NGUESSI RAPPORT 07-10-2022

REPUBLIQUE DU CAMEROUN
Paix-Travail-Patrie
INSTITUT AFRICAIN D’INFORMATIQUE
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
CENTRE REGIONAL DES IMPOTS DU CENTRE II
BP : 13719-Yaoundé
Tel: (+237)8200
Tel :(+237)242729957 / 242729958
E-mail: [email protected]
E-mail : [email protected]
Site web: www.impots.cm
Site web : www.iaicameroun.com
RAPPORT DE STAGE ACADEMIQUE
THEME : MISE EN PLACE D’UNE SOLUTION DE
DETECTION ET DE REPONSE AUTOMATIQUE
AUX INCIDENTS DE SECURITES
INFORMATIQUES AU SEIN DU CRIC2
Stage effectué du 19 juillet au 30 septembre 2022 au Centre Régional des impôts
du centre II, en vue de l’obtention du Diplôme d’Ingénieur des Travaux
Informatiques
Option : Systèmes et Réseaux
Rédigé par : NGUESSI NGUEUDIE Steve Ryan
Etudiant en 3ième année à l’IAI-Cameroun
Sous la supervision :
ACADEMIQUE DE :
PROFESSIONNELLE DE :
M. TEMGOUA Arnaud
M. TENE PENKA Simplice
Enseignant à l’IAI-Cameroun
Inspecteur principal des impôts et chef de la brigade
régionale des enquêtes régionales
0
2019-2020
ANNEE ACADEMIQUE 2021-2022
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
DEDICACE
À
TOUTE MA
FAMILLE
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
i
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
REMERCIEMENTS
C’est avec un cœur plein de gratitude et de joie que nous souhaitons adresser nos sincères
remerciements à toutes ces personnes sans qui la réalisation de ce travail n’aurait été possible,
tenons donc à exprimer nos sincères remerciements à :
 M. ABANDA Armand Claude, le représentant résident de l’IAI Cameroun « Centre
d'Excellence Technologique PAUL BIYA », pour tous les efforts menés pour en
faveur de la réussite de notre formation au sein du prestigieux établissement dont il a la
tête;
 M. BICKOE Daniel Hyppolite, chef de centre régional des impôts du centre 2, pour
la confiance qu’il nous accordé en nous admettant au sein de sa structure ;
 M. TEMGOUA Arnaud, Encadrant académique, pour sa disponibilité, sa dévotion,
ses conseils et sa rigueur dans le travail ;
 M. TENE Penka Simplice, Encadrant professionnel, pour nous avoir fourni des outils
didactiques nécessaires au bon déroulement de notre stage et ses conseils sur la
rédaction de notre rapport de stage ;
 M. & Mme FANKAM, pour leur accompagnement, leur soutient et aussi leurs
conseils ;
 Mme NGUEUDIE Jacqueline, pour son soutien, son accompagnement, ses
encouragements et ses conseils ;

M. & Mme MBIANDA, pour leur appui inestimable et leur accompagnement ;
 M. KEMGANG François, pour son accompagnement, son appui et surtout sa forte
contribution à la réussite de notre formation ;
 Tous les enseignants de l’Institut Africain d’Informatique pour leur encadrement ;
 Tout le personnel du CRIC2 pour leur accompagnement dans la réussite de notre
stage ;
 Tous nos amis et camarades pour l’aide, les remarques et les critiques en particulier
Mlle GHOMFO Odette Pamela.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
ii
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
SOMMAIRE
DEDICACE ................................................................................................................................. i
REMERCIEMENTS .................................................................................................................. ii
SOMMAIRE ............................................................................................................................. iii
LISTES DES FIGURES............................................................................................................ iv
LISTES DES TABLEAUX ...................................................................................................... vii
LISTES DES ABBREVIATIONS .......................................................................................... viii
RESUME.................................................................................................................................... x
ABSTRACT .............................................................................................................................. xi
INTRODUCTION GENERALE................................................................................................ 1
PARTIE 1 : PHASE D’INSERTION ........................................................................................ 2
CHAPITRE 1 : ACCUEIL EN ENTREPRISE ...................................................................... 3
CHAPITRE 2 : PRESENTATION DE LA STRUCTURE D’ACCUEIL ............................. 5
PARTIE 2 : PHASE TECHNIQUE ........................................................................................ 10
CHAPITRE 1 : ANALYSE DU PROJET ............................................................................ 11
CHAPITRE 2 : CAHIER DE CHARGES ............................................................................ 14
CHAPITRE 3 : ETAT DE L’ART ....................................................................................... 23
CHAPITRE 4 : IMPLEMENTATION ................................................................................. 53
CHAPITRE 5 : RESULTATS ET COMMENTAIRES ....................................................... 65
CONCLUSION GENERALE .................................................................................................. 71
INDEX BIBLIOGRAPHIQUE ...........................................................................................LXXI
WEBOGRAPHIE ................................................................................................................LXXI
GLOSSAIRE .......................................................................................................................LXXI
ANNEXES ..........................................................................................................................LXXI
TABLES DES MATIERES ................................................................................................LXXI
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
iii
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
LISTES DES FIGURES
Figure 1: Situation géographique de CRIC2 .............................................................................. 7
Figure 2: Organigramme du CRIC2 ........................................................................................... 9
Figure 3: Architecture physique du CRIC2.............................................................................. 13
Figure 4: Diagramme de Gantt ................................................................................................. 19
Figure 5: Résumé des étapes d'une cyberattaque selon le Mitre .............................................. 29
Figure 6: Schéma du fonctionnement d'un SOC avec le SIEM ............................................... 33
Figure 7: Logo Ossec ............................................................................................................... 35
Figure 8: Logo Wazuh.............................................................................................................. 36
Figure 9: Logo Splunk.............................................................................................................. 37
Figure 10: Logo Solarwinds ..................................................................................................... 37
Figure 11: Architecture du serveur Wazuh .............................................................................. 41
Figure 12: Architecture et composants de l'agent Wazuh ........................................................ 43
Figure 13: Architecture de déploiement de Wazuh .................................................................. 45
Figure 14: Flux de collecte et d'analyse des logs ..................................................................... 46
Figure 15: : Flux de surveillance de l'intégrité des fichiers ..................................................... 47
Figure 16: Flux de détection d'anomalies ................................................................................ 49
Figure 17: Flux de surveillance des commandes .................................................................... 51
Figure 18: Flux de mise en œuvre de la réponse active ........................................................... 52
Figure 19: Architecture de déploiement Wazuh au sein du CRIC ........................................... 54
Figure 20: Logo VMware Workstation .................................................................................... 55
Figure 21: Logo Ubuntu ........................................................................................................... 56
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
iv
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Figure 22: Logo ELK stack ...................................................................................................... 57
Figure 23: Caractéristiques de la VM ...................................................................................... 57
Figure 24: Installation Ubuntu ................................................................................................. 58
Figure 25: Bureau Ubuntu ........................................................................................................ 58
Figure 26: Mise à jour Ubuntu ................................................................................................. 59
Figure 27: Installation Elasticsearch ........................................................................................ 59
Figure 28: Téléchargement du fichier de configurations ......................................................... 60
Figure 29: Création de certificats ............................................................................................. 60
Figure 30:Démarrage de Elasticsearch ..................................................................................... 60
Figure 31: Génération des identifiants ..................................................................................... 60
Figure 32: Installation de wazuh-server ................................................................................... 61
Figure 33: Démarrage service wazuh-manager ........................................................................ 61
Figure 34: Installation filebeat ................................................................................................. 61
Figure 35: Vérification de filebeat ........................................................................................... 62
Figure 36: Installation de Kibana ............................................................................................. 62
Figure 37: Installation du plugin Wazuh .................................................................................. 63
Figure 38: Démarrage du service Kibana ................................................................................. 63
Figure 39: Interface de connexion ............................................................................................ 63
Figure 40: Tableau de bord Wazuh .......................................................................................... 64
Figure 41: Architecture de test ................................................................................................. 67
Figure 42: Setup de Wazuh ...................................................................................................... 68
Figure 43: Installation agent Wazuh ........................................................................................ 68
Figure 44: Démarrage agent wazuh sur windows .................................................................... 68
Figure 45: Installation Wazuh-agent sur Linux........................................................................ 69
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
v
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Figure 46: Vérification du statut de l'agent .............................................................................. 69
Figure 47: Dashboard avec agents enregistrés ......................................................................... 70
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
vi
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
LISTES DES TABLEAUX
Tableau 1: Les acteurs du projet .............................................................................................. 17
Tableau 2: Tableau périodique des tâches ................................................................................ 18
Tableau 3: Evaluation financière des ressources matérielles ................................................... 20
Tableau 4: Evaluation financière des ressources logicielles .................................................... 20
Tableau 5: Evaluation financière des ressources humaines ..................................................... 21
Tableau 6: Evaluation financière globale ................................................................................. 21
Tableau 7: Tableau de comparaison entre les IDS existants .................................................... 38
Tableau 8: Récapitulatif des composants de Wazuh-indexer................................................... 40
Tableau 9: Liste de ports utilisé par Wazuh ............................................................................. 45
Tableau 10: Equipement pour le test ........................................................................................ 66
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
vii
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
LISTES DES ABBREVIATIONS
AMR : Avis de Mise en Recouvrement
API : Application Programming Interface
BRER : Brigade Régionale des Enquêtes Fiscales et des Recherches
CDI : Centre Divisionnaire des Impôts
CIME : Centre des Impôts des Moyennes Entreprises
CRIC II : Centre Régional des Impôts du Centre 2
CSI-EP-CTD-OPY : Centre Spécialisé des Impôts des Etablissements Publics, des
Collectivités Territoriales Décentralisées, et des autres Organismes Publics de Yaoundé
DGE : Direction des Grandes Entreprises
DD : Disque Dur
FIM: File Integrity Module
GHz: Gigahertz
GB: Gigabit
HDD: Hard Drive Disk
HIDS: Host Intrusion Detection System
IETF: Internet Engineering Task Force
IRS: Inspection Régionale des Services
ISO: International Organization Standardization
IT: Information Technology
ITI: Information Technology Infrastructure Library
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
viii
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Json: JavaScript Object Notation
mAh : Milliampère/heure
mbps : Mégabits Par Seconde
RAM : Random Access Memory
RR : Recette Régionale
SAG : Service des Affaires Générales
SIEM: Security Information and Event Management
SOAR: Security Orchestration Automation and Response
SOC: Security Operations Center
SSL: Secure Socket Layer
TLS: Transport Layer Security
To: Téraoctets
TTP: Techniques Tactiques Procédures
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
ix
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
RESUME
Avec la digitalisation croissante des services au sein des organisations, les ressources
informatiques se retrouvent au cœur du système d’information des entreprises modernes ; ce
qui fait en sorte qu’elles deviennent de plus en plus exposées à d’éventuelles cyberattaques
menées par des individus malveillants. Par exemple lorsqu’un utilisateur veut accéder à une
ressource dans le réseau, il doit s’y connecter, dès lors il peut déjà devenir une menace pour les
autres hôtes, ce qui accroît les risques liés à la sécurité sur les ressources informatiques de
l’entreprise. Il s’avère donc important de mettre en œuvre des mesures de sécurités pour
prévenir et même limiter les intrusions au sein d’un réseau, dans notre cas spécifiquement celui
du CRIC2. Pour relever ce challenge, durant notre stage allant de la période du 19 Juillet au 30
Septembre 2022, nous nous sommes orientés vers « la mise en place d’une solution de
détection et de réponse automatique aux incidents de sécurité informatique au sein du
CRIC2 ». Cette mise en place a nécessité une analyse approfondie, l’établissement d’un cahier
de charges, l’étude des solutions existantes, le déploiement et la configuration de l’outil Wazuh.
Les résultats obtenus révèlent que la solution répond à suffisances aux besoins en matière de
surveillance, de détection et de réponse aux incidents de sécurité informatique pouvant survenir
au sein du CRIC2.
Mots clés : systèmes d’information, réseau, hôtes, intrusions, détection, réponse
automatique.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
x
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
ABSTRACT
With the increasing digitalization of services within organizations, IT resources are at
the heart of the information system of modern companies, making them more and more exposed
to possible cyber-attacks by malicious individuals. For example, when a user wants to access a
resource in the network, he has to connect to it, so he can already become a threat to other hosts,
which increases the security risks on the company's IT resources. It is therefore important to
implement security measures to prevent and even limit intrusions within a network, in our case
specifically that of CRIC2. To meet this challenge, during our internship from July 19 to
September 30, 2022, we focused on "the implementation of a solution for detection and
automatic response to computer security incidents within CRIC2". This implementation
required an in-depth analysis, the establishment of specifications, the study of existing
solutions, the deployment and configuration of the Wazuh tool. The results obtained show that
the solution sufficiently meets the needs for monitoring, detection and response to computer
security incidents that may occur within CRIC2.
