyberattaque. Être capable d’identifier les TTP d’une attaque complexe nous permettra de mieux comprendre son fonctionnement. Le point commun entre toutes ses attaques est qu’elles suivent un ensemble d’étapes bien définit et établit comme étant le cycle d’une cyberattaque par le « MITRE ATT&CK ». Alors, le cycle d’une cyberattaque comprend sept (07) phases principales comme nous le montre l’image ci-dessous : Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 28 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Figure 5: Résumé des étapes d'une cyberattaque selon le Mitre (Source : Openclassroom.com) Essayons donc de comprendre les étapes définies dans la figure présenté plus haut : Enquêter (Recon) : l’attaquant recherche des informations sur sa cible Il peut également faire de la collecte d’information, qui sera utilisée pour les phases suivantes, telles que la recherche de vulnérabilité. En gros il effectue de la reconnaissance. Outiller (weaponize) : ’attaquant définit et prépare les outils nécessaires pour la compromission. En fonction de la reconnaissance effectuée et du type d’attaque qu’il veut mener, l’attaquant effectue le choix de ses outils. Déployer (Deliver) : ici, il déploie les attaques précédemment définies afin de compromettre les cibles. Les vecteurs d’infection sont utilisés lors de cette phase. Exploiter (Exploit) : l’exploitation consiste ici à déployer les outils après la compromission initiale. L’attaquant pourra également effectuer des élévations de privilèges. À partir de cette étape, il faut que votre monitoring de la sécurité puisse détecter ses actions, car l’attaquant a la main sur votre système. Contrôler (control) : l’attaquant commence à prendre le contrôle des systèmes compromis, et effectue une reconnaissance interne de l’entreprise. On parle également de mouvements latéraux. Exécuter (execute) : Pendant l'exécution, l’attaquant met en place les actions finales, comme l’exfiltration de données sensibles. Maintenir (maintain) : enfin, l’attaquant garde la main sur le système en maintenant un accès distant au système compromis. N.B : Un attaquant peut rester sur un réseau pendant plusieurs mois avant que vous le détectiez. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 29 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 3.3.2. LES MESURES DE DETECTION ET DE PREVENTION Les pirates informatiques développent rapidement de nouvelles techniques, plus complexes, pour mener une cyberattaque. La nécessité de montrer une meilleure résilience et d’avoir des solutions de protection puissantes est donc essentielle et repose sur l’usage de normes (comme ISO 27000), de référentiels (comme ITIL) et de logiciels dédiés. La détection et la prévention d’intrusion sont des facteurs cruciaux d’une infrastructure informatique sécurisée de manière optimale. Ces mesures aideront à identifier les failles de sécurité et à les prévenir. Il en existe plusieurs mais celles les plus courantes et ayant retenu notre attention sont : la définition une politique de sécurité, la suite de sécurité IPsec, le parefeu, le serveur Proxy, la DMZ, les antivirus, les IDS, le SOC, le SIEM… 3.3.2.1. NOTION DE POLITIQUE DE SECURITE Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. Ce document est unique et personnalisé, car il est établi en tenant compte du fonctionnement, de l’environnement, de la composition du système d’information de l’entreprise et des risques informatiques qui lui sont propres La politique de sécurité informatique couvre tous les pans de protection informatique de la structure, notamment la sécurité de l’infrastructure, la sécurité des accès, la sécurité de l’intranet face aux réseaux externes. 3.3.2.2. LA SUITE DE SECURITE IPSEC Pour faire face aux faiblesses de sécurité du protocole IPv4 notamment la faiblesse d'authentification des paquets IP, la faiblesse de confidentialité des paquets IP entre-autres, une suite de protocoles de sécurité pour IP, appelée IPsec (Internet Protcocol Security), a été définie par l'I.E.T. F (Internet Engineering Task Force) afin d'offrir des services de chiffrement et d'authentification pour assurer des communications privées et protégées sur des réseaux IP. Elle offre des services de contrôle d'accès, d'intégrité des données, d'authentification de l'origine des données, de parade contre les attaques de type paquets rejoués (replay) et de confidentialité. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 30 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 3.3.2.3. LE PARE-FEU Un pare-feu en anglais « firewall », est un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers. C'est un logiciel et/ou un matériel qui inspecte les paquets entrants et sortants du réseau afin d'autoriser ou d'interdire leur passage en se basant sur un ensemble de règles comme par exemple les Listes de contrôle d’accès (ACL : Access Control List). Il enregistre également les tentatives d'intrusions dans un journal transmis aux administrateurs du réseau et permet de contrôler l'accès aux applications et d'empêcher le détournement d'usage. 3.3.2.4. LE SERVEUR PROXY Un serveur proxy ou serveur mandataire, est Un système qui fait l'intermédiaire entre le matériel (ordinateur, smartphone, tablette) et un autre réseau, généralement internet. Un proxy est donc un ensemble de processus permettant d'éliminer la connexion directe entre les applications des clients et les serveurs. Les organisations utilisent les proxys pour permettre à des machines de leur réseau d'utiliser Internet sans risque et sans que les utilisateurs externes ne soient capables d'accéder à ce réseau. 3.3.2.5. LA DMZ (DeMilitarized Zone) Une DMZ littéralement par zone démilitarisé est une zone tampon d'un réseau d'entreprise, située entre le réseau local et Internet, après le pare-feu. Il s'agit d'un réseau intermédiaire regroupant des serveurs publics (Web, DHCP, mails, DNS, etc.). Ces serveurs devront être accessibles depuis le réseau interne de l'entreprise et pour certains, depuis les réseaux externes. Le but est ainsi d'éviter toute connexion directe au réseau interne. 3.3.2.6. LES ANTIVIRUS Les antivirus sont des programmes qui permettent de détecter la présence de virus et programmes malveillants sur un ordinateur et de les supprimer. L'antivirus analyse les fichiers entrants (fichiers téléchargés ou courriers électroniques) et, périodiquement, la mémoire vive de l'ordinateur et les périphériques de stockage comme les disques durs, internes ou externes, les clés USB et les cartes à mémoire flash. La détection d'un logiciel malveillant peut reposer sur trois méthodes à savoir : Reconnaissance d'un code déjà connu (appelé signature) et mémorisé dans une base de données virale ; Analyse du comportement d'un logiciel (méthode heuristique) ; Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 31 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Reconnaissance d'un code typique d'un virus. 3.3.2.7. LES IDS (Intrusion Detection System) Un IDS, en français système de détection d’intrusion est un software ou un hardware, voire une combinaison des deux utilisé, pour détecter l'activité d'un intrus dans un réseau. On a plusieurs types d'IDS disponibles de nos jours qui sont caractérisés par des surveillances et des approches d'analyse différentes. On en dénombre essentiellement trois types à savoir : Network-Based IDS (NIDS) ou Systèmes de détection d'intrusion réseau : il a pour rôle essentiel l’analyse, le contrôle et l’interprétation du le trafic sur le réseau pour identifier les activités suspectes. Host Based IDS (HIDS) ou Systèmes de détection d'intrusion de basé sur l’hôte : le HIDS analyse le fonctionnement et l'état des machines sur lesquelles il est installés afin de détecter les attaques en se basant sur des démons de services. L'intégrité des systèmes est alors vérifiée périodiquement et des alertes peuvent être générées. Comme ils n'ont pas à contrôler le trafic du réseau mais "seulement" les activités d'un hôte ils se montrent subtilement plus précis sur les types d'attaques subies. Les systèmes de détection d'intrusion hybrides : ces types d'IDS sont utilisés dans des environnements décentralisés. Ils centralisent les informations en provenance de plusieurs emplacements sur le réseau. Le but de ces IDS est d'avoir une vision globale des composants du système d'information en permettant une supervision centralisée en matière d'alertes d'intrusions remontées par les NIDS et les HIDS présents sur l'architecture du réseau supervisé. 