Key words: information systems, network, hosts, intrusions, detection, automatic
response.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
xi
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
INTRODUCTION GENERALE
Au vu des évolutions technologiques constante, les systèmes utilisés au sein des
organisations se complexifient et sont actualiser ou modifier de jour en jour. Afin d’avoir des
ingénieurs de travaux informatique up to date, l’Institut Africain d’informatique (IAICameroun) exige de ses étudiants de troisième année un stage académique d’une durée de trois
(03) mois dans une structure d’accueil afin de s’imprégner du monde professionnel; cet ainsi
que de la période allant du 19 juillet au 30 Septembre 2022, nous avons été accueilli dans les
locaux du Centre Régional des Impôts du Centre 2 (CRIC2), qui est une figure déconcentrée de
la Direction Générale des Impôts (DGI). Plus largement, ce stage a été pour nous l’occasion
d’approfondir nos connaissances tant dans le domaine informatique que dans le domaine fiscal.
La sécurité informatique étant donc une nécessité pour les structures fiscales, nous avons jugé
impératif de se poser la question de savoir comment mettre en place un système qui sera
capable de centraliser la surveillance du réseau et des hôtes, la détection des intrusions et
la réponse automatique aux incidents de sécurité ? Pour y parvenir, nous procèderons en
deux temps, nous commencerons par la présentation de la structure d’accueil, ayant de prime à
bord présenter la façon dont nous avons été accueillis et notre intégration. Après quoi nous nous
intéresserons à l’aspect technique qui nous permettra de comprendre l’existant, d’élaborer un
cahier de charges, un état de l’art des solutions possibles pour l’implémentation et enfin des
tests de fonctionnalités.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
1
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
PARTIE 1 : PHASE D’INSERTION
L’insertion professionnelle est un processus qui permet à un individu ou un groupe
d’individus d’entrer sur le marché du travail dans des conditions favorables à l’obtention d’un
emploi. Dans le cadre du stage académique, nous avons été reçus comme stagiaire au sein des
locaux de CRIC2 pour une période de trois (03) mois et dont la phase d’insertion a durée 02
semaines. Notre phase s’articule autour de : l’accueil et la présentation de la structure hôte sans
oublier les différentes ressources dont elle regorge.
APERCU
CHAPITRE 1 : ACCUEIL ET
INTEGRATION EN
ENTREPRISE
CHAPITRE 2 : PRESENTATION
DE L’ENTREPRISE
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
2
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
CHAPITRE 1 : ACCUEIL EN ENTREPRISE
Dans ce chapitre, nous parlons de notre première prise de contact avec la structure
qui a bien voulu nous accueillir et les tâches à nous confier au sein de celle-ci en
l’occurrence le Centre Régional des Impôts du Centre 2 (CRIC2)
APERCU
1.1. ACCUEIL
1.2. INTEGRATION
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
3
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
1.1. ACCUEIL
Le mardi 19 juillet de l’an 2022 marque notre toute première prise de contact avec le
CRIC2, journée pendant laquelle nous avons eu l’extrême privilèges d’être convié à une réunion
avec le chef de centre régional M. Daniel Hippolyte BICKOE et d’autres membres de la
structure notamment :
 M. TENE PENKA Simplice, chef de la brigade régionale des enquêtes fiscales et
des recherches ;
 M. GUIMPBIKIE YIKOUA Patient,
 Mme NGO NKEN Marie, chef service des affaires générales.
Les objectifs de cette séance de travail étaient de nous présenter tout premièrement le
système fiscal camerounais (les contribuables, l’immatriculation, la déclaration et les impôts),
la présentation sommaire du CRIC2(à travers ses missions, son personnel, son règlement
intérieur), la présentation de nous stagiaire, leurs attentes vis-à-vis de nous et réciproquement,
et enfin l’établissement d’un chronogramme de passage entre les différents services (voir
annexe 1).
1.2. INTEGRATION
Notre insertion au sein du CRIC2 n’a pas été d’un doux repos en raison de notre ignorance
totale des activités du monde fiscal, mais grâce aux efforts consentis par le personnel et aux
nôtres, nous avons pu très rapidement nous y adapter. Pour faciliter donc notre insertion, un
chronogramme de passage entre les différents services a été établit. Durant ces passages, il était
question pour nous d’assimiler les rôles joués par chaque service et d’y effectuer des tâches
connexes comme le tri du fichier national des contribuables, l’établissement des droits de
communications, le montage des présentations PowerPoint, le croisement et la consolidation
entre fichier des contribuables, la réparation d’ordinateurs en pannes, et spécialement la création
d’une Base de données à la Brigade Régionale des Enquêtes Fiscales et des Recherches.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
4
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
CHAPITRE 2 : PRESENTATION DE LA STRUCTURE
D’ACCUEIL
APERCU
2.1. HISTORIQUE
2.2. MISSIONS
2.3. SITUATION GEOGRAPHIQUE
2.4. ORGANIGRAMME DU CRIC2
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
5
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
2.1. HISTORIQUE
Le Centre Régional des Impôts du Centre II (CRIC2) est une figure récente des services
déconcentrés de la Direction Générale des Impôts (DGI), créé à la faveur de l’arrêté
000361/MINFI du 19 Juin 2019. Mais il faudra attendre les arrêtés ministérielles N° 232, 233,
et 234 du 26 Août 2020 pour voir ses principaux services centraux et opérationnels, dans leur
configuration actuelle, être pourvus en responsables.
2.2. MISSIONS
De manière générale, Le Centre Régional des Impôts du Centre II est chargé, dans son
ressort territorial de compétence :
 Du suivi de l’application des textes législatifs et réglementaires en matière fiscale ;
 Du contrôle, de la coordination et de l’animation de l’activité de tous les services
des impôts installés dans son ressort territorial de compétence ainsi que de la
formation du personnel ;
 De la collecte, de la centralisation, de la mise à disposition et du suivi de
l’exploitation par les services compétents des renseignements à but fiscal ;
 De l’identification, de la localisation et de l’immatriculation des contribuables ;
 Des émissions et du recouvrement en matière d’impôts directs et indirects, des droits
d’enregistrement et du timbre, de redevances et taxes diverses ;
 Des contrôles et vérifications en matière d’impôts directs et indirects, des droits
d’enregistrement et du timbre, de redevances et taxes diverses ;
 De l’exploitation fiscale des informations foncières ;
 De la centralisation des données statistiques sur les émissions et le recouvrement
directs et indirects, des droits d’enregistrement, du timbre et de la curatelle, de
redevances et taxes diverses, y compris les taxes pétrolières, minières, forestières,
agricoles, pastorales et sur les produits halieutiques ;
 De la lutte et de la répression pénale de la fraude fiscale ;
 De l’instruction des requêtes gracieuses et contentieuses des contribuables ;
 De l’installation et du contrôle des machines à timbrer ;
 De l’approvisionnement, de la conservation et du contrôle des timbres et des valeurs
fiscales.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
6
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
2.3. SITUATION GEOGRAPHIQUE
Les services centraux du CRIC2 sont installés au quartier Nylon-Bastos, dans l’ex-bâtiment
qui a abrité la Direction des Grandes Entreprises (DGE). Quant à ses structures opérationnelles, à
l’exception du CSI-EP-CTD-OPY qui occupe le même bâtiment que les services centraux, elles
sont disséminées sur l’étendue de son territoire de compétence limité dans une partie de la ville de
Yaoundé.
Figure 1: Situation géographique de CRIC2
(Source : Google map)
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
7
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
2.4. ORGANIGRAMME DU CRIC2
Placé sous l’autorité d’un (01) Chef de Centre Régional, les services du CRIC2 sont
organisés en deux grandes catégories à savoir :
les services centraux et les structures
opérationnelles. Ses services centraux sont donc :
 L’inspection Régionale Des Services ;
 Le Service Des Affaires Générales ;
 La Brigade Régionale Des Enquêtes Fiscales Et Des Recherches ;
 La Recette Régionale des Impôts ;
 La Cellule Du Contentieux ;
 La Brigade Régionale De Programmation Et Du Suivi Des Contrôles Et Des
Vérifications ;
 Le Service de la Communication ;
 La Cellule Des Statistiques, De L’immatriculation, Du Contrôle De Gestion Et De
L’informatique ;
 La Cellule Spéciale D’enregistrement.
S’agissant de ses structures opérationnelles par ailleurs de tous les métiers
fiscaux (assiette, contrôle, recouvrement) à l’exception du contentieux, l’on
dénombre :
 Un (01) Centre Spécialisé Des Impôts Des Etablissements Publics, des Collectivités
Territoriales Décentralisées, et des autres Organismes Publics de Yaoundé (CSI-EPCTD-OPY) ;
 Un (01) Centre Des Impôts Des Moyennes Entreprises (CIME Yaoundé OUEST) ;
 Trois (03) Centres Divisionnaires des impôts dits Rénovés (CDI-R) soit le CDI 4 à
Messa Camp-sic, CDI 5 à Biyem-Assi lycée et le CDI 6 à Efoulan pont).
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
8
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Voici résumé tout ce qui a été dit précédemment concernant l’organisation
fonctionnelle et administrative du CRIC2
Figure 2: Organigramme du CRIC2
(Source : Service des affaires générales)
Durant la phase d’insertion, nous avons eu un bref aperçu sur le fonctionnement de la
structure, une connaissance sur le travail collaboratif, la vie professionnelle. Notre étude du
contexte nous a alors permis de choisir pour thème : « MISE EN PLACE D’UNE SOLUTION
DE DETECTION ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC2 ».
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
9
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
PARTIE 2 : PHASE TECHNIQUE
Après la présentation de notre accueil et l’intégration au sein du CRIC II, La phase
technique est la phase dans laquelle nous allons présenter les différentes spécificités du projet
tant dans la planification à travers le cahier de charge, compréhension de la solution à travers
l’état de l’art et la mise sur pied du système à travers l’implémentation. Alors, dans cette partie,
nous présenterons dans un premier temps, l’analyse du projet, après le cahier de charges, ensuite
l’étude de l’art, puis l’implémentation et enfin les résultats.
APERCU
CHAPITRE 1 : ANALYSE DU PROJET
CHAPITRE 2 : CAHIER DE CHARGES
CHAPITRE 3 : ETAT DE L’ART
CHAPITRE 4 : IMPLEMENTATION
DE LA SOLUTION
CHAPITRE 5 : RESULTATS ET
COMMENTAIRES
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
10
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
CHAPITRE 1 : ANALYSE DU PROJET
Dans ce chapitre, nous évaluons la pertinence de notre projet en passant par une étude
critique de l’existant et en ressortant une problématique dont nous aurons à proposer la solution
appropriée.
APERCU
1.1. PRESENTATION DU
PROJET
1.2. ETUDE DE L’EXISTANT
1.3. PROBLEMATIQUE
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
11
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
1.1. PRESENTATION DU PROJET
Notre projet s’intitule « Mise en place d’une solution de réponse automatique aux
incidents de sécurité informatique au sein du CRIC2 », il sera donc ici question pour nous
de mettre en place un système permettant de détecter les intrusions et autres menaces, les trier,
déterminer s’il faut agir et enfin contenir et/ou résoudre l’incident. Tout ceci sans aucune
implication du personnel humain. Ainsi l’analyste de sécurité n'aura pas à suivre les étapes, les
instructions et le flux de travail de prise de décision pour enquêter sur un événement et
déterminer s'il s'agit d'un incident légitime. Les actions répétitives et chronophages lui sont
retirées afin qu'il puisse se concentrer sur un travail plus important et à valeur ajoutée.
1.2. ETUDE DE L’EXISTANT
Du fait que la bonne réalisation d’un projet informatique nécessite préalablement une
étude des lieux, nous avons opter pour une analyse approfondie du système en place afin de
l’améliorer. Il est essentiel de disposer d’informations précises sur l’infrastructure réseau
physique et les problèmes qui ont une incidence sur le fonctionnement du réseau.
L’infrastructure technique du CRIC2 repose sur une variété d’équipement de dernière
génération parmi lesquelles nous recensons :
 Trois (03) commutateurs Cisco : servant à relier les différents segments du réseau ;
 Deux (02) routeurs Cisco : servant à interconnecter le réseau local à Internet et à
effectuer un routage de paquet entre les segments logiques du réseau local ;
 Un (01) Pare-feu Cisco : protégeant la totalité du réseau interne ;
 Deux (02) point d’accès Cisco : pour permettre un accès au réseau et une
connectivité aux équipements sans fil ;
 Un (01) serveur HP : à l’intérieur du quel sont déployés plusieurs services à
l’exemple de l’annuaire ;
 Des laptops & des desktops : qui sont les terminaux utilisateurs dans ce réseau ;
 Des téléphones IP : pour les communications téléphoniques internes ;
 Des imprimantes multifonctions : pour des tâches de bureautique diverses
notamment l’impression, la numérisation, etc.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
12
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
L’architecture physique du réseau du CRIC2 est ainsi résumé comme suit :
Figure 3: Architecture physique du CRIC2
1.3. PROBLEMATIQUE
L’existentiel étudié, nous avons pu faire une analyse de son fonctionnement et avons
quelques insuffisances à savoir :
 L’absence d’un système de surveillance des performances du réseau ;
 L’absence d’un plan de réponse instantanée aux cyberattaques, augmentant la
durée de l’indisponibilité du réseau si jamais celui-ci se fait attaquer ;
 L’absence d’un système d’alerte sur les évènements se produisant au sein du
réseau.
Des insuffisances relevées, nous posons la question de savoir : comment mettre en place
un système qui sera capable de centraliser la surveillance du réseau et des hôtes, la
détection d’intrusion et la réponse automatique à tout autre incident de sécurité ?
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
13
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
CHAPITRE 2 : CAHIER DE CHARGES
Le CDC (Cahier de Charges) est un document établi de commun accord entre le maître
d’ouvrage et le maître d’œuvre précisant les objectifs, les délais, le coût et les attentes du projet
à réaliser. C’est donc un document élémentaire préliminaire et indispensable pour la conception
et l’implémentation des systèmes d’informations. Tout au long de ce chapitre, nous
travaillerons sur les parties fondamentales faisant ressortir les points saillants du travail qui
nous a été confié. Dans un premier temps, nous présenterons le contexte de réalisation de notre
projet, ensuite nous présenterons les objectifs à atteindre, après nous mettrons en exergue des
besoins puis la planification du projet et enfin nous ferons une évaluation financière.
APERCU
2.1. CONTEXTE DU PROJET
2.2. OBJECTIFS DU PROJET
2.3. EXPRESSION DES BESOINS
2.4. PLANIFICATION DU PROJET
2.5. EVALUATION FINANCIERE
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
14
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
2.1. CONTEXTE DU PROJET
Suite à la numérisation du service fiscal, l’on observe au sein du CRIC2 que le traitement
du fichier des contribuables et les autres processus métier sont réalisés à l’aide d’ordinateurs
qui forment un réseau local et ayant accès au réseau public, en l’occurrence Internet. Face à ce
constat, nous avons mené une investigation afin de savoir quelles sont les mesures de sécurité
préventive & même curative misent en œuvre contre d’éventuelles cyberattaques ; le résultat
de cette enquête nous a révélé que seul le pare-feu en entré du réseau et les antivirus installés
sur les hôtes constituent les mesures principales de sécurité; choses que nous avons déplorer
au vue du rang de deuxième contributeurs qu’occupe le CRIC2 avec un taux de plus de cent
(100) milliards au sein de la DGI et de la multitude d’autres solutions existantes pour ces cas,
raison pour laquelle nous avons donc décidé d’orienter notre travail vers la mise en place d’une
solution de réponse automatique aux incidents.
2.2. OBJECTIFS DU PROJET
Pour mieux réaliser ce projet, il est nécessaire pour nous de se fixer un certain nombre
d’objectifs à atteindre :
2.2.1. OBJECTIF GENERAL
L e but premier de ce projet est de mettre en place au sein du CRIC2 un système qui sera
capable de détecter les intrusions, répondre automatiquement aux incidents de sécurité
informatique détecter.
2.2.2. OBJECTIFS SPECIFIQUES
Concernant les objectifs spécifiques, nous avons :
 Surveiller et détecter les intrusions au sein du CRIC2 ;
 Emettre des alertes concernant les évènements de sécurité ;
 Investiguer et répondre à ces évènements ;
 Avoir une vue d’ensemble et une gestion centralisée de tous les équipements ;
 Permettre une supervision du réseau ;
 Collecter les journaux d’évènement.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
15
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
2.3. EXPRESSION DES BESOINS
2.3.1. BESOINS FONCTIONNELS
Nous avons effectué une analyse fonctionnelle auprès des futurs utilisateurs de notre
solution et il en est ressorti en termes de besoins fonctionnels :
 La collecte et l’analyse des fichiers journaux ;
 La journalisation et la remonté des alertes ;
 La surveillance continue du réseau et des hôtes ;
 La détection des intrusions ;
 La détection de vulnérabilités ;
 La réponse aux incidents.
2.3.2. BESOINS NON-FONCTIONNELS
Il s’agit ici des besoins qui caractérisent le système, se sont généralement des besoins en
termes de performance, nous avons donc relevé parmi ceux-ci :
 L’interopérabilité : notre solution devra être capable de communiquer et d’interagir
avec d’autres solutions de sécurité implémentées ou à venir ;
 L’extensibilité : elle devra être capable de donner la possibilité d’ajout de modules
afin d’améliorer sa performance ;
 La disponibilité : le système doit être en état permanent de fonctionnement ;
 La fiabilité : les informations reçues du système doivent être fiable et irréprochable ;
 La facilité de maintenance : les problèmes que rencontreront le système devront être
résolu de façon rapide ;
 La facilité d’utilisation : les fonctionnalités doivent être facilement accessible par
l’utilisateur final.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
16
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
2.4. LES ACTEURS DU PROJET
Tableau 1: Les acteurs du projet
NOMS
FONCTIONS
STATUT
ROLES
CRIC2
Structure d’accueil
Maître d’ouvrage
Définir ses besoins et ses
attentes par rapport au projet
M. TENE PENKA
Encadrant
Simplice
Professionnel
Chef de projet
Responsable
projet,
de
chargé
préparation
et
l’équipe
de
la
de
la
coordination de la réalisation
du projet
M. TEMGOUA
Encadrant Académique
ARNAUD
Responsable
Veiller
au
fonctionnel
fonctionnement
bon
de
la
solution par rapport aux
besoins définis par le maître
d’ouvrage
M. NGUESSI
Elève Ingénieur des
Responsable
Gérer la production et les
NGUEUDIE Steve Ryan
travaux en Informatique
Technique
aspects techniques du projet
(faisabilité, étapes pour la
réalisation)
2.5. LES CONTRAINTES DU PROJET
Les contraintes liées à la réalisation d’un projet sont l’ensemble des facteurs limitant dont
il faut impérativement tenir compte lors de la réalisation de celui-ci. Les principales contraintes
dans la gestion de projet sont au nombre de trois et se font communément qualifier de « triangle
d’or », à savoir : le coût, le délai et la qualité.
2.5.1. LE COÛT
Pour la bonne réalisation de notre projet, un budget va donc lui être alloué afin de couvrir
ses charges financières, le nôtre sera donc déterminé plus bas après l’évaluation financière qui
sera mené.
2.5.2. LE DELAI
Il est extrêmement essentiel car tout bon projet doit avoir une durée de fini de réalisation,
concernant le nôtre la durée de réalisation défini est de soixante-treize (73) jours.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
17
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
2.5.3. LA QUALITE
La réalisation de notre projet doit répondre à un niveau élevé de qualité pour répondre aux
besoins et aux attentes des utilisateurs finaux, il doit pouvoir évoluer au fil du temps et de
l’environnement.
2.6. PLANIFICATION DU PROJET
Afin de respecter la contrainte délai de la réalisation d’un projet, il est capital pour nous
de répartir nos tâches sur des intervalles de temps bien définis. Pour ce faire, nous dresserons
d’abord une liste des tâches à effectuer et ensuite nous réaliserons grâce au logiciel Gantt
Project un diagramme de Gantt pour permettre une représentation visuelle des durées de
réalisations de nos tâches.
2.6.1. TÂCHES
Tableau 2: Tableau périodique des tâches
NOM DE LA TACHE
DATE DE DEBUT
DATE DE FIN
DUREE (EN
JOURS)
Rédaction du rapport
20/07/2022
30/09/2022
73
Accueil, découverte et intégration
20/07/2022
03/08/2022
15
Choix et validation du thème
04/08/2022
07/08/2022
04
Analyse du projet
08/08/2022
14/08/2022
07
Cahier de charges
15/08/2022
21/08/2022
07
Etat de l’art
22/08/2022
28/08/2022
07
Choix de la solution
29/08/2022
31/08/2022
03
Implémentation
01/09/2022
14/09/2022
14
Test de fonctionnalités
15/09/2022
22/09/2022
08
Corrections
23/09/2022
30/09/2022
08
dans la structure
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
18
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
2.6.2. DIAGRAMME DE GANTT
L’image ci –dessous notre diagramme de Gantt
Figure 4: Diagramme de Gantt
2.7. EVALUATIONS FINANCIERES
L’évaluation financière est ici l’estimation du coût de la réalisation de notre projet, car
tout projet aussi petit qu’il soit à un coût. Cependant, la détermination de ce coût n’est pas faite
par hasard, nous prenons en compte les différentes ressources matérielles, logicielles et
humaines, tout en nous référant au tableau fournit par le ministère du commerce résumant les
prix des différentes denrées sur le marché pour l’an 2022, nommé la mercuriale des prix et tarifs
de références pour l’an 2022 et également des prix des boutiques officielles en ligne de certains
produits.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
19
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
2.7.1. RESSOURCES MATERIELLES
Le tableau ci-dessous nous en fait un résumé :
Tableau 3: Evaluation financière des ressources matérielles
(Source : la mercuriale 2022 et les sites officiels)
Description
Quantité
Libellé
Prix
Prix Total (en
Unitaire
FCFA)
(en
FCFA)
Serveur HP
CPU intel Xeon 3.3 Ghz, DD 2To,
ProLiant MLIO
RAM 8GB
01
971 750
971 750
01
321 250
321 250
01
218 500
218 500
01
50 000
50 000
Gen 9
Laptop Dell
Core i5/2.5Ghz, RAM 8GB, DD
Latitude E6410
320Go, écran 14’’
Laptop Dell
Core Duo/1.5Ghz, RAM 2GB, DD320,
inspiron N5050
écran 14’’
Modem Huawei
Routeur 3G wifi, 150 Mbps, batterie
E5730
5200mAh
Total ressources matérielles
1 561 500
2.7.2. RESSOURCES LOGICIELLES
Le tableau ci-dessous présente les ressources logicielles dont nous avons besoin et leurs
prix estimatifs :
Tableau 4: Evaluation financière des ressources logicielles
(Source : les sites officiels)
Libellé
Description
Microsoft Windows
Système
10
d’exploitation
Microsoft Windows
Système
7
d’exploitation
VMware
Type de Licence
Quantité
Prix Unitaire
Prix Total
(en FCFA)
(en FCFA)
Propriétaire
01
126 000
126 000
Propriétaire
01
40 000
40 000
Hyperviseur
Propriétaire
01
145 000
145 000
Microsoft Office
Suite
Propriétaire
01
287 500
287 500
Professionnel 2016
Bureautique
Workstation 16
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
20
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Ubuntu Server 20.04
Système
Libre
01
0
0
Libre
01
0
0
d’exploitation
Kali Linux 2021.4
Système
d’exploitation
Google Chrome
Navigateur Web
Libre
01
0
0
Gantt Project 3.2
Logiciel de
Libre
01
0
0
planification
Total ressources logicielles
598 500
2.7.3. RESSOURCES HUMAINES
L’évaluation financière en ressources humaines est résumé tel nous présente le tableau
ci-après :
Tableau 5: Evaluation financière des ressources humaines
Statut
Nombre
Durée (en jours)
Montant
Montant total (en
journalier (en
FCFA)
FCFA)
Chef de Projet
01
54
250 000
13 500 000
Responsable
01
23
200 000
4 600 000
01
40
150 000
6 000 000
Fonctionnel
Responsable
Technique
Total ressources humaines
24 100 000
2.7.4. EVALUATION GLOBALE DU PROJET
Tableau 6: Evaluation financière globale
Libellé
Montant (en FCFA)
Total ressources matérielles
1 561 000
Total ressources logicielles
598 500
Total ressources humaines
24 100 000
Imprévus (10% total ressources)
2 625 950
Total
28 885 450
L’estimation totale de notre projet s’élève donc à un montant vingt-huit millions huit
cent quatre-vingts cinq milles quatre-cent cinquante.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
21
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
2.8. LES LIVRABLES
En matière de management de projet, un livrable désigne le rendu final ou partiel de la
réalisation du projet. Pour nous il s’agira de notre rendu final, qui sera constitué de :
 Un rapport de stage portant sur notre intégration dans l’entreprise et sur la
réalisation de notre projet ;
 L’implémentation de la solution retenue.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
22
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
CHAPITRE 3 : ETAT DE L’ART
Ce chapitre contiendra nos études faites sur les solutions similaires aux problèmes que
nous voulons résoudre et à la solution que nous voulons mettre en place par la fin nous ferons
une synthèse et porterons nos choix sur ceux qui respectent nos besoins.