3.3.2.8. LE SOC (Security Operations Center) Un SOC en français Centre des Opérations de Sécurité, est une équipe dédiée à la supervision de la sécurité du système d’information. Pour ce faire, elle utilise des outils de monitoring, des outils de collecte, d’intervention à distance et de corrélation d’événements. Il recherche les signes d’un incident ou d’une compromission, par exemple des signaux faibles ou des comportements anormaux. Cette surveillance aide à la détection des événements de sécurité : intrusion, exécution de code non autorisé, exploits, élévation de privilèges, tentative d'accès à un compte admin, etc. Pour gérer les alertes et détecter des intrusions, les équipes Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 32 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 SOC utilisent un Security Information Event Management (SIEM). C’est un des outils centraux et même le plus important dans la mise en place du SOC. Figure 6: Schéma du fonctionnement d'un SOC avec le SIEM (Source : Openclassroom.com) Comme vous pouvez le remarquer sur la figure, le SIEM fait la collecte et la corrélation des logs qui est ensuite analysé par les équipes SOC. En Informatique, un log est un fichier qui enregistre des événements qui se produisent sur un système d'exploitation ou tout autre équipement informatique, routeur, switch, serveur. La collecte de logs vous donnera des informations sur ce qui se passe sur votre infrastructure. 3.3.2.9. LE SIEM (Security Information and Events Management) SIEM pour Security Information and Event Management, et gestion des informations et des évènements de sécurité en français est une solution qui combine des outils à savoir : le SIM (Security Information Management) et le SEM (Security Event Management). Le SIM regroupe les technologies responsables de la collecte les données des fichiers journaux pour l’analyse et les rapports sur les menaces et les événements de sécurité. Quant au SEM, il permet la surveillance du système en temps réel, informe les administrateurs réseau des problèmes importants et établit des corrélations entre les événements de sécurité. En regroupant ces deux fonctions, les S.I.E.M. accélèrent l'identification et l'analyse des événements de sécurité, ainsi que la restauration qui s'en suit. Il permet de surveiller des Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 33 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 applications, des comportements utilisateurs et des accès aux données. A travers les fonctionnalités fournies par cette solution, il est donc possible de collecter, de mettre dans un format de normalisation, d'agréger, de corréler et d'analyser les données des événements issus des machines, systèmes et applications (pare-feu, systèmes de prévention d'intrusion, machines réseau, machines de sécurité, applications, bases de données, serveurs). Concrètement, le S.I.E.M. permet à une entreprise de centraliser toutes les informations de sécurité en un seul outil. Dans son fonctionnement le SIEM permet : La collecte des données : il prend en entrée les événements collectés du système d’information, des journaux système des équipements sous différents formats (Syslog, Traps, SNMP etc.). La normalisation des données : les informations collectées viennent d'équipements et logiciels hétérogènes ayant pour la plupart leurs propres moyens de formater les données. Cette étape permet d'uniformiser les informations selon un format unique pour faciliter le traitement par le S.I.E.M. L’agrégation : c’est le premier traitement des évènements de sécurité. Il consiste en un regroupement d'évènements de sécurité selon certains critères. Ces critères sont généralement définis à travers des règles appelées « règles d'agrégation » et s'appliquent à des évènements ayant des similarités. La corrélation : elle correspond à l'analyse d'évènements selon certains critères. Ces critères sont généralement définis à travers des règles appelées « règles de corrélation ». Le but de cette étape est d'établir des relations entre évènements, pour ensuite pouvoir créer des alertes de corrélations, des incidents de sécurité, des rapports d'activité. Le SIEM offre également un grand nombre d’avantage parmi lesquelles nous pouvons citer : Surveillance de base : la recherche dans le pool de journaux et la production de rapports constituent les applications les plus simples du SIEM. Détection des menaces : le SIEM peut aider à détecter les menaces internes et externes, grâce à la surveillance des événements de sécurité en temps quasi réel, aux alertes automatisées et à l’analyse de l’activité des applications ou des utilisateurs. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 34 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Enquête sur les incidents de sécurité et intervention en cas d’incident : il permet d’effectuer des recherches dans les données historiques, afin de réagir aux incidents de sécurité et de réaliser des analyses forensiques. Contrôle de la conformité : Au-delà des impératifs de sécurité, la technologie SIEM permet de se conformer aux exigences de reporting imposées par les normes de conformité. Conservation des journaux : Le stockage à long terme des journaux est souvent nécessaire à des fins de forensique et pour se conformer aux normes sectorielles. 3.3.3. COMPARAISON DES SOLUTIONS EXISTANTES Il existe une multitude de solution de préventions, de détections et de réponses aux incidents sur le marché mais chacun a ses caractéristiques personnelles. Durant notre travail, nous en avons rencontré plusieurs mais quatre ont été sélectionné pour notre étude comparative à savoir : Ossec, Wazuh, Splunk et Solarwinds Security Event Manager 3.3.3.1. OSSEC Figure 7: Logo Ossec (Source : https://www.g2.com) OSSEC est un HIDS Open Source. Développé initialement dans le but d'analyser quelques fichiers journaux de différents serveurs, il est devenu aujourd'hui bien plus puissant qu'un simple analyseur de logs. Capable d'analyser différents formats de journalisation tels que ceux d’Apache, Syslog, et intégrant un analyseur d'intégrité système, il est devenu aujourd'hui un logiciel de détection d'intrusions à part entière. Ses fonctions lui permettent de détecter des anomalies apparues sur le système. Par exemple, de multiples erreurs 404 dans les logs du Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 35 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 serveur web Apache. En réalité, grâce à un système de règles entièrement paramétrable via des fichiers XML, il est capable de détecter un grand nombre d’anomalie. De plus, il est doté d'un système de « réponse active » qui permet à une commande d’être exécutée lors de la détection d'une anomalie. 3.3.3.2. WAZUH Figure 8: Logo Wazuh (Source : Axonius.com) Wazuh est une plateforme de prévention, de détection et de réponse aux menaces gratuite et open source. Il protège les charges de travail sur site, dans des environnements virtualisés, conteneurisés et cloud. Wazuh est utilisé par des centaines d’entreprises dans le monde, allant des plus petites aux grandes. C’est un outil de collecte, d’agrégation, d’indexation et d’analyse de données de sécurité qui aide à détecter les intrusions, les menaces et les comportements suspects. La plate-forme de Wazuh comprend des fonctionnalités de sécurité pour les applications cloud, de conteneur et de serveur. L’analyse des données de journalisation, la détection des intrusions et des logiciels malveillants, la surveillance de l’intégrité des fichiers, l’évaluation de la configuration, la détection des vulnérabilités et l’aide à la conformité réglementaire sont des exemples de ces services. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 36 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 3.3.3.3. SPLUNK Figure 9: Logo Splunk (Source: fr.wikipedia.org) Splunk Enterprise est un produit logiciel qui permet de rechercher, d'analyser et de visualiser les données recueillies à partir des composants d’une infrastructure informatique. Il recueille des données provenant de diverses sources, indexe le flux de données et l'analyse en une série d'événements individuels qui pourront être afficher ou rechercher. Splunk peut être administrer via une interface de ligne de commande ou une interface web. 3.3.3.4. SOLARWINDS SECURITY EVENT MANAGER Figure 10: Logo Solarwinds (Source : cpl.thalesgroup.com) SolarWinds Security Event Manager, ou SolarWinds SEM, est un logiciel de gestion des journaux des événements de sécurité. Détectez, neutralisez et générez des rapports sur les données de journaux concernant la sécurité, la gestion des changements et la conformité, le tout à partir d’un seul emplacement. SEM est conçu pour faciliter la surveillance, la recherche et le filtrage des journaux provenant de sources diverses dans tous les environnements d’entreprise. Tout comme LEM, Security Event Manager est un outil SIEM qui vous permet de collecter, de corréler et de rechercher automatiquement des données de journaux pour effectuer des analyses criminalistiques efficaces. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 37 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Tableau 7: Tableau de comparaison entre les IDS existants NOM DU PRODUIT SOLARWINDS SPLUNK OSSEC WAZUH Client-Serveur/ Client- Client- Local Serveur/ Local Serveur/ Local Propriétaire Propriétaire Open source Open source Non Oui Oui Oui LICENCE Payant Payant Gratuit Gratuit INSTALLATION ET Facile Facile Facile Moyen TYPE Hybride HIDS HIDS HIDS INTERFACE Oui Oui Absente Web SYSTEMES Solaris, Mac Os Mac Os X, Linux, Solaris, Mac Os Linux, D’EXPLOITATION X, Linux, Windows X, Linux, Windows, PRIS EN CHARGE Windows Windows Solaris, Mac SECURITY EVENT MANAGER ARCHITECTURE OPENSOURCE/ Client-Serveur PROPRIETAIRE DETECTION DE ROOTKIT CONFIGURATION GRAPHIQUE Os X ALERTES Log, Mail Log, Mail Log, Mail Log, Mail REPONSE ACTIVE Oui Oui Oui Oui COMMUNAUTE Inexistante Inexistante Assez Réduite Et Très Grande Moins Active Et Active INTEGRATION DES Impossible Impossible Difficile Moyen Non Oui Non Oui Oui Oui Non Oui Non Oui Non Oui API DETECTION ET REPONSE ETENDUE INTEGRATION DU SIEM SECURITE CLOUD Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 38 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 SECURITE DES Non Non Non Oui CONTENEURS 3.3.4. CHOIX ET JUSTIFICATION DE LA SOLUTION WAZUH En se basant sur l’étude comparative effectuer plus haut et au regard des besoins utilisateurs formulés, notre choix est porté sur Wazuh, car premièrement il est Open source, il a une forte et très active communauté, et enfin il offre des fonctionnalités supérieures à celle d’un IDS standard. Par la suite, nous allons donc ensemble découvrir le logiciels Wazuh, à travers ses composants et ses fonctionnalités. 3.3.4.1. LES COMPOSANTS ET ROLES DE WAZUH Wazuh pour son fonctionnement requiert principalement quatre éléments (04) dont trois centraux à savoir Wazuh-Indexer, Wazuh-Server, Wazuh-Dashboard et le dernier qui lui est décentralisé Wazuh-Agent. Wazuh-Indexer : L'indexeur Wazuh est un moteur de recherche et d'analyse en texte intégral hautement évolutif. Ce composant central Wazuh indexe et stocke les alertes générées par le serveur Wazuh et fournit des capacités de recherche et d'analyse de données en temps quasi réel. L'indexeur Wazuh peut être configuré comme un cluster à un ou plusieurs nœuds, offrant évolutivité et haute disponibilité. L'indexeur Wazuh stocke les données sous forme de documents JSON. Chaque document met en corrélation un ensemble de clés, de noms de champs ou de propriétés, avec leurs valeurs correspondantes qui peuvent être des chaînes, des nombres, des booléens, des dates, des tableaux de valeurs, des géolocalisations ou d'autres types de données. Un index est une collection de documents liés les uns aux autres. Les documents stockés dans l'indexeur Wazuh sont répartis dans différents conteneurs appelés fragments. En répartissant les documents sur plusieurs fragments et en répartissant ces fragments sur plusieurs nœuds, l'indexeur Wazuh peut assurer la redondance. Cela protège votre système contre les pannes matérielles et augmente la capacité de requête lorsque des nœuds sont ajoutés à un cluster. Wazuh utilise quatre index différents pour stocker différents types d'événements : Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 39 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Tableau 8: Récapitulatif des composants de Wazuh-indexer INDEX DESCRIPTION Stocke les alertes générées par le serveur Wazuh. Ceux-ci sont créés à chaque Wazuh-alerts fois qu'un événement déclenche une règle avec une priorité suffisamment élevée. Stocke tous les événements (données d'archive) reçus par le serveur Wazuh, qu'ils Wazuh-archives déclenchent ou non une règle. Stocke les données relatives au statut de l’agent Wazuh au fil du temps. Il est utilisé par l'interface Web pour indiquer quand des agents individuels sont ou ont Wazuh-monitoring été actif, ou déconnecté. Stocke les données relatives aux performances du serveur Wazuh. Il est utilisé Wazuh-statistics par l'interface web pour représenter les statistiques de performances Wazuh-server : Le composant serveur Wazuh analyse les données reçues des agents, déclenchant des alertes lorsque des menaces ou des anomalies sont détectées. Il est également utilisé pour gérer la configuration des agents à distance et surveiller leur état. Le serveur Wazuh utilise des sources de renseignements sur les menaces pour améliorer ses capacités de détection. De plus, le serveur Wazuh peut être intégré à des logiciels externes. Le serveur Wazuh exécute le moteur d'analyse, l'API RESTful Wazuh, le service d'inscription d'agent, le service de connexion d'agent, le démon de cluster Wazuh et Filebeat. Le serveur est installé sur un système d'exploitation Linux et s'exécute généralement sur une machine physique autonome, une machine virtuelle, un conteneur Docker ou une instance cloud. Le schéma ci-dessous représente l'architecture et les composants du serveur : Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 40 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Figure 11: Architecture du serveur Wazuh (Source : Documentation.wazuh.com) Le serveur Wazuh comprend plusieurs composants répertoriés ci-dessous qui ont différentes fonctions, telles que l'inscription de nouveaux agents, la validation de l'identité de chaque agent et le cryptage des communications entre l'agent Wazuh et le serveur Wazuh. Service d'inscription d'agent : Il est utilisé pour inscrire de nouveaux agents. Ce service fournit et distribue des clés d'authentification uniques à chaque agent. Le processus s'exécute en tant que service réseau et prend en charge l'authentification via des certificats TLS/SSL ou en fournissant un mot de passe fixe. Service de connexion des agents : Ce service reçoit les données des agents. Il utilise les clés partagées par le service d'inscription pour valider l'identité de chaque agent et chiffrer les communications entre l'agent Wazuh et le serveur Wazuh. De plus, ce service fournit une gestion centralisée de la configuration, permettant de changer à distance les nouveaux paramètres de l'agent. Moteur d'analyse : il s'agit du composant serveur qui effectue l'analyse des données. Il utilise des décodeurs pour identifier le type d'informations en cours de traitement (événements Windows, journaux SSH, journaux de serveur Web, etc.). Ces décodeurs extraient également les éléments de données pertinents des messages du journal, tels que l'adresse IP source, l'ID d'événement ou le nom d'utilisateur. Ensuite, en utilisant des règles, le moteur identifie des modèles Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 41 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 spécifiques dans les événements décodés qui pourraient déclencher des alertes et éventuellement même appeler des contre-mesures automatisées (par exemple, interdire une adresse IP, arrêter un processus en cours ou supprimer un artefact de logiciel malveillant). API Wazuh RESTful : ce service fournit une interface pour interagir avec l'infrastructure Wazuh. Il est utilisé pour gérer les paramètres de configuration des agents et des serveurs, surveiller l'état de l'infrastructure et la santé globale, gérer et modifier les décodeurs et les règles Wazuh, et interroger l'état des terminaux surveillés. Le tableau de bord Wazuh l'utilise également. Démon de cluster Wazuh : ce service est utilisé pour mettre à l'échelle horizontalement les serveurs Wazuh, en les déployant en tant que cluster. Ce type de configuration, associé à un équilibreur de charge réseau, offre une haute disponibilité et un équilibrage de charge. Le démon de cluster Wazuh est ce que les serveurs Wazuh utilisent pour communiquer entre eux et rester synchronisés. Filebeat : Il est utilisé pour envoyer des événements et des alertes à l'indexeur Wazuh. Il lit la sortie du moteur d'analyse Wazuh et envoie les événements en temps réel. Il fournit également un équilibrage de charge lorsqu'il est connecté à un cluster d'indexeurs Wazuh multi-nœuds. Wazuh-Dashboard : est une interface utilisateur Web flexible et intuitive pour l'exploration, l'analyse et la visualisation des événements de sécurité et des données d'alerte. Il est également utilisé pour la gestion et le suivi de la plateforme Wazuh. En outre, il fournit des fonctionnalités de contrôle d'accès