APERCU
3.1. GENERALITES SUR LA
SECURITE INFORMATIQUE
3.2. IMPORTANCE DE LA
CYBERSECURITE
3.3. INCIDENTS DE SECURITE
INFORMATIQUE
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
23
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
3.1. GENERALITES SUR LA SECURITE INFORMATIQUE
La sécurité informatique encore appelé cybersécurité est l’ensemble des moyens
techniques, organisationnels, juridiques et humains nécessaires à la mise en place d’outils visant
à empêcher l'utilisation non-autorisée, le mauvais usage, la modification ou le détournement du
système d'information. En gros, elle consiste à protéger un système informatique contre toute
violation, intrusion, dégradation ou vol de données. La sécurité informatique n’a alors qu’un
objectif majeur, celui de la protection des données. Elle repose sur cinq (05) principes majeurs
qui sont : l’intégrité, la disponibilité, la confidentialité, la non répudiation et
l’authentification.
3.1.1. L’INTEGRITE
Ce principe de la sécurité informatique vise à assurer l’intégrité des données
informatiques c’est-à-dire : la donnée doit rester fiable et crédible durant tout son cycle de vie.
Il permet alors de garantir et de préserver la validité et l’exactitude des données. On distingue
généralement deux types d’intégrité :
 L’intégrité physique : elle traite des défis associés au stockage et à la récupération
correcte des données. Les défis liés à l'intégrité physique peuvent inclure des
défauts électromécaniques, des défauts de conception, la fatigue des matériaux, la
corrosion, des pannes de courant, des catastrophes naturelles et d'autres risques ;
 L’intégrité logique : maintient les données inchangées car elles sont utilisées de
différentes manières dans des bases de données. Elle protège également les données
contre les erreurs humaines et attaques informatiques, mais d’une manière bien
différente de l’intégrité physique.
3.1.2. LA DISPONIBILTE
La donnée doit être accessible en permanence pour toutes les personnes autorisées à
l’endroit et à l’heure prévue. Cela permet de ne pas être pénalisé en passant à côté
d’informations ou bien ne pas pouvoir accomplir une tâche ou une fonction.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
24
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
3.1.3. LA CONFIDENTIALITE
La mission est ici de maintenir une non-divulgation des données et/ou leur nonaccessibilité aux personnes ou systèmes non autorisés. La confidentialité exige également que
celui qui reçoit l’information ne puisse pas la transmettre à d’autres sans l’aval du propriétaire
ou du gestionnaire. En effet, toutes les entreprises possèdent des informations importantes
qu’elles souhaitent garder confidentielles. Elles concernent souvent l’entreprise elle-même, ses
clients ou ses employés. À titre d’exemple, il peut s’agir de données du type : des identifiants
de comptes utilisateurs, des identifiants bancaires, des détails du processus de fabrication de ses
produits, etc.
3.1.4. LA NON REPUDIATION
La non-répudiation des informations a pour but d’assurer que l’émetteur d’une
information ne soit pas en mesure de nier qu’il est bien à l’origine de celle-ci. Elle permet de
mettre en œuvre la traçabilité pour conserver les traces de l’état et des mouvements de
l’information. Sans elle, on n’a aucune chance d’avoir l’assurance que les autres critères sont
respectés.
3.1.5. L’AUTHENTIFICATION
L’authentification permet d’assurer l’identité d’un utilisateur grâce à l’usage d’un code
d’accès : ici, l’objectif de la sécurité informatique est de garantir que chaque utilisateur est bien
celui qu’il dit être. Le contrôle d’accès, par un mot de passe par exemple, permet de limiter la
consultation ou l’utilisation de certaines ressources seulement aux personnes autorisées et de
maintenir la confiance dans les relations d’échange. Ainsi elle est, pour un système
informatique, un processus permettant au système de s'assurer de la légitimité de la demande
d'accès faite par une entité afin d'autoriser l'accès de cette entité à des ressources du système.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
25
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
3.2. IMPORTANCE DE LA CYBERSECURITE POUR LES
ENTREPRISES
Avec l’avènement du monde numérique et des moyens de communications modernes,
Toutes les entreprises utilisent des outils digitaux et des systèmes d’informations modernes
dans leurs activités professionnelles au quotidien, pour le traitement de leurs données en interne
et aussi les données de leurs clients. Les différents objectifs de la sécurité informatique ont tous
pour mission de protéger ces données-là. En effet, de plus en plus d’entreprises sont victimes
de cyberattaques, Ces attaques malveillantes profitent d’une faille de sécurité dans le système
informatique pour essayer de subtiliser de l’information ou des données confidentielles d’où
l’importance majeure de la cybersécurité au sein des entreprises. Néanmoins la cybersécurité à
d’autres objectifs satellite pour l’entreprise à savoir :
 Maintenir la productivité : la sécurité des infrastructures informatiques est
excellente pour éviter les interruptions de productivité au sein des entreprises ;
 Eviter les pertes financières : certaines entreprises considèrent la mise en place
de certains systèmes de sécurité coûteuse mais ils n’ont pas idée des pertes que
peut engendrer une cyberattaque ;
 Augmentation de la crédibilité : Les violations de données peuvent souvent
nuire à la réputation des entreprises. L’ensemble du marché est en concurrence
pour gagner la confiance des tiers (clients, fournisseurs, etc.).
3.3. INCIDENTS DE SECURITE INFORMATIQUE
Selon l’Information Technology Infrastructure Library (ITIL), un incident en
informatique est défini comme tout événement qui ne fait pas partie du fonctionnement standard
d'un service et qui cause, ou peut causer, une interruption ou une diminution de la qualité de ce
service. Pour la norme ISO/IEC 27000, Il s’agit d’un ou plusieurs événements indésirables
ou inattendus, présentant une probabilité forte de compromettre les opérations liées à l’activité
de l’organisme et de menacer la sécurité de l’information.
Pour résumer, un incident informatique est un événement ou une panne imprévue
occasionnant la perturbation ou le dysfonctionnement d’un parc informatique. Le problème
détecté empêche l’utilisateur de réaliser une tâche ou d’utiliser un service informatique. Il
l’entrave dans l’exercice de ses missions quotidiennes et affecte sa productivité.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
26
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
De façon spécifique, un incident de sécurité informatique porte atteinte à la disponibilité,
la confidentialité ou l’intégrité d’un bien. Principalement, les incidents de sécurité informatique
sont des menaces couramment qualifiées de cyberattaques.
3.3.1. LES DIFFERENTS CYBERATTAQUES
Comme énoncé plus haut, une cyberattaque est le fait de mettre en œuvre des actes
malveillants contre les systèmes informatiques afin de compromettre leur bon fonctionnement.
Ils en existent plusieurs, mais les plus courantes sont :
 L’usurpation d’adresse IP : communément appelé IP Spoofing, cette attaque
consiste à la création de paquets IP (Internet Protocol) contenant une adresse source
modifiée afin de cacher l’identité de l’expéditeur et se faire passer pour un autre système
informatique de confiance, ainsi l'identité de l'attaquant est cachée.
 Man in the middle (MITM) ou attaque de l’homme au milieu : est un type
d'attaque d'écoute clandestine, où les attaquants interrompent une conversation ou un
transfert de données en cours. Après s'être insérés au « milieu » de l’échange, les
attaquants se font passer pour des participants légitimes. Cela permet à un attaquant
d'intercepter des informations et des données de l'une ou l'autre des parties tout en
envoyant des liens malveillants ou d'autres informations aux deux participants légitimes
d'une manière qui pourrait ne pas être détectée avant qu'il ne soit trop tard. Dans cette
attaque, le participant du milieu (l’attaquant) manipule la conversation à l'insu de l'un
ou l'autre des deux participants légitimes, agissant pour récupérer des informations
confidentielles et autrement causer des dommages.
 Le Phishing : encore appelé hameçonnage, est une pratique malveillante qui
consiste à récupérer des informations personnelles sur un internaute. L’attaquant fait
croire à la victime qu'elle s'adresse à un tiers de confiance (banque, administration, etc.),
afin de lui soutirer des renseignements personnels comme ses mots de passes, numéro
de carte de crédit, numéro ou photocopie de la carte d'identité etc. En effet, le plus
souvent, une copie exacte d'un site internet est réalisée dans l'optique de faire croire à la
victime qu'elle se trouve sur le site internet officiel où elle pensait se connecter. La
victime va ainsi saisir ses identifiants personnels qui seront récupérés par celui qui a
créé le faux site, il aura ainsi accès aux données personnelles de la victime et pourra
dérober tout ce que la victime possède sur ce site.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
27
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
 Le Ransomware : ou rançongiciel en français, est un programme malveillant
prenant en otage les données. Il chiffre et bloque les fichiers contenus dans l’ordinateur
de sa cible et demande une rançon en échange d'un moyen de déchiffrement. Le
cybercriminel met l’ordinateur ou le système d’information de la victime hors d’état de
fonctionner de manière annoncée réversible. L’utilisateur perd ainsi le contrôle de toutes
les informations stockées sur l’appareil. L’attaquant adresse alors un message à la
victime en lui proposant de lui fournir le moyen de déchiffrer ses données contre le
paiement d’une rançon. Le pirate exige que la rançon soit payée en cryptomonnaie
(Bitcoin, Monero ou Ethereum par exemple), car l’utilisation de ces monnaies virtuelles
peut leur garantir un certain anonymat et compliquer fortement la tâche des autorités
pour les tracer.
 Déni de service : couramment abrégé Dos (Denial of service), Le déni de
service est une attaque réseau qui empêche l'utilisation légitime des ressources d'un
serveur en surchargeant celui-ci de requêtes erronées. Les ordinateurs disposent de
ressources limitées, puissance de calcul ou mémoire par exemple. Lorsqu'elles
atteignent leurs limites, le programme peut se bloquer ou planter, ce qui le rend
indisponible. Une attaque DoS consiste en diverses techniques pour saturer ces
ressources et faire en sorte qu'un serveur ou un réseau ne soit plus disponible pour ses
utilisateurs légitimes, ou au moins pour faire fonctionner le serveur plus lentement. Elle
peut provenir de plusieurs sources, là on parle alors d'attaque par déni de service
distribuée (DDoS pour Distributed Denial of Service).
Toutes les cyberattaques aussi diverses soient-elles, sont de plus en plus sophistiquées,
complexes, et elles comprennent aujourd’hui tout un écosystème bien organisé. En
cybersécurité, les techniques, tactiques et procédures (TTP) sont une approche pour profiler
et contextualiser les opérations d’une cyberattaque. Être capable d’identifier les TTP d’une
attaque complexe nous permettra de mieux comprendre son fonctionnement. Le point commun
entre toutes ses attaques est qu’elles suivent un ensemble d’étapes bien définit et établit comme
étant le cycle d’une cyberattaque par le « MITRE ATT&CK ». Alors, le cycle d’une
cyberattaque comprend sept (07) phases principales comme nous le montre l’image ci-dessous :
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
28
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Figure 5: Résumé des étapes d'une cyberattaque selon le Mitre
(Source : Openclassroom.com)
Essayons donc de comprendre les étapes définies dans la figure présenté plus haut :
 Enquêter (Recon) : l’attaquant recherche des informations sur sa cible Il peut
également faire de la collecte d’information, qui sera utilisée pour les phases
suivantes, telles que la recherche de vulnérabilité. En gros il effectue de la
reconnaissance.
 Outiller (weaponize) : ’attaquant définit et prépare les outils nécessaires pour la
compromission. En fonction de la reconnaissance effectuée et du type d’attaque
qu’il veut mener, l’attaquant effectue le choix de ses outils.
 Déployer (Deliver) : ici, il déploie les attaques précédemment définies afin de
compromettre les cibles. Les vecteurs d’infection sont utilisés lors de cette phase.
 Exploiter (Exploit) : l’exploitation consiste ici à déployer les outils après la
compromission initiale. L’attaquant pourra également effectuer des élévations de
privilèges. À partir de cette étape, il faut que votre monitoring de la sécurité puisse
détecter ses actions, car l’attaquant a la main sur votre système.
 Contrôler (control) : l’attaquant commence à prendre le contrôle des systèmes
compromis, et effectue une reconnaissance interne de l’entreprise. On parle
également de mouvements latéraux.
 Exécuter (execute) : Pendant l'exécution, l’attaquant met en place les actions
finales, comme l’exfiltration de données sensibles.
 Maintenir (maintain) : enfin, l’attaquant garde la main sur le système en
maintenant un accès distant au système compromis.
N.B : Un attaquant peut rester sur un réseau pendant plusieurs mois avant que vous le
détectiez.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
29
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
3.3.2. LES MESURES DE DETECTION ET DE PREVENTION
Les pirates informatiques développent rapidement de nouvelles techniques, plus
complexes, pour mener une cyberattaque. La nécessité de montrer une meilleure résilience et
d’avoir des solutions de protection puissantes est donc essentielle et repose sur l’usage de
normes (comme ISO 27000), de référentiels (comme ITIL) et de logiciels dédiés.
La détection et la prévention d’intrusion sont des facteurs cruciaux d’une infrastructure
informatique sécurisée de manière optimale. Ces mesures aideront à identifier les failles de
sécurité et à les prévenir. Il en existe plusieurs mais celles les plus courantes et ayant retenu
notre attention sont : la définition une politique de sécurité, la suite de sécurité IPsec, le parefeu, le serveur Proxy, la DMZ, les antivirus, les IDS, le SOC, le SIEM…
3.3.2.1.
NOTION DE POLITIQUE DE SECURITE
Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité
informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble
des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. Ce
document est unique et personnalisé, car il est établi en tenant compte du fonctionnement, de
l’environnement, de la composition du système d’information de l’entreprise et des risques
informatiques qui lui sont propres
La politique de sécurité informatique couvre tous les pans de protection informatique de
la structure, notamment la sécurité de l’infrastructure, la sécurité des accès, la sécurité de
l’intranet face aux réseaux externes.
3.3.2.2.
LA SUITE DE SECURITE IPSEC
Pour faire face aux faiblesses de sécurité du protocole IPv4 notamment la faiblesse
d'authentification des paquets IP, la faiblesse de confidentialité des paquets IP entre-autres, une
suite de protocoles de sécurité pour IP, appelée IPsec (Internet Protcocol Security), a été définie
par l'I.E.T. F (Internet Engineering Task Force) afin d'offrir des services de chiffrement et
d'authentification pour assurer des communications privées et protégées sur des réseaux IP. Elle
offre des services de contrôle d'accès, d'intégrité des données, d'authentification de l'origine des
données, de parade contre les attaques de type paquets rejoués (replay) et de confidentialité.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
30
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
3.3.2.3.
LE PARE-FEU
Un pare-feu en anglais « firewall », est un système permettant de protéger un ordinateur
ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers. C'est un logiciel et/ou un
matériel qui inspecte les paquets entrants et sortants du réseau afin d'autoriser ou d'interdire leur
passage en se basant sur un ensemble de règles comme par exemple les Listes de contrôle
d’accès (ACL : Access Control List). Il enregistre également les tentatives d'intrusions dans
un journal transmis aux administrateurs du réseau et permet de contrôler l'accès aux applications
et d'empêcher le détournement d'usage.
3.3.2.4.
LE SERVEUR PROXY
Un serveur proxy ou serveur mandataire, est Un système qui fait l'intermédiaire entre le
matériel (ordinateur, smartphone, tablette) et un autre réseau, généralement internet. Un proxy
est donc un ensemble de processus permettant d'éliminer la connexion directe entre les
applications des clients et les serveurs. Les organisations utilisent les proxys pour permettre à
des machines de leur réseau d'utiliser Internet sans risque et sans que les utilisateurs externes
ne soient capables d'accéder à ce réseau.
3.3.2.5.
LA DMZ (DeMilitarized Zone)
Une DMZ littéralement par zone démilitarisé est une zone tampon d'un réseau
d'entreprise, située entre le réseau local et Internet, après le pare-feu. Il s'agit d'un réseau
intermédiaire regroupant des serveurs publics (Web, DHCP, mails, DNS, etc.). Ces serveurs
devront être accessibles depuis le réseau interne de l'entreprise et pour certains, depuis les
réseaux externes. Le but est ainsi d'éviter toute connexion directe au réseau interne.
3.3.2.6.
LES ANTIVIRUS
Les antivirus sont des programmes qui permettent de détecter la présence de virus et
programmes malveillants sur un ordinateur et de les supprimer. L'antivirus analyse les fichiers
entrants (fichiers téléchargés ou courriers électroniques) et, périodiquement, la mémoire vive
de l'ordinateur et les périphériques de stockage comme les disques durs, internes ou externes,
les clés USB et les cartes à mémoire flash. La détection d'un logiciel malveillant peut reposer
sur trois méthodes à savoir :
 Reconnaissance d'un code déjà connu (appelé signature) et mémorisé dans une base
de données virale ;
 Analyse du comportement d'un logiciel (méthode heuristique) ;
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
31
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
 Reconnaissance d'un code typique d'un virus.
3.3.2.7.
LES IDS (Intrusion Detection System)
Un IDS, en français système de détection d’intrusion est un software ou un hardware,
voire une combinaison des deux utilisé, pour détecter l'activité d'un intrus dans un réseau. On a
plusieurs types d'IDS disponibles de nos jours qui sont caractérisés par des surveillances et des
approches d'analyse différentes. On en dénombre essentiellement trois types à savoir :
 Network-Based IDS (NIDS) ou Systèmes de détection d'intrusion réseau : il a
pour rôle essentiel l’analyse, le contrôle et l’interprétation du le trafic sur le réseau
pour identifier les activités suspectes.
 Host Based IDS (HIDS) ou Systèmes de détection d'intrusion de basé sur
l’hôte : le HIDS analyse le fonctionnement et l'état des machines sur lesquelles il
est installés afin de détecter les attaques en se basant sur des démons de services.
L'intégrité des systèmes est alors vérifiée périodiquement et des alertes peuvent être
générées. Comme ils n'ont pas à contrôler le trafic du réseau mais "seulement" les
activités d'un hôte ils se montrent subtilement plus précis sur les types d'attaques
subies.
 Les systèmes de détection d'intrusion hybrides : ces types d'IDS sont utilisés dans
des environnements décentralisés. Ils centralisent les informations en provenance de
plusieurs emplacements sur le réseau. Le but de ces IDS est d'avoir une vision
globale des composants du système d'information en permettant une supervision
centralisée en matière d'alertes d'intrusions remontées par les NIDS et les HIDS
présents sur l'architecture du réseau supervisé.
3.3.2.8.
LE SOC (Security Operations Center)
Un SOC en français Centre des Opérations de Sécurité, est une équipe dédiée à la
supervision de la sécurité du système d’information. Pour ce faire, elle utilise des outils de
monitoring, des outils de collecte, d’intervention à distance et de corrélation d’événements. Il
recherche les signes d’un incident ou d’une compromission, par exemple des signaux faibles
ou des comportements anormaux. Cette surveillance aide à la détection des événements de
sécurité : intrusion, exécution de code non autorisé, exploits, élévation de privilèges, tentative
d'accès à un compte admin, etc. Pour gérer les alertes et détecter des intrusions, les équipes
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
32
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
SOC utilisent un Security Information Event Management (SIEM). C’est un des outils centraux
et même le plus important dans la mise en place du SOC.
Figure 6: Schéma du fonctionnement d'un SOC avec le SIEM
(Source : Openclassroom.com)
Comme vous pouvez le remarquer sur la figure, le SIEM fait la collecte et la corrélation
des logs qui est ensuite analysé par les équipes SOC. En Informatique, un log est un fichier qui
enregistre des événements qui se produisent sur un système d'exploitation ou tout autre
équipement informatique, routeur, switch, serveur. La collecte de logs vous donnera des
informations sur ce qui se passe sur votre infrastructure.
3.3.2.9.
LE SIEM (Security Information and Events Management)
SIEM pour Security Information and Event Management, et gestion des informations
et des évènements de sécurité en français est une solution qui combine des outils à savoir : le
SIM (Security Information Management) et le SEM (Security Event Management). Le
SIM regroupe les technologies responsables de la collecte les données des fichiers journaux
pour l’analyse et les rapports sur les menaces et les événements de sécurité. Quant au SEM, il
permet la surveillance du système en temps réel, informe les administrateurs réseau des
problèmes importants et établit des corrélations entre les événements de sécurité.
En regroupant ces deux fonctions, les S.I.E.M. accélèrent l'identification et l'analyse des
événements de sécurité, ainsi que la restauration qui s'en suit. Il permet de surveiller des
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
33
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
applications, des comportements utilisateurs et des accès aux données. A travers les fonctionnalités
fournies par cette solution, il est donc possible de collecter, de mettre dans un format de
normalisation, d'agréger, de corréler et d'analyser les données des événements issus des machines,
systèmes et applications (pare-feu, systèmes de prévention d'intrusion, machines réseau, machines
de sécurité, applications, bases de données, serveurs). Concrètement, le S.I.E.M. permet à une
entreprise de centraliser toutes les informations de sécurité en un seul outil.
Dans son fonctionnement le SIEM permet :
 La collecte des données : il prend en entrée les événements collectés du système
d’information, des journaux système des équipements sous différents formats
(Syslog, Traps, SNMP etc.).
 La normalisation des données : les informations collectées viennent d'équipements
et logiciels hétérogènes ayant pour la plupart leurs propres moyens de formater les
données. Cette étape permet d'uniformiser les informations selon un format unique
pour faciliter le traitement par le S.I.E.M.
 L’agrégation : c’est le premier traitement des évènements de sécurité. Il consiste
en un regroupement d'évènements de sécurité selon certains critères. Ces critères
sont généralement définis à travers des règles appelées « règles d'agrégation » et
s'appliquent à des évènements ayant des similarités.
 La corrélation : elle correspond à l'analyse d'évènements selon certains critères.
Ces critères sont généralement définis à travers des règles appelées « règles de
corrélation ». Le but de cette étape est d'établir des relations entre évènements, pour
ensuite pouvoir créer des alertes de corrélations, des incidents de sécurité, des
rapports d'activité.
Le SIEM offre également un grand nombre d’avantage parmi lesquelles nous pouvons
citer :
 Surveillance de base : la recherche dans le pool de journaux et la production de
rapports constituent les applications les plus simples du SIEM.
 Détection des menaces : le SIEM peut aider à détecter les menaces internes et
externes, grâce à la surveillance des événements de sécurité en temps quasi réel, aux
alertes automatisées et à l’analyse de l’activité des applications ou des utilisateurs.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
34
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
 Enquête sur les incidents de sécurité et intervention en cas d’incident : il permet
d’effectuer des recherches dans les données historiques, afin de réagir aux incidents
de sécurité et de réaliser des analyses forensiques.
 Contrôle de la conformité : Au-delà des impératifs de sécurité, la technologie
SIEM permet de se conformer aux exigences de reporting imposées par les normes
de conformité.
 Conservation des journaux : Le stockage à long terme des journaux est souvent
nécessaire à des fins de forensique et pour se conformer aux normes sectorielles.
3.3.3. COMPARAISON DES SOLUTIONS EXISTANTES
Il existe une multitude de solution de préventions, de détections et de réponses aux
incidents sur le marché mais chacun a ses caractéristiques personnelles. Durant notre travail,
nous en avons rencontré plusieurs mais quatre ont été sélectionné pour notre étude comparative
à savoir : Ossec, Wazuh, Splunk et Solarwinds Security Event Manager
3.3.3.1.
OSSEC
Figure 7: Logo Ossec
(Source : https://www.g2.com)
OSSEC est un HIDS Open Source. Développé initialement dans le but d'analyser quelques
fichiers journaux de différents serveurs, il est devenu aujourd'hui bien plus puissant qu'un
simple analyseur de logs. Capable d'analyser différents formats de journalisation tels que ceux
d’Apache, Syslog, et intégrant un analyseur d'intégrité système, il est devenu aujourd'hui un
logiciel de détection d'intrusions à part entière. Ses fonctions lui permettent de détecter des
anomalies apparues sur le système. Par exemple, de multiples erreurs 404 dans les logs du
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
35
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
serveur web Apache. En réalité, grâce à un système de règles entièrement paramétrable via des
fichiers XML, il est capable de détecter un grand nombre d’anomalie. De plus, il est doté d'un
système de « réponse active » qui permet à une commande d’être exécutée lors de la détection
d'une anomalie.
3.3.3.2.
WAZUH
Figure 8: Logo Wazuh
(Source : Axonius.com)
Wazuh est une plateforme de prévention, de détection et de réponse aux menaces gratuite
et open source. Il protège les charges de travail sur site, dans des environnements virtualisés,
conteneurisés et cloud. Wazuh est utilisé par des centaines d’entreprises dans le monde, allant
des plus petites aux grandes. C’est un outil de collecte, d’agrégation, d’indexation et d’analyse
de données de sécurité qui aide à détecter les intrusions, les menaces et les comportements
suspects.