basé sur les rôles (RBAC) et d'authentification unique (SSO). Cette interface Web aide à naviguer à travers les différents types de données collectées par l'agent Wazuh, ainsi que les alertes de sécurité générées par le serveur Wazuh. Il est également possible de générer des rapports et créer des visualisations et des tableaux de bord personnalisés. Wazuh-Agent : il s'exécute sur Linux, Windows, MacOs, Solaris, AIX et d'autres systèmes d'exploitation. Il peut être déployé sur des ordinateurs portables, des ordinateurs de bureau, des serveurs, des instances cloud, des conteneurs ou des machines virtuelles. L’agent est utilisé pour collecter différents types de données système et applicatives qu'il transmet au serveur Wazuh via un canal crypté et Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 42 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 authentifié, impliquant donc le cryptage et la compression des données en temps réel. De plus, il inclut des mécanismes de contrôle de flux pour éviter les « inondations », mettre les événements en file d'attente si nécessaire et protéger la bande passante du réseau. L'agent Wazuh a une architecture modulaire, chaque composant est responsable de ses propres tâches, notamment la surveillance du système de fichiers, la lecture des messages du journal, la collecte des données d'inventaire, l'analyse de la configuration du système, etc. Ainsi, les modules d'agent peuvent être gérer via les paramètres de configuration, en adaptant la solution à un cas d'utilisation particuliers. 'agent Wazuh communique avec le serveur Wazuh pour expédier les données collectées et les événements liés à la sécurité. En outre, l'agent envoie des données opérationnelles, signalant sa configuration et son état. Une fois connecté, l'agent peut être mis à niveau, surveillé et configuré à distance depuis le serveur Wazuh. Le schéma ci-dessous représente l'architecture et les composants de l'agent : Figure 12: Architecture et composants de l'agent Wazuh (Source : Documentation.wazuh.com) L’on remarque de la figure que l’agent Wazuh se compose de plusieurs modules, et tous ces modules sont configurables et exécutent différentes tâches de sécurité. Cette architecture modulaire permet d'activer ou de désactiver chaque composant en fonction de vos besoins de sécurité. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 43 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 3.3.4.2. ARCHITECTURE GLOBALES DE WAZUH L'architecture Wazuh est basée sur les agents exécutés sur les terminaux surveillés, qui transmettent les données de sécurité au serveur central. Les périphériques sans agent tels que les pare-feux, les commutateurs, les routeurs et les points d'accès sont pris en charge et peuvent soumettre activement des données de journal via Syslog, SSH ou à l'aide de leur API. Le serveur central décode et analyse les informations entrantes et transmet les résultats à l'indexeur Wazuh pour l'indexation et le stockage. Le cluster d'indexeurs Wazuh est un ensemble d'un ou plusieurs nœuds qui communiquent entre eux pour effectuer des opérations de lecture et d'écriture sur les index. Les petits déploiements Wazuh, qui ne nécessitent pas de traiter de grandes quantités de données, peuvent facilement être gérés par un cluster à nœud unique. Les clusters à plusieurs nœuds sont recommandés lorsqu'il existe de nombreux points de terminaison surveillés, lorsqu'un grand volume de données est prévu ou lorsqu'une haute disponibilité est requise. Pour les environnements de production, il est recommandé de déployer le serveur Wazuh et l'indexeur Wazuh sur différents hôtes. Dans ce scénario, Filebeat est utilisé pour transmettre en toute sécurité les alertes Wazuh et les événements archivés au cluster de l'indexeur Wazuh (nœud unique ou multinœud) à l'aide du cryptage TLS. Le schéma ci-dessous représente une architecture de déploiement Wazuh. Il montre ses composants et comment le serveur Wazuh et les nœuds de l’indexeur Wazuh peuvent être configurés en tant que clusters, offrant un équilibrage de charge et une haute disponibilité. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 44 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Figure 13: Architecture de déploiement de Wazuh (Source : Documentation.wazuh.com) Plusieurs services sont utilisés pour la communication entre les composants Wazuh, ce qui implique une utilisation de nombreux ports. Le tableau ci-dessous nous présente les différents ports utilisés par ces composants. Tableau 9: Liste de ports utilisé par Wazuh COMPOSANTS PORTS PROTOCOLES OBJECTIFS 1514 TCP (par défaut) Service de connexion d'agents 1514 UDP (facultatif) Service de connexion d'agent (désactivé par défaut) SERVEUR WAZUH 1515 TCP Service d'inscription des agents 1516 TCP Démon de cluster Wazuh 514 UDP (par défaut) Collecteur Wazuh Syslog (désactivé par défaut) INDEXEUR WAZUH 514 TCP Collecteur Wazuh Syslog 55000 TCP API RESTful du serveur Wazuh 9200 TCP API RESTful de l'indexeur Wazuh Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 45 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 9300-9400 TCP Communication du cluster d'indexation Wazuh DASHBOARD 443 TCP Interface utilisateur Web Wazuh WAZUH 3.3.4.3. FONCTIONS DE WAZUH La collecte de donnée de journal : est un processus en temps réel permettant de donner un sens aux enregistrements générés par les appareils. Ce composant peut recevoir des journaux via des fichiers texte ou des journaux d'événements (logs). Il peut également recevoir directement les journaux via Syslog distant, ce qui est utile pour les périphériques réseaux intermédiaires. Le but de ce processus est l'identification des erreurs d'application ou du système, des mauvaises configurations, des tentatives d'intrusion, des violations de politique ou des problèmes de sécurité. Les besoins en mémoire et en processeur de l'agent Wazuh sont insignifiants puisque sa tâche principale est de transmettre les événements au gestionnaire. Figure 14: Flux de collecte et d'analyse des logs (Source : documentation.wazuh.com) Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 46 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Ici, l’agent Wazuh installer dans le système à surveiller collecte les données des journaux grâce à son Logcollector et Rsyslog (pour Linux), et les remonte au serveur pour qu’il puisse les analyser. La surveillance de l’intégrité des fichiers : Le système de surveillance de l'intégrité des fichiers Wazuh surveille les fichiers sélectionnés et déclenche des alertes lorsque ces fichiers sont modifiés. Le composant responsable de cette tâche est appelé Syscheck. Ce composant stocke la somme de contrôle cryptographique et d'autres attributs des fichiers ou des clés de registre Windows et les compare régulièrement avec les fichiers actuels utilisés par le système, en surveillant les modifications. Figure 15: : Flux de surveillance de l'intégrité des fichiers (Source : documentation.wazuh.com) Le module FIM (File Integrity Module) est situé dans l'agent Wazuh, où il exécute des analyses périodiques du système et stocke les sommes de contrôle et les attributs des fichiers Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 47 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 surveillés et des clés de registre Windows dans une base de données FIM locale. Le module recherche les modifications en comparant les sommes de contrôle des nouveaux fichiers aux anciennes sommes de contrôle. Tous les changements détectés sont signalés au responsable Wazuh. Audit des données WHO : il intègre une nouvelle fonctionnalité qui obtient les informations sur les données who-data à partir des fichiers surveillés. Ces informations contiennent l'utilisateur qui a effectué les modifications sur les fichiers surveillés et le nom du programme ou le processus utilisé pour les effectuer. Détection d’anomalies et de logiciels malveillants : La détection d'anomalies fait référence à l'action de trouver des modèles dans le système qui ne correspondent pas au comportement attendu. Une fois qu'un logiciel malveillant (par exemple, un rootkit) est installé sur un système, il modifie le système pour se cacher de l'utilisateur. Bien que les logiciels malveillants utilisent une variété de techniques pour y parvenir, Wazuh utilise une approche assez large pour trouver des modèles anormaux qui indiquent d'éventuels intrus. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 48 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Figure 16: Flux de détection d'anomalies (Source : documentation.wazuh.com) Les vérifications effectuées sont effectuées par Wazuh sur les répertoires surveillés, les registres surveillés, les appels systèmes, et les signatures de Rootkit pour trouver les anomalies causées par un intrus ou un malware. Détection de vulnérabilités : il est capable de détecter les vulnérabilités dans les applications installées sur les agents à l'aide du module Vulnerability Detector. Cet audit logiciel est réalisé grâce à l'intégration de flux de vulnérabilités indexés par les entreprises comme Canonical, Debian, Red Hat, Arch Linux, ALAS (Amazon Linux Advisories Security), Microsoft et la base de données américaine nationale des vulnérabilités. Surveillance des appels système : Le système Linux Audit fournit un moyen de suivre les informations relatives à la sécurité sur votre machine. Basé sur des règles préconfigurées, Audit fournit une journalisation détaillée en temps réel des événements qui se produisent sur votre système. Ces informations sont cruciales pour les environnements critiques afin de déterminer le contrevenant à la politique de sécurité et les actions qu'il a effectuées. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 49 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 L'audit utilise un ensemble de règles pour définir ce qui doit être capturé dans les fichiers journaux. Trois types de règles d'audit peuvent être spécifiés : Les règles de contrôle permettent de modifier le comportement du système Audit et une partie de sa configuration. Les règles de système de fichiers, également appelées surveillances de fichiers, permettent d'auditer l'accès à un fichier ou à un répertoire particulier. Les règles d'appel système permettent la journalisation des appels système effectués par des programmes spécifiés. Intégration de Virus Total : il peut analyser les fichiers surveillés à la recherche de contenu malveillant dans ceux-ci. Ceci est possible grâce à une intégration avec Virus Total, qui est une plate-forme puissante est un service en ligne qui analyse les fichiers et les URL pour détecter les virus, vers, chevaux de Troie et autres types de contenus malveillants à l'aide de moteurs antivirus et d'analyseurs de sites Web. La combinaison de cet outil avec notre moteur FIM fournit un moyen simple d'analyser les fichiers qui sont surveillés pour les inspecter à la recherche de contenu malveillant. Surveillance des commandes : Wazuh intègre la possibilité de surveiller la sortie de commandes spécifiques et de traiter la sortie comme s'il s'agissait du contenu d'un fichier journal. Les commandes à exécuter et à surveiller sont configurées dans le fichier local des agents individuels Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 50 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Figure 17: Flux de surveillance des commandes (Source : documentation.wazuh.com) Réponse active : Les réponses actives exécutent diverses contre-mesures pour faire face aux menaces actives, telles que le blocage de l'accès à un agent à partir de la source de la menace lorsque certains critères sont remplis. Les réponses actives exécutent un script en réponse au déclenchement d'alertes spécifiques en fonction du niveau d'alerte ou du groupe de règles. N'importe quel nombre de scripts peut être lancé en réponse à un déclencheur, cependant, ces réponses doivent être considérées avec soin. Une mauvaise mise en œuvre des règles et des réponses peut accroître la vulnérabilité du système. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 51 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Figure 18: Flux de mise en œuvre de la réponse active (Source : documentation.wazuh.com) Une réponse active est un script configuré pour s'exécuter lorsqu'une alerte, un niveau d'alerte ou un groupe de règles spécifique a été déclenché. Les réponses actives sont des réponses avec état ou sans état défini par les mots clés Stateful : Sont configurés pour annuler l'action après une période de temps spécifiée. Stateless : Sont configurés comme des actions ponctuelles sans événement pour annuler l'effet d'origine. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 52 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 CHAPITRE 4 : IMPLEMENTATION Ce chapitre fait référence à la réalisation de notre solution. Nous allons présenter toutes les phases qui nous ont parmi de réaliser notre système de détection et de réponse automatique aux incidents de la sécurité informatique. APERCU 4.1. ARCHITECTURE DE DEPLOIEMENT 4.2. METHODOLOGIE 4.3. MISE EN OEUVRE Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 53 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 4.1. ARCHITECTURE DE DEPLOIEMENT Une architecture est tout d’abord la manière dont sont agencés les différents éléments d’un système et comment ils interagissent entre eux. Ainsi après une étude bien détaillée du projet, nous 0avons matérialisé l’architecture de notre solution comme suitPour le déploiement de notre solution Wazuh au sein du CRIC2, nous avons opté pour un cluster à nœud unique ; ceci pour dire que tous nos composants Wazuh seront déployer dans la même machine, comme illustré par la figure ci-dessous : Figure 19: Architecture de déploiement Wazuh au sein du CRIC Comme nous l’avons déjà mentionné plus haut, cette figure représente l’architecture de l’entreprise avec notre solution implémentée, ceci dans le cas où elle décide de le faire. Néanmoins, pour effectuer nos tests et démontrer la pertinence de cette solution, nous mettrons en place un environnement virtuel. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 54 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 4.2. METHODOLOGIE La démarche décrite ici est celle utilisé pour le déploiement de notre solution dans un environnement virtuel et nous optons pour la suivante : Nous allons grâce à l’hyperviseur VMWare créer une machine virtuelle (l’unique nœud de notre cluster) dans laquelle sera installer le système d’exploitation Ubuntu en sa version 20.04 ; Par la suite nous déploierons dans cette machine virtuelle tous nos composants Wazuh ; Enfin, nous intègrerons à nos composants Wazuh le SIEM ELK (Elasticsearch Logstash et Kibana). 4.3. MISE EN ŒUVRE ET CONFIGURATIONS 4.3.1. PREREQUIS VMware Workstation : c’est un outil de virtualisation de poste de travail créé par la société VMware, il peut être utilisé pour tester l'architecture complexe d’un système d’exploitation ou d’un nouveau logiciel avant de l’installer réellement sur une machine physique. Figure 20: Logo VMware Workstation (Source: clubic.com) Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 55 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Ubuntu : c’est un système d’exploitation GNU/Linux fondé sur Debian. Il est développé, commercialisé et maintenu pour les ordinateurs individuels (desktop), les serveurs (Server) et les objets connectés (Core) par la société Canonical. Ubuntu est disponible en deux versions, une qui évolue tous les six mois, et une version LTS, pour Long Term Support (« Support long terme ») qui évolue tous les deux ans. Figure 21: Logo Ubuntu (Source: Clubic.com) ELK : "ELK" est un acronyme pour trois projets en open source : Elasticsearch, Logstash et Kibana, le tout constitue un SIEM. Elasticsearch est un moteur de recherche et d'analyse. Logstash est un pipeline côté serveur, destiné au traitement des données, sa mission consiste à ingérer simultanément des données provenant de plusieurs sources, puis les transformer et les envoyer vers un Elasticsearch. Kibana quant à lui est le moteur graphique qui permet de visualiser des données avec des tableaux et des graphes. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 56 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Figure 22: Logo ELK stack (Source: elastic.com) 4.3.2. INSTALLATION DE LA VM La machine virtuelle (VM) utilisé ici présente les caractéristiques suivantes : Figure 23: Caractéristiques de la VM Une fois notre machine virtuelle convenablement créer, nous allons à présent y installer notre système d’exploitation Ubuntu 20.04 : Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 57 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Figure 24: Installation Ubuntu Après la copies des fichiers systèmes et la finalisation de l’installation, nous avons donc le bureau d’Ubuntu qui se présente ainsi: Figure 25: Bureau Ubuntu Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 58 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Mais ce n’est pas encore tout car afin de commencer l’installation de nos composants, il faut veiller à faire une mise à jour de notre système, ceci via le terminal avec la commande sudo apt-get update: Figure 26: Mise à jour Ubuntu Notre environnement étant donc prêt, nous allons passer à l’installation propre de Wazuh. 4.3.3. INSTALLATION DE WAZUH ET ELK Figure 27: Installation Elasticsearch Pour commencer, nous installons le package Elasticksearch, ceci se fait depuis un dépôt tel que présenté par l’image ci-après : Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 59 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Ensuite, nous téléchargeons son fichier de configuration /etc/elasticsearch/elasticsearch.yml comme suit : Figure 28: Téléchargement du fichier de configurations Maintenant nous allons grâce à l'outil elasticsearch-certutil créer un certificat : Figure 29: Création de certificats L’installation et la configuration de Elasticsearch terminés, nous allons le démarrer, générer les identifiants de connexion et poursuivre avec l’installation des autres éléments. Figure 30:Démarrage de Elasticsearch Figure 31: Génération des identifiants Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 60 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Nous allons à présent installer le serveur Wazuh pour la collecte et l’analyse les données des agents déployés. Il exécute le gestionnaire Wazuh, l'API Wazuh et Filebeat : Figure 32: Installation de wazuh-server Une fois son installation terminée, nous démarrons le service : Figure 33: Démarrage service wazuh-manager Filebeat est l'outil du serveur Wazuh qui transmet en toute sécurité les alertes et les événements archivés à Elasticsearch, on l’installe comme suit : Figure 34: Installation filebeat Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 61 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Vérifions que Filebeat a été installé avec succès : Figure 35: Vérification de filebeat A présent, nous allons passer à l’installation de l’interface Web de visualisation des événements et des archives stockés dans Elasticsearch, en occurrence Kibana : Figure 36: Installation de Kibana Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 62 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Une fois effectué, nous installons le plugin Wazuh Kibana Figure 37: Installation du plugin Wazuh Maintenant, démarrons le service Kibana : Figure 38: Démarrage du service Kibana Le processus d’installation est ainsi terminé et nous allons accédez à l'interface Web et à l'aide de l’adresse IP de notre serveur Wazuh du mot de passe généré lors du processus d'installation d'Elasticsearch : Figure 39: Interface de connexion Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 63 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Après avoir saisi ses identifiants, nous verrons apparaître le tableau de bord qui se présente comme suit : Figure 40: Tableau de bord Wazuh Vous devez inscrire l'agent avant de le connecter au serveur pour la première fois. Ce processus fournit à l'agent une clé unique utilisée pour l'authentification et le chiffrement des données. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 64 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 CHAPITRE 5 : RESULTATS ET COMMENTAIRES Nous allons dans ce chapitre présenter un exemple d’attaque au sein de notre réseau puis le détecter à travers nos outils et pouvoir réagir automatiquement face à cet incident. Après avoir implémenté notre solution il est important de mettre à disposition des utilisateurs un aperçu de notre travail, nous allons continuer avec le chapitre résultats et commentaires. APERCU 5.1. ARCHITECTURE DE TEST 5.2. SCENARIO ET MISE EN OEUVRE 5.3. RESULTATS Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 65 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 5.1. ARCHITECTURE DE TEST Pour effectuer des tests de fonctionnalités sur la solution Wazuh que nous venons de déployer, nous mettons en place un petit laboratoire de test qui sera constitué de : Tableau 10: Equipement pour le test QUANTITE EQUIPEMENTS 01 PC avec Kali Linux 2021.4 RÔLES ADRESSES IP Va nous servir en Attribué aléatoirement même temps de par DHCP client linux pour le serveur Wazuh et d’attaquant dans le réseau 01 PC avec Ubuntu 20.04 C’est le serveur 192.168.8.101/24 Wazuh 01 PC avec Windows 7 Sera notre client Attribué aléatoirement Professionnel Windows pour par DHCP Wazuh et la machine ciblé par les attaques 01 Modem sans fil Huawei Celui-ci nous 192.168.8.1 permettra de créer un réseau sans fil pour faire communiquer tous nos PC Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 66 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Tous ces éléments seront donc disposés dans le réseau comme nous le montre la figure ci-après : Figure 41: Architecture de test 5.2. SCENARIO ET MISE EN ŒUVRE Pour effectuer nos tests, nous avons conçu le scénario suivant : Déployer des agents Wazuh sur nos deux machines clientes ; Vérifier la communication avec le serveur ; Effectuer une découverte du réseau ; Mener une attaque ciblant le client Windows ; Vérifier la remonter des alertes au niveau du serveur ; Vérifier la réponse active. 5.2.1. DEPLOIEMENT DES AGENTS L'agent Wazuh est comme nous l’avons déjà dit plus haut, multiplateforme et s'exécute sur les hôtes que l'utilisateur souhaite surveiller. Il communique avec le gestionnaire Wazuh, en envoyant des données en temps quasi réel via un canal crypté et authentifié. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 67 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Installation sur le client Windows : Pour démarrer le processus d'installation, nous allons d’abord télécharger le programme d’installation de Windows qui nous est présenté en image ci-dessous Figure 42: Setup de Wazuh Une fois ceci effectué, nous allons ouvrir l’invite de commande Windows pour son installation et sa configuration, il est question de lui indiquer le gestionnaire : Figure 43: Installation agent Wazuh Le processus d'installation est maintenant terminé et l'agent Wazuh est installé et configuré avec succès. Nous allons le démarrer en exécutant : Figure 44: Démarrage agent wazuh sur windows Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 68 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 Installation sur le client Linux : Pour déployer l'agent Wazuh sur un système Linux, il suffit d’ouvrir un terminal en mode administrateur, indiquer le gestionnaire par son adresse IP et télécharger l’agent à l’aide du gestionnaire de paquet de votre système : Figure 45: Installation Wazuh-agent sur Linux Une fois cette installation terminée, nous allons vérifier son fonctionnement, comme vous le verrez sur la figure en dessous, le statut « active » de couleur verte indique que notre agent s’exécute normalement. Figure 46: Vérification du statut de l'agent Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 69 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 5.2.2. VERIFICATION DE LA COMMUNICATION AVEC LE SERVEUR Une fois que nous avons fini avec le déploiement de notre manager et des différents agents, il est temps de vérifier la communication entre eux, pour ce faire nous allons ouvrir le tableau de bord de notre manager et là nous verrons si le nombre d’agents enregistré correspond au nombre d’agent que nous avons déployé : Figure 47: Dashboard avec agents enregistrés Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 70 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 CONCLUSION GENERALE Parvenu au terme de notre travail, il était question pour nous de mettre en place une solution de détection et de réponse automatique aux incidents de sécurité informatique au sein du CRIC2 afin de fournir un environnement réseau plus sécurisé et permanemment surveiller. Nous avons implémenté cette solution à l’aide de l’outil open source Wazuh et par l’exploitation des normes de sécurité informatique. Les différents objectifs pour la réalisation de ce projet ont été atteints. Grâce à notre solution, le réseau de l’entreprise est désormais supervisé, les intrusions sont détectées et des alertes sont émises. Ce stage au sein du CRIC2 a été une expérience très enrichissante, à la fois sur le point de vue personnel et professionnel. Au niveau professionnel, nos missions de consolidations et de recoupements de listings clients, nous ont permis de participer concrètement à l’activité du centre d’accueil tout en découvrant le secteur de la fiscalité, ses acteurs et ses enjeux. Grâce aux précieux conseils et au suivi journalier de notre encadrant professionnel Monsieur Tene Penka Simplice, nous avons pu acquérir de nombreuses qualités sur le plan personnel à savoir l’amélioration de nos méthodes de travail, la ponctualité, l’assiduité, le respect de tous et l’esprit d’équipe. Etant donné qu’il est impossible d’établir une sécurité à 100% dans le domaine informatique, nous espérons que l’utilisation de notre solution suscitera l’expression de nouveau besoins pour la perfectionner. Néanmoins nous avons en perspective la migration vers une solution de sécurisation, d’orchestration, d’automatisation et de réponse aux incidents (SOAR). Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 71 MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 INDEX BIBLIOGRAPHIQUE I- OUVRAGES GENERAUX Trend Micro, La Sécurité Informatique pour les Nuls, 2010 ; Bloch, Laurent_Wolfhugel, Christophe, Sécurité informatique principes et méthode Eyrolles, 2007, 276p. Sébastien Rohaut, PREPARATION à LA CERTIFICATION LPIC-1 II- OUVRAGES SPECIAUX OU SPECIALISES Hamza Kondah, HACKING ET SECURITE : MAÎTRISE LES TECHNIQUES AVANCEES, 2019, 186p. ; Jeff Simon, HACKING PRACTICAL GUIDE FOR BEGINNERS, 2016, 94p. David Burgermeister & Jonathan Krier, LES SYSTEMES DE DETECTION D’INTRUSIONS, 2006, 64p. III- OUVRAGES DE METHODOLOGIE (ET DICTIONNAIRES) Kalika Michel, Le mémoire de master, mobiliser internet-pour-réussir à l'université et en grande école, Dunod, 2012, 209 p. Benjamin Grange, Réussir une présentation, Eyrolles, 2009, 112 p. IV- THESES ET MEMOIRES (OU MONOGRAPHIES) CASSANDRA NDOUMBE, « Etude Et Mise En Place D’une Solution De Réponse Automatique Aux Incidents : Cas D’une Attaque Par Phishing A Afriland First Bank », INSTITUT UNIVERSITAIRE CATHOLIQUE SAINT-JÉRÔME DE DOUALA, Mémoire de fin d’études en vue de l’obtention du diplôme d’ingénieur, 2022. FOUDA EBOGO Brice, « Etude et mise en place d’un système de gestion des logs SIEM et détection d’intrusion avec ELK Stack au sein d’une entreprise », Institut Africain d’informatique,2021. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 I MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 V- ARTICLES (et AUTRES CONTRIBUTIONS : Manuels, Chroniques, Conclusions) Les 10 capacités essentielles d’un outil SOAR de pointe, 2020, Splunk Etat de la cybersécurité en 2022, 2022, Splunk Livret d’accueil IGR-IAE /IGA – Année 2020-2021 VI- TEXTES JURIDIQUES A- INTERNATIONAUX ET COMMUNAUTAIRES RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). ISO/IEC 27002, Sécurité de l'information, cybersécurité et protection de la vie privée - Mesures de sécurité de l'information, 3ème édition 2022. B- NATIONAUX LOI N°2010/012 DU 21 DECEMBRE 2010 RELATIVE A LA CYBERSECURITE ET LA CYBERCRIMINALITE AU CAMEROUN. Loi n°2010/021 du 21 décembre 2010 régissant le commerce électronique au Cameroun Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 II MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 WEBOGRAPHIE https://www.varonis.com/fr/blog/plan-reponse-incidents consulté le lundi 04/07/22 à 11H25 pour les notions sur les différents incidents; https://www.promosoft.fr/mettre-en-place-politique-securite-systemesinformatiques/ consulté le mardi 05/07/22 à 01H10 pour les notions sur la mise en place de la politique de sécurité; https://www.ivision.fr/mettre-en-place-une-politique-de-securite-informatique-lesbonnes-pratiques/ consulté le jeudi 14/07/22 à 15H00 pour les notions sur la mise en place de la politique de sécurité; https://documentation.wazuh.com/current/getting-started/index.html consulté le lundi 18/07/22 à 02H50 pour la documentation sur l’outil wazuh; https://phdtopic.com/latest-research-topics-in-networking/ consulté le mercredi 26/07/22 à 14H05 pour les notions sur le réseau aspect sécurité; Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 III MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 GLOSSAIRE Analyste de sécurité : est un personnel de l’entreprise chargé de détecter tous les incidents de sécurité (cyberattaques initiées par des cybercriminels) qui surviennent sur l’infrastructure informatique, les analyser et les décortiquer jusqu'à comprendre la source de l'infection. Appel Système : désigne le moment où un programme s'interrompt pour demander au système d'exploitation d'accomplir pour lui une certaine tâche. Contribuable : est une personne qui paie des impôts. Cybercriminel : est un individu utilisant les systèmes informatiques pour commettre des infractions pénales. Déclaration : est un document rempli par le contribuable et permettant à l'administration fiscale de calculer le montant de l’impôt qu’il devra payer Droit de communication : est une correspondance adressée par l’administration fiscale à un tiers afin d'obtenir des renseignements sur la situation financière d’un contribuable. FIM : est un processus interne qui consiste à valider l' intégrité des fichiers du système d'exploitation et des logiciels d'application à l' aide d'une méthode de vérification entre l'état actuel du fichier et une bonne ligne de base connue. Hardware : les éléments matériels d'un système informatique Immatriculation : est l’attribution d’un numéro d’identifiant unique à un contribuable tout en le rattachant à un centre des impôts. Impôts : Prélèvement que l'État opère sur les ressources des personnes physiques ou morales afin de subvenir aux charges publiques. Incident de sécurité informatique : est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. IPtable : est un logiciel libre de l'espace utilisateur Linux grâce auquel l'administrateur système peut configurer des règles dans le pare-feu en espace noyau Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 IV MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 ISO 27000 : est une norme de sécurité de l'information. ITIL : est un ensemble d'ouvrages recensant les bonnes pratiques du management des systèmes d'informations Json : est un format de données textuelles dérivé de la notation des objets du langage JavaScript. Il permet de représenter de l’information de façon structurée. Logcollector : est un outil qui collecte la sortie de log dans un système et l'envoie à qui de droit dans le système Plugin : est un programme informatique conçu pour ajouter des fonctionnalités à un autre logiciel appelé logiciel hôte, il étend donc les fonctionnalités de celui-ci. Software : en français signifie logiciel et est un ensemble de séquences d’instructions interprétables par une machine et d’un jeu de données nécessaires à ces opérations Somme de contrôle cryptographique : en anglais checksum est le résultat de l’exécution d’un algorithme, appelé fonction de hachage cryptographique, sur une donnée, généralement pour vérifier son intégrité de données Syslog : est un protocole définissant un service de journaux d’événements d’un système informatique. TCP/IP : est une suite de protocoles de communication utilisés pour interconnecter des dispositifs de réseau en local ou sur internet. Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 V MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 ANNEXES Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 VI MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 TABLES DES MATIERES DEDICACE ................................................................................................................................. i REMERCIEMENTS .................................................................................................................. ii SOMMAIRE ............................................................................................................................. iii LISTES DES FIGURES............................................................................................................ iv LISTES DES TABLEAUX ...................................................................................................... vii LISTES DES ABBREVIATIONS .......................................................................................... viii RESUME.................................................................................................................................... x ABSTRACT .............................................................................................................................. xi INTRODUCTION GENERALE................................................................................................ 1 PARTIE 1 : PHASE D’INSERTION ........................................................................................ 2 CHAPITRE 1 : ACCUEIL EN ENTREPRISE ...................................................................... 3 1.1. ACCUEIL ......................................................................................................... 4 1.2. INTEGRATION ............................................................................................... 4 CHAPITRE 2 : PRESENTATION DE LA STRUCTURE D’ACCUEIL ............................. 