La plate-forme de Wazuh comprend des fonctionnalités de sécurité pour les applications
cloud, de conteneur et de serveur. L’analyse des données de journalisation, la détection des
intrusions et des logiciels malveillants, la surveillance de l’intégrité des fichiers, l’évaluation
de la configuration, la détection des vulnérabilités et l’aide à la conformité réglementaire sont
des exemples de ces services.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
36
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
3.3.3.3.
SPLUNK
Figure 9: Logo Splunk
(Source: fr.wikipedia.org)
Splunk Enterprise est un produit logiciel qui permet de rechercher, d'analyser et de
visualiser les données recueillies à partir des composants d’une infrastructure informatique.
Il recueille des données provenant de diverses sources, indexe le flux de données et l'analyse
en une série d'événements individuels qui pourront être afficher ou rechercher. Splunk peut être
administrer via une interface de ligne de commande ou une interface web.
3.3.3.4.
SOLARWINDS SECURITY EVENT MANAGER
Figure 10: Logo Solarwinds
(Source : cpl.thalesgroup.com)
SolarWinds Security Event Manager, ou SolarWinds SEM, est un logiciel de gestion des
journaux des événements de sécurité. Détectez, neutralisez et générez des rapports sur les
données de journaux concernant la sécurité, la gestion des changements et la conformité, le tout
à partir d’un seul emplacement. SEM est conçu pour faciliter la surveillance, la recherche et le
filtrage des journaux provenant de sources diverses dans tous les environnements d’entreprise.
Tout comme LEM, Security Event Manager est un outil SIEM qui vous permet de collecter, de
corréler et de rechercher automatiquement des données de journaux pour effectuer des analyses
criminalistiques efficaces.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
37
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Tableau 7: Tableau de comparaison entre les IDS existants
NOM DU PRODUIT
SOLARWINDS
SPLUNK
OSSEC
WAZUH
Client-Serveur/
Client-
Client-
Local
Serveur/ Local
Serveur/ Local
Propriétaire
Propriétaire
Open source
Open source
Non
Oui
Oui
Oui
LICENCE
Payant
Payant
Gratuit
Gratuit
INSTALLATION ET
Facile
Facile
Facile
Moyen
TYPE
Hybride
HIDS
HIDS
HIDS
INTERFACE
Oui
Oui
Absente
Web
SYSTEMES
Solaris, Mac Os
Mac Os X, Linux,
Solaris, Mac Os
Linux,
D’EXPLOITATION
X, Linux,
Windows
X, Linux,
Windows,
PRIS EN CHARGE
Windows
Windows
Solaris, Mac
SECURITY
EVENT
MANAGER
ARCHITECTURE
OPENSOURCE/
Client-Serveur
PROPRIETAIRE
DETECTION DE
ROOTKIT
CONFIGURATION
GRAPHIQUE
Os X
ALERTES
Log, Mail
Log, Mail
Log, Mail
Log, Mail
REPONSE ACTIVE
Oui
Oui
Oui
Oui
COMMUNAUTE
Inexistante
Inexistante
Assez Réduite Et
Très Grande
Moins Active
Et Active
INTEGRATION DES
Impossible
Impossible
Difficile
Moyen
Non
Oui
Non
Oui
Oui
Oui
Non
Oui
Non
Oui
Non
Oui
API
DETECTION ET
REPONSE ETENDUE
INTEGRATION DU
SIEM
SECURITE CLOUD
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
38
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
SECURITE DES
Non
Non
Non
Oui
CONTENEURS
3.3.4. CHOIX ET JUSTIFICATION DE LA SOLUTION WAZUH
En se basant sur l’étude comparative effectuer plus haut et au regard des besoins
utilisateurs formulés, notre choix est porté sur Wazuh, car premièrement il est Open source, il
a une forte et très active communauté, et enfin il offre des fonctionnalités supérieures à celle
d’un IDS standard. Par la suite, nous allons donc ensemble découvrir le logiciels Wazuh, à
travers ses composants et ses fonctionnalités.
3.3.4.1.
LES COMPOSANTS ET ROLES DE WAZUH
Wazuh pour son fonctionnement requiert principalement quatre éléments (04) dont trois
centraux à savoir Wazuh-Indexer, Wazuh-Server, Wazuh-Dashboard et le dernier qui lui
est décentralisé Wazuh-Agent.
 Wazuh-Indexer : L'indexeur Wazuh est un moteur de recherche et d'analyse en
texte intégral hautement évolutif. Ce composant central Wazuh indexe et stocke
les alertes générées par le serveur Wazuh et fournit des capacités de recherche et
d'analyse de données en temps quasi réel. L'indexeur Wazuh peut être configuré
comme un cluster à un ou plusieurs nœuds, offrant évolutivité et haute
disponibilité. L'indexeur Wazuh stocke les données sous forme de documents
JSON. Chaque document met en corrélation un ensemble de clés, de noms de
champs ou de propriétés, avec leurs valeurs correspondantes qui peuvent être des
chaînes, des nombres, des booléens, des dates, des tableaux de valeurs, des
géolocalisations ou d'autres types de données. Un index est une collection de
documents liés les uns aux autres. Les documents stockés dans l'indexeur Wazuh
sont répartis dans différents conteneurs appelés fragments. En répartissant les
documents sur plusieurs fragments et en répartissant ces fragments sur plusieurs
nœuds, l'indexeur Wazuh peut assurer la redondance. Cela protège votre système
contre les pannes matérielles et augmente la capacité de requête lorsque des nœuds
sont ajoutés à un cluster.
Wazuh utilise quatre index différents pour stocker différents types d'événements :
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
39
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Tableau 8: Récapitulatif des composants de Wazuh-indexer
INDEX
DESCRIPTION
Stocke les alertes générées par le serveur Wazuh. Ceux-ci sont créés à chaque
Wazuh-alerts
fois qu'un événement déclenche une règle avec une priorité suffisamment élevée.
Stocke tous les événements (données d'archive) reçus par le serveur Wazuh, qu'ils
Wazuh-archives
déclenchent ou non une règle.
Stocke les données relatives au statut de l’agent Wazuh au fil du temps. Il est
utilisé par l'interface Web pour indiquer quand des agents individuels sont ou ont
Wazuh-monitoring
été actif, ou déconnecté.
Stocke les données relatives aux performances du serveur Wazuh. Il est utilisé
Wazuh-statistics
par l'interface web pour représenter les statistiques de performances
 Wazuh-server : Le composant serveur Wazuh analyse les données reçues des
agents, déclenchant des alertes lorsque des menaces ou des anomalies sont
détectées. Il est également utilisé pour gérer la configuration des agents à distance
et surveiller leur état. Le serveur Wazuh utilise des sources de renseignements sur
les menaces pour améliorer ses capacités de détection. De plus, le serveur Wazuh
peut être intégré à des logiciels externes.
Le serveur Wazuh exécute le moteur d'analyse, l'API RESTful Wazuh, le
service d'inscription d'agent, le service de connexion d'agent, le démon de
cluster Wazuh et Filebeat. Le serveur est installé sur un système d'exploitation
Linux et s'exécute généralement sur une machine physique autonome, une
machine virtuelle, un conteneur Docker ou une instance cloud.
Le schéma ci-dessous représente l'architecture et les composants du serveur :
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
40
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Figure 11: Architecture du serveur Wazuh
(Source : Documentation.wazuh.com)
Le serveur Wazuh comprend plusieurs composants répertoriés ci-dessous qui ont
différentes fonctions, telles que l'inscription de nouveaux agents, la validation de l'identité de
chaque agent et le cryptage des communications entre l'agent Wazuh et le serveur Wazuh.
 Service d'inscription d'agent : Il est utilisé pour inscrire de nouveaux agents. Ce
service fournit et distribue des clés d'authentification uniques à chaque agent. Le
processus s'exécute en tant que service réseau et prend en charge l'authentification
via des certificats TLS/SSL ou en fournissant un mot de passe fixe.
 Service de connexion des agents : Ce service reçoit les données des agents. Il
utilise les clés partagées par le service d'inscription pour valider l'identité de
chaque agent et chiffrer les communications entre l'agent Wazuh et le serveur
Wazuh. De plus, ce service fournit une gestion centralisée de la configuration,
permettant de changer à distance les nouveaux paramètres de l'agent.
 Moteur d'analyse : il s'agit du composant serveur qui effectue l'analyse des
données. Il utilise des décodeurs pour identifier le type d'informations en cours de
traitement (événements Windows, journaux SSH, journaux de serveur Web, etc.).
Ces décodeurs extraient également les éléments de données pertinents des
messages du journal, tels que l'adresse IP source, l'ID d'événement ou le nom
d'utilisateur. Ensuite, en utilisant des règles, le moteur identifie des modèles
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
41
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
spécifiques dans les événements décodés qui pourraient déclencher des alertes et
éventuellement même appeler des contre-mesures automatisées (par exemple,
interdire une adresse IP, arrêter un processus en cours ou supprimer un artefact de
logiciel malveillant).
 API Wazuh RESTful : ce service fournit une interface pour interagir avec
l'infrastructure Wazuh. Il est utilisé pour gérer les paramètres de configuration des
agents et des serveurs, surveiller l'état de l'infrastructure et la santé globale, gérer
et modifier les décodeurs et les règles Wazuh, et interroger l'état des terminaux
surveillés. Le tableau de bord Wazuh l'utilise également.
 Démon de cluster Wazuh : ce service est utilisé pour mettre à l'échelle
horizontalement les serveurs Wazuh, en les déployant en tant que cluster. Ce type
de configuration, associé à un équilibreur de charge réseau, offre une haute
disponibilité et un équilibrage de charge. Le démon de cluster Wazuh est ce que
les serveurs Wazuh utilisent pour communiquer entre eux et rester synchronisés.
 Filebeat : Il est utilisé pour envoyer des événements et des alertes à l'indexeur
Wazuh. Il lit la sortie du moteur d'analyse Wazuh et envoie les événements en
temps réel. Il fournit également un équilibrage de charge lorsqu'il est connecté à
un cluster d'indexeurs Wazuh multi-nœuds.
 Wazuh-Dashboard : est une interface utilisateur Web flexible et intuitive pour
l'exploration, l'analyse et la visualisation des événements de sécurité et des
données d'alerte. Il est également utilisé pour la gestion et le suivi de la plateforme
Wazuh. En outre, il fournit des fonctionnalités de contrôle d'accès basé sur les
rôles (RBAC) et d'authentification unique (SSO). Cette interface Web aide à
naviguer à travers les différents types de données collectées par l'agent Wazuh,
ainsi que les alertes de sécurité générées par le serveur Wazuh. Il est également
possible de générer des rapports et créer des visualisations et des tableaux de bord
personnalisés.
 Wazuh-Agent : il s'exécute sur Linux, Windows, MacOs, Solaris, AIX et d'autres
systèmes d'exploitation. Il peut être déployé sur des ordinateurs portables, des
ordinateurs de bureau, des serveurs, des instances cloud, des conteneurs ou des
machines virtuelles. L’agent est utilisé pour collecter différents types de données
système et applicatives qu'il transmet au serveur Wazuh via un canal crypté et
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
42
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
authentifié, impliquant donc le cryptage et la compression des données en temps
réel. De plus, il inclut des mécanismes de contrôle de flux pour éviter les
« inondations », mettre les événements en file d'attente si nécessaire et protéger la
bande passante du réseau.
L'agent Wazuh a une architecture modulaire, chaque composant est responsable de ses
propres tâches, notamment la surveillance du système de fichiers, la lecture des messages du
journal, la collecte des données d'inventaire, l'analyse de la configuration du système, etc. Ainsi,
les modules d'agent peuvent être gérer via les paramètres de configuration, en adaptant la
solution à un cas d'utilisation particuliers. 'agent Wazuh communique avec le serveur Wazuh
pour expédier les données collectées et les événements liés à la sécurité. En outre, l'agent envoie
des données opérationnelles, signalant sa configuration et son état. Une fois connecté, l'agent
peut être mis à niveau, surveillé et configuré à distance depuis le serveur Wazuh.
Le schéma ci-dessous représente l'architecture et les composants de l'agent :
Figure 12: Architecture et composants de l'agent Wazuh
(Source : Documentation.wazuh.com)
L’on remarque de la figure que l’agent Wazuh se compose de plusieurs modules, et tous
ces modules sont configurables et exécutent différentes tâches de sécurité. Cette architecture
modulaire permet d'activer ou de désactiver chaque composant en fonction de vos besoins de
sécurité.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
43
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
3.3.4.2.