5 2.1. HISTORIQUE .................................................................................................. 6 2.2. MISSIONS........................................................................................................ 6 2.3. SITUATION GEOGRAPHIQUE..................................................................... 7 2.4. ORGANIGRAMME DU CRIC2...................................................................... 8 PARTIE 2 : PHASE TECHNIQUE ........................................................................................ 10 CHAPITRE 1 : ANALYSE DU PROJET ............................................................................ 11 1.1. PRESENTATION DU PROJET .................................................................... 12 1.2. ETUDE DE L’EXISTANT ............................................................................ 12 Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 VI MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 1.3. PROBLEMATIQUE ...................................................................................... 13 CHAPITRE 2 : CAHIER DE CHARGES ............................................................................ 14 2.1. CONTEXTE DU PROJET ............................................................................. 15 2.2. OBJECTIFS DU PROJET .............................................................................. 15 2.2.1. OBJECTIF GENERAL .................................................................................. 15 2.2.2. OBJECTIFS SPECIFIQUES .......................................................................... 15 2.3. EXPRESSION DES BESOINS ...................................................................... 16 2.3.1. BESOINS FONCTIONNELS ........................................................................ 16 2.3.2. BESOINS NON-FONCTIONNELS .............................................................. 16 2.4. LES ACTEURS DU PROJET ........................................................................ 17 2.5. LES CONTRAINTES DU PROJET .............................................................. 17 2.5.1. LE COÛT ....................................................................................................... 17 2.5.2. LE DELAI ...................................................................................................... 17 2.5.3. LA QUALITE................................................................................................. 18 2.6. PLANIFICATION DU PROJET .................................................................... 18 2.6.1. TÂCHES ......................................................................................................... 18 2.6.2. DIAGRAMME DE GANTT .......................................................................... 19 2.7. EVALUATIONS FINANCIERES ................................................................. 19 2.7.1. RESSOURCES MATERIELLES................................................................... 20 2.7.2. RESSOURCES LOGICIELLES .................................................................... 20 2.7.3. RESSOURCES HUMAINES ......................................................................... 21 2.7.4. EVALUATION GLOBALE DU PROJET..................................................... 21 2.8. LES LIVRABLES .......................................................................................... 22 CHAPITRE 3 : ETAT DE L’ART ....................................................................................... 23 3.1. 3.1.1. GENERALITES SUR LA SECURITE INFORMATIQUE .......................... 24 L’INTEGRITE................................................................................................ 24 Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 VI MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 3.1.2. LA DISPONIBILTE ....................................................................................... 24 3.1.3. LA CONFIDENTIALITE .............................................................................. 25 3.1.4. LA NON REPUDIATION ............................................................................. 25 3.1.5. L’AUTHENTIFICATION.............................................................................. 25 3.2. IMPORTANCE DE LA CYBERSECURITE POUR LES ENTREPRISES . 26 3.3. INCIDENTS DE SECURITE INFORMATIQUE ......................................... 26 3.3.1. LES DIFFERENTS CYBERATTAQUES ..................................................... 27 3.3.2. LES MESURES DE DETECTION ET DE PREVENTION.......................... 30 3.3.2.1. NOTION DE POLITIQUE DE SECURITE .............................................. 30 3.3.2.2. LA SUITE DE SECURITE IPSEC............................................................ 30 3.3.2.3. LE PARE-FEU........................................................................................... 31 3.3.2.4. LE SERVEUR PROXY ............................................................................. 31 3.3.2.5. LA DMZ (DeMilitarized Zone) ................................................................. 31 3.3.2.6. LES ANTIVIRUS ...................................................................................... 31 3.3.2.7. LES IDS (Intrusion Detection System)...................................................... 32 3.3.2.8. LE SOC (Security Operations Center) ....................................................... 32 3.3.2.9. LE SIEM (Security Information and Events Management) ...................... 33 3.3.3. COMPARAISON DES SOLUTIONS EXISTANTES .................................. 35 3.3.3.1. OSSEC ....................................................................................................... 35 3.3.3.2. WAZUH ..................................................................................................... 36 3.3.3.3. SPLUNK .................................................................................................... 37 3.3.3.4. SOLARWINDS SECURITY EVENT MANAGER ................................. 37 3.3.4. CHOIX ET JUSTIFICATION DE LA SOLUTION WAZUH ...................... 39 3.3.4.1. LES COMPOSANTS ET ROLES DE WAZUH ....................................... 39 3.3.4.2. ARCHITECTURE GLOBALES DE WAZUH ......................................... 44 3.3.4.3. FONCTIONS DE WAZUH ....................................................................... 46 Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 IX MISE EN PLACE D’UNE SOLUTION DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE SECURITE INFORMATIQUE AU SEIN DU CRIC 2 CHAPITRE 4 : IMPLEMENTATION ................................................................................. 53 4.1. ARCHITECTURE DE DEPLOIEMENT ...................................................... 54 4.2. METHODOLOGIE ........................................................................................ 55 4.3. MISE EN ŒUVRE ET CONFIGURATIONS ............................................... 55 4.3.1. PREREQUIS .................................................................................................. 55 4.3.2. INSTALLATION DE LA VM ....................................................................... 57 4.3.3. INSTALLATION DE WAZUH ET ELK ...................................................... 59 CHAPITRE 5 : RESULTATS ET COMMENTAIRES ....................................................... 65 5.1. ARCHITECTURE DE TEST ......................................................................... 66 5.2. SCENARIO ET MISE EN ŒUVRE .............................................................. 67 5.2.1. DEPLOIEMENT DES AGENTS ................................................................... 67 5.2.2. VERIFICATION DE LA COMMUNICATION AVEC LE SERVEUR ....... 70 CONCLUSION GENERALE .................................................................................................. 71 INDEX BIBLIOGRAPHIQUE ...........................................................................................LXXI WEBOGRAPHIE ................................................................................................................LXXI GLOSSAIRE .......................................................................................................................LXXI ANNEXES ..........................................................................................................................LXXI TABLES DES MATIERES ................................................................................................LXXI Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux, À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022 X