ARCHITECTURE GLOBALES DE WAZUH
L'architecture Wazuh est basée sur les agents exécutés sur les terminaux surveillés, qui
transmettent les données de sécurité au serveur central. Les périphériques sans agent tels que
les pare-feux, les commutateurs, les routeurs et les points d'accès sont pris en charge et peuvent
soumettre activement des données de journal via Syslog, SSH ou à l'aide de leur API. Le serveur
central décode et analyse les informations entrantes et transmet les résultats à l'indexeur Wazuh
pour l'indexation et le stockage.
Le cluster d'indexeurs Wazuh est un ensemble d'un ou plusieurs nœuds qui communiquent
entre eux pour effectuer des opérations de lecture et d'écriture sur les index. Les petits
déploiements Wazuh, qui ne nécessitent pas de traiter de grandes quantités de données, peuvent
facilement être gérés par un cluster à nœud unique. Les clusters à plusieurs nœuds sont
recommandés lorsqu'il existe de nombreux points de terminaison surveillés, lorsqu'un grand
volume de données est prévu ou lorsqu'une haute disponibilité est requise.
Pour les environnements de production, il est recommandé de déployer le serveur Wazuh
et l'indexeur Wazuh sur différents hôtes. Dans ce scénario, Filebeat est utilisé pour transmettre
en toute sécurité les alertes Wazuh et les événements archivés au cluster de l'indexeur Wazuh
(nœud unique ou multinœud) à l'aide du cryptage TLS.
Le schéma ci-dessous représente une architecture de déploiement Wazuh. Il montre ses
composants et comment le serveur Wazuh et les nœuds de l’indexeur Wazuh peuvent être
configurés en tant que clusters, offrant un équilibrage de charge et une haute disponibilité.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
44
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Figure 13: Architecture de déploiement de Wazuh
(Source : Documentation.wazuh.com)
Plusieurs services sont utilisés pour la communication entre les composants Wazuh, ce
qui implique une utilisation de nombreux ports. Le tableau ci-dessous nous présente les
différents ports utilisés par ces composants.
Tableau 9: Liste de ports utilisé par Wazuh
COMPOSANTS
PORTS
PROTOCOLES
OBJECTIFS
1514
TCP (par défaut)
Service de connexion d'agents
1514
UDP (facultatif)
Service de connexion d'agent
(désactivé par défaut)
SERVEUR WAZUH
1515
TCP
Service d'inscription des agents
1516
TCP
Démon de cluster Wazuh
514
UDP (par défaut)
Collecteur Wazuh Syslog
(désactivé par défaut)
INDEXEUR WAZUH
514
TCP
Collecteur Wazuh Syslog
55000
TCP
API RESTful du serveur Wazuh
9200
TCP
API RESTful de l'indexeur
Wazuh
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
45
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
9300-9400
TCP
Communication du cluster
d'indexation Wazuh
DASHBOARD
443
TCP
Interface utilisateur Web Wazuh
WAZUH
3.3.4.3.
FONCTIONS DE WAZUH
 La collecte de donnée de journal : est un processus en temps réel permettant de
donner un sens aux enregistrements générés par les appareils. Ce composant peut
recevoir des journaux via des fichiers texte ou des journaux d'événements (logs). Il
peut également recevoir directement les journaux via Syslog distant, ce qui est utile
pour les périphériques réseaux intermédiaires. Le but de ce processus est
l'identification des erreurs d'application ou du système, des mauvaises
configurations, des tentatives d'intrusion, des violations de politique ou des
problèmes de sécurité. Les besoins en mémoire et en processeur de l'agent Wazuh
sont insignifiants puisque sa tâche principale est de transmettre les événements au
gestionnaire.
Figure 14: Flux de collecte et d'analyse des logs
(Source : documentation.wazuh.com)
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
46
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Ici, l’agent Wazuh installer dans le système à surveiller collecte les données des journaux
grâce à son Logcollector et Rsyslog (pour Linux), et les remonte au serveur pour qu’il puisse
les analyser.
 La surveillance de l’intégrité des fichiers : Le système de surveillance de
l'intégrité des fichiers Wazuh surveille les fichiers sélectionnés et déclenche des
alertes lorsque ces fichiers sont modifiés. Le composant responsable de cette tâche
est appelé Syscheck. Ce composant stocke la somme de contrôle cryptographique
et d'autres attributs des fichiers ou des clés de registre Windows et les compare
régulièrement avec les fichiers actuels utilisés par le système, en surveillant les
modifications.
Figure 15: : Flux de surveillance de l'intégrité des fichiers
(Source : documentation.wazuh.com)
Le module FIM (File Integrity Module) est situé dans l'agent Wazuh, où il exécute des
analyses périodiques du système et stocke les sommes de contrôle et les attributs des fichiers
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
47
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
surveillés et des clés de registre Windows dans une base de données FIM locale. Le module
recherche les modifications en comparant les sommes de contrôle des nouveaux fichiers aux
anciennes sommes de contrôle. Tous les changements détectés sont signalés au responsable
Wazuh.
 Audit des données WHO : il intègre une nouvelle fonctionnalité qui obtient les
informations sur les données who-data à partir des fichiers surveillés. Ces
informations contiennent l'utilisateur qui a effectué les modifications sur les fichiers
surveillés et le nom du programme ou le processus utilisé pour les effectuer.
 Détection d’anomalies et de logiciels malveillants : La détection d'anomalies fait
référence à l'action de trouver des modèles dans le système qui ne correspondent pas
au comportement attendu. Une fois qu'un logiciel malveillant (par exemple, un
rootkit) est installé sur un système, il modifie le système pour se cacher de
l'utilisateur. Bien que les logiciels malveillants utilisent une variété de techniques
pour y parvenir, Wazuh utilise une approche assez large pour trouver des modèles
anormaux qui indiquent d'éventuels intrus.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
48
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Figure 16: Flux de détection d'anomalies
(Source : documentation.wazuh.com)
Les vérifications effectuées sont effectuées par Wazuh sur les répertoires surveillés, les
registres surveillés, les appels systèmes, et les signatures de Rootkit pour trouver les anomalies
causées par un intrus ou un malware.
 Détection de vulnérabilités : il est capable de détecter les vulnérabilités dans les
applications installées sur les agents à l'aide du module Vulnerability Detector. Cet
audit logiciel est réalisé grâce à l'intégration de flux de vulnérabilités indexés par les
entreprises comme Canonical, Debian, Red Hat, Arch Linux, ALAS (Amazon
Linux Advisories Security), Microsoft et la base de données américaine nationale
des vulnérabilités.
 Surveillance des appels système : Le système Linux Audit fournit un moyen de
suivre les informations relatives à la sécurité sur votre machine. Basé sur des règles
préconfigurées, Audit fournit une journalisation détaillée en temps réel des
événements qui se produisent sur votre système. Ces informations sont cruciales
pour les environnements critiques afin de déterminer le contrevenant à la politique
de sécurité et les actions qu'il a effectuées.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
49
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
L'audit utilise un ensemble de règles pour définir ce qui doit être capturé dans les fichiers
journaux. Trois types de règles d'audit peuvent être spécifiés :
 Les règles de contrôle permettent de modifier le comportement du système Audit
et une partie de sa configuration.
 Les règles de système de fichiers, également appelées surveillances de fichiers,
permettent d'auditer l'accès à un fichier ou à un répertoire particulier.
 Les règles d'appel système permettent la journalisation des appels système
effectués par des programmes spécifiés.
 Intégration de Virus Total : il peut analyser les fichiers surveillés à la recherche
de contenu malveillant dans ceux-ci. Ceci est possible grâce à une intégration avec
Virus Total, qui est une plate-forme puissante est un service en ligne qui analyse
les fichiers et les URL pour détecter les virus, vers, chevaux de Troie et autres types
de contenus malveillants à l'aide de moteurs antivirus et d'analyseurs de sites Web.
La combinaison de cet outil avec notre moteur FIM fournit un moyen simple
d'analyser les fichiers qui sont surveillés pour les inspecter à la recherche de contenu
malveillant.
 Surveillance des commandes : Wazuh intègre la possibilité de surveiller la sortie
de commandes spécifiques et de traiter la sortie comme s'il s'agissait du contenu d'un
fichier journal. Les commandes à exécuter et à surveiller sont configurées dans le
fichier local des agents individuels
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
50
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Figure 17: Flux de surveillance des commandes
(Source : documentation.wazuh.com)
 Réponse active : Les réponses actives exécutent diverses contre-mesures pour faire
face aux menaces actives, telles que le blocage de l'accès à un agent à partir de la
source de la menace lorsque certains critères sont remplis. Les réponses actives
exécutent un script en réponse au déclenchement d'alertes spécifiques en fonction
du niveau d'alerte ou du groupe de règles. N'importe quel nombre de scripts peut
être lancé en réponse à un déclencheur, cependant, ces réponses doivent être
considérées avec soin. Une mauvaise mise en œuvre des règles et des réponses peut
accroître la vulnérabilité du système.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
51
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Figure 18: Flux de mise en œuvre de la réponse active
(Source : documentation.wazuh.com)
Une réponse active est un script configuré pour s'exécuter lorsqu'une alerte, un niveau
d'alerte ou un groupe de règles spécifique a été déclenché. Les réponses actives sont des
réponses avec état ou sans état défini par les mots clés
 Stateful : Sont configurés pour annuler l'action après une période de temps
spécifiée.
 Stateless : Sont configurés comme des actions ponctuelles sans événement pour
annuler l'effet d'origine.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
52
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
CHAPITRE 4 : IMPLEMENTATION
Ce chapitre fait référence à la réalisation de notre solution. Nous allons présenter toutes
les phases qui nous ont parmi de réaliser notre système de détection et de réponse automatique
aux incidents de la sécurité informatique.
APERCU
4.1. ARCHITECTURE DE
DEPLOIEMENT
4.2. METHODOLOGIE
4.3. MISE EN OEUVRE
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
53
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
4.1. ARCHITECTURE DE DEPLOIEMENT
Une architecture est tout d’abord la manière dont sont agencés les différents éléments
d’un système et comment ils interagissent entre eux. Ainsi après une étude bien détaillée du
projet, nous 0avons matérialisé l’architecture de notre solution comme suitPour le déploiement
de notre solution Wazuh au sein du CRIC2, nous avons opté pour un cluster à nœud unique ;
ceci pour dire que tous nos composants Wazuh seront déployer dans la même machine, comme
illustré par la figure ci-dessous :
Figure 19: Architecture de déploiement Wazuh au sein du CRIC
Comme nous l’avons déjà mentionné plus haut, cette figure représente l’architecture de
l’entreprise avec notre solution implémentée, ceci dans le cas où elle décide de le faire.
Néanmoins, pour effectuer nos tests et démontrer la pertinence de cette solution, nous mettrons
en place un environnement virtuel.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
54
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
4.2. METHODOLOGIE
La démarche décrite ici est celle utilisé pour le déploiement de notre solution dans un
environnement virtuel et nous optons pour la suivante :
 Nous allons grâce à l’hyperviseur VMWare créer une machine virtuelle (l’unique
nœud de notre cluster) dans laquelle sera installer le système d’exploitation
Ubuntu en sa version 20.04 ;
 Par la suite nous déploierons dans cette machine virtuelle tous nos composants
Wazuh ;
 Enfin, nous intègrerons à nos composants Wazuh le SIEM ELK (Elasticsearch
Logstash et Kibana).
4.3. MISE EN ŒUVRE ET CONFIGURATIONS
4.3.1. PREREQUIS
 VMware Workstation : c’est un outil de virtualisation de poste de travail créé par
la société VMware, il peut être utilisé pour tester l'architecture complexe d’un
système d’exploitation ou d’un nouveau logiciel avant de l’installer réellement sur
une machine physique.
Figure 20: Logo VMware Workstation
(Source: clubic.com)
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
55
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
 Ubuntu : c’est un système d’exploitation GNU/Linux fondé sur Debian. Il est
développé, commercialisé et maintenu pour les ordinateurs individuels (desktop),
les serveurs (Server) et les objets connectés (Core) par la société Canonical. Ubuntu
est disponible en deux versions, une qui évolue tous les six mois, et une version
LTS, pour Long Term Support (« Support long terme ») qui évolue tous les deux
ans.
Figure 21: Logo Ubuntu
(Source: Clubic.com)
 ELK : "ELK" est un acronyme pour trois projets en open source : Elasticsearch,
Logstash et Kibana, le tout constitue un SIEM. Elasticsearch est un moteur de
recherche et d'analyse. Logstash est un pipeline côté serveur, destiné au traitement
des données, sa mission consiste à ingérer simultanément des données provenant de
plusieurs sources, puis les transformer et les envoyer vers un Elasticsearch. Kibana
quant à lui est le moteur graphique qui permet de visualiser des données avec des
tableaux et des graphes.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
56
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Figure 22: Logo ELK stack
(Source: elastic.com)
4.3.2. INSTALLATION DE LA VM
La machine virtuelle (VM) utilisé ici présente les caractéristiques suivantes :
Figure 23: Caractéristiques de la VM
Une fois notre machine virtuelle convenablement créer, nous allons à présent y installer
notre système d’exploitation Ubuntu 20.04 :
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
57
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Figure 24: Installation Ubuntu
Après la copies des fichiers systèmes et la finalisation de l’installation, nous avons donc
le bureau d’Ubuntu qui se présente ainsi:
Figure 25: Bureau Ubuntu
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
58
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Mais ce n’est pas encore tout car afin de commencer l’installation de nos composants, il
faut veiller à faire une mise à jour de notre système, ceci via le terminal avec la commande sudo
apt-get update:
Figure 26: Mise à jour Ubuntu
Notre environnement étant donc prêt, nous allons passer à l’installation propre de
Wazuh.
4.3.3. INSTALLATION DE WAZUH ET ELK
Figure 27: Installation Elasticsearch
Pour commencer, nous installons le package Elasticksearch, ceci se fait depuis un
dépôt tel que présenté par l’image ci-après :
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
59
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Ensuite,
nous
téléchargeons
son
fichier
de
configuration
/etc/elasticsearch/elasticsearch.yml comme suit :
Figure 28: Téléchargement du fichier de configurations
Maintenant nous allons grâce à l'outil elasticsearch-certutil créer un certificat :
Figure 29: Création de certificats
L’installation et la configuration de Elasticsearch terminés, nous allons le démarrer,
générer les identifiants de connexion et poursuivre avec l’installation des autres éléments.
Figure 30:Démarrage de Elasticsearch
Figure 31: Génération des identifiants
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
60
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Nous allons à présent installer le serveur Wazuh pour la collecte et l’analyse les données
des agents déployés. Il exécute le gestionnaire Wazuh, l'API Wazuh et Filebeat :
Figure 32: Installation de wazuh-server
Une fois son installation terminée, nous démarrons le service :
Figure 33: Démarrage service wazuh-manager
Filebeat est l'outil du serveur Wazuh qui transmet en toute sécurité les alertes et les
événements archivés à Elasticsearch, on l’installe comme suit :
Figure 34: Installation filebeat
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
61
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Vérifions que Filebeat a été installé avec succès :
Figure 35: Vérification de filebeat
A présent, nous allons passer à l’installation de l’interface Web de visualisation des
événements et des archives stockés dans Elasticsearch, en occurrence Kibana :
Figure 36: Installation de Kibana
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
62
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Une fois effectué, nous installons le plugin Wazuh Kibana
Figure 37: Installation du plugin Wazuh
Maintenant, démarrons le service Kibana :
Figure 38: Démarrage du service Kibana
Le processus d’installation est ainsi terminé et nous allons accédez à l'interface Web et à
l'aide de l’adresse IP de notre serveur Wazuh du mot de passe généré lors du processus
d'installation d'Elasticsearch :
Figure 39: Interface de connexion
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
63
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Après avoir saisi ses identifiants, nous verrons apparaître le tableau de bord qui se présente
comme suit :
Figure 40: Tableau de bord Wazuh
Vous devez inscrire l'agent avant de le connecter au serveur pour la première fois. Ce
processus fournit à l'agent une clé unique utilisée pour l'authentification et le chiffrement des
données.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
64
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
CHAPITRE 5 : RESULTATS ET COMMENTAIRES
Nous allons dans ce chapitre présenter un exemple d’attaque au sein de notre réseau puis
le détecter à travers nos outils et pouvoir réagir automatiquement face à cet incident. Après
avoir implémenté notre solution il est important de mettre à disposition des utilisateurs un
aperçu de notre travail, nous allons continuer avec le chapitre résultats et commentaires.
APERCU
5.1. ARCHITECTURE DE TEST
5.2. SCENARIO ET MISE EN
OEUVRE
5.3. RESULTATS
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
65
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
5.1. ARCHITECTURE DE TEST
Pour effectuer des tests de fonctionnalités sur la solution Wazuh que nous venons de
déployer, nous mettons en place un petit laboratoire de test qui sera constitué de :
Tableau 10: Equipement pour le test
QUANTITE
EQUIPEMENTS
01
PC avec Kali Linux 2021.4
RÔLES
ADRESSES IP
Va nous servir en
Attribué aléatoirement
même temps de
par DHCP
client linux pour le
serveur Wazuh et
d’attaquant dans le
réseau
01
PC avec Ubuntu 20.04
C’est le serveur
192.168.8.101/24
Wazuh
01
PC avec Windows 7
Sera notre client
Attribué aléatoirement
Professionnel
Windows pour
par DHCP
Wazuh et la machine
ciblé par les attaques
01
Modem sans fil Huawei
Celui-ci nous
192.168.8.1
permettra de créer un
réseau sans fil pour
faire communiquer
tous nos PC
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
66
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
Tous ces éléments seront donc disposés dans le réseau comme nous le montre la figure
ci-après :
Figure 41: Architecture de test
5.2. SCENARIO ET MISE EN ŒUVRE
Pour effectuer nos tests, nous avons conçu le scénario suivant :
 Déployer des agents Wazuh sur nos deux machines clientes ;
 Vérifier la communication avec le serveur ;
 Effectuer une découverte du réseau ;
 Mener une attaque ciblant le client Windows ;
 Vérifier la remonter des alertes au niveau du serveur ;
 Vérifier la réponse active.
5.2.1. DEPLOIEMENT DES AGENTS
L'agent Wazuh est comme nous l’avons déjà dit plus haut, multiplateforme et s'exécute
sur les hôtes que l'utilisateur souhaite surveiller. Il communique avec le gestionnaire Wazuh,
en envoyant des données en temps quasi réel via un canal crypté et authentifié.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
67
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
 Installation sur le client Windows : Pour démarrer le processus d'installation, nous
allons d’abord télécharger le programme d’installation de Windows qui nous est
présenté en image ci-dessous
Figure 42: Setup de Wazuh
Une fois ceci effectué, nous allons ouvrir l’invite de commande Windows pour son
installation et sa configuration, il est question de lui indiquer le gestionnaire :
Figure 43: Installation agent Wazuh
Le processus d'installation est maintenant terminé et l'agent Wazuh est installé et
configuré avec succès. Nous allons le démarrer en exécutant :
Figure 44: Démarrage agent wazuh sur windows
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
68
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
 Installation sur le client Linux : Pour déployer l'agent Wazuh sur un système
Linux, il suffit d’ouvrir un terminal en mode administrateur, indiquer le gestionnaire
par son adresse IP et télécharger l’agent à l’aide du gestionnaire de paquet de votre
système :
Figure 45: Installation Wazuh-agent sur Linux
Une fois cette installation terminée, nous allons vérifier son fonctionnement, comme vous
le verrez sur la figure en dessous, le statut « active » de couleur verte indique que notre agent
s’exécute normalement.
Figure 46: Vérification du statut de l'agent
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
69
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
5.2.2. VERIFICATION DE LA COMMUNICATION AVEC LE
SERVEUR
Une fois que nous avons fini avec le déploiement de notre manager et des différents
agents, il est temps de vérifier la communication entre eux, pour ce faire nous allons ouvrir le
tableau de bord de notre manager et là nous verrons si le nombre d’agents enregistré correspond
au nombre d’agent que nous avons déployé :
Figure 47: Dashboard avec agents enregistrés
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
70
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
CONCLUSION GENERALE
Parvenu au terme de notre travail, il était question pour nous de mettre en place une
solution de détection et de réponse automatique aux incidents de sécurité informatique au sein
du CRIC2 afin de fournir un environnement réseau plus sécurisé et permanemment surveiller.
Nous avons implémenté cette solution à l’aide de l’outil open source Wazuh et par
l’exploitation des normes de sécurité informatique. Les différents objectifs pour la réalisation
de ce projet ont été atteints. Grâce à notre solution, le réseau de l’entreprise est désormais
supervisé, les intrusions sont détectées et des alertes sont émises. Ce stage au sein du CRIC2 a
été une expérience très enrichissante, à la fois sur le point de vue personnel et professionnel.
Au niveau professionnel, nos missions de consolidations et de recoupements de listings clients,
nous ont permis de participer concrètement à l’activité du centre d’accueil tout en découvrant
le secteur de la fiscalité, ses acteurs et ses enjeux. Grâce aux précieux conseils et au suivi
journalier de notre encadrant professionnel Monsieur Tene Penka Simplice, nous avons pu
acquérir de nombreuses qualités sur le plan personnel à savoir l’amélioration de nos méthodes
de travail, la ponctualité, l’assiduité, le respect de tous et l’esprit d’équipe. Etant donné qu’il
est impossible d’établir une sécurité à 100% dans le domaine informatique, nous espérons que
l’utilisation de notre solution suscitera l’expression de nouveau besoins pour la perfectionner.
Néanmoins nous avons en perspective la migration vers une solution de sécurisation,
d’orchestration, d’automatisation et de réponse aux incidents (SOAR).
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
71
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
INDEX BIBLIOGRAPHIQUE
I-
OUVRAGES GENERAUX
 Trend Micro, La Sécurité Informatique pour les Nuls, 2010 ;
 Bloch, Laurent_Wolfhugel, Christophe, Sécurité informatique principes et
méthode Eyrolles, 2007, 276p.
 Sébastien Rohaut, PREPARATION à LA CERTIFICATION LPIC-1
II-
OUVRAGES SPECIAUX OU SPECIALISES
 Hamza Kondah, HACKING ET SECURITE : MAÎTRISE LES TECHNIQUES
AVANCEES, 2019, 186p. ;
 Jeff Simon, HACKING PRACTICAL GUIDE FOR BEGINNERS, 2016, 94p.
 David Burgermeister & Jonathan Krier, LES SYSTEMES DE DETECTION
D’INTRUSIONS, 2006, 64p.
III-
OUVRAGES DE METHODOLOGIE (ET DICTIONNAIRES)
 Kalika Michel, Le mémoire de master, mobiliser internet-pour-réussir à
l'université et en grande école, Dunod, 2012, 209 p.
 Benjamin Grange, Réussir une présentation, Eyrolles, 2009, 112 p.
IV-
THESES ET MEMOIRES (OU MONOGRAPHIES)
 CASSANDRA NDOUMBE, « Etude Et Mise En Place D’une Solution De Réponse
Automatique Aux Incidents : Cas D’une Attaque Par Phishing A Afriland First
Bank », INSTITUT UNIVERSITAIRE CATHOLIQUE SAINT-JÉRÔME DE
DOUALA, Mémoire de fin d’études en vue de l’obtention du diplôme d’ingénieur,
2022.
 FOUDA EBOGO Brice, « Etude et mise en place d’un système de gestion des logs
SIEM et détection d’intrusion avec ELK Stack au sein d’une entreprise », Institut
Africain d’informatique,2021.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
I
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
V-
ARTICLES (et AUTRES CONTRIBUTIONS : Manuels, Chroniques,
Conclusions)
 Les 10 capacités essentielles d’un outil SOAR de pointe, 2020, Splunk
 Etat de la cybersécurité en 2022, 2022, Splunk
 Livret d’accueil IGR-IAE /IGA – Année 2020-2021
VI-
TEXTES JURIDIQUES
A- INTERNATIONAUX ET COMMUNAUTAIRES
 RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL
du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre circulation de ces données,
et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
 ISO/IEC 27002, Sécurité de l'information, cybersécurité et protection de la vie
privée - Mesures de sécurité de l'information, 3ème édition 2022.
B- NATIONAUX
 LOI
N°2010/012
DU
21
DECEMBRE
2010
RELATIVE
A
LA
CYBERSECURITE ET LA CYBERCRIMINALITE AU CAMEROUN.
 Loi n°2010/021 du 21 décembre 2010 régissant le commerce électronique au
Cameroun
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
II
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
WEBOGRAPHIE
 https://www.varonis.com/fr/blog/plan-reponse-incidents consulté le lundi 04/07/22
à 11H25 pour les notions sur les différents incidents;
 https://www.promosoft.fr/mettre-en-place-politique-securite-systemesinformatiques/ consulté le mardi 05/07/22 à 01H10 pour les notions sur la mise en
place de la politique de sécurité;
 https://www.ivision.fr/mettre-en-place-une-politique-de-securite-informatique-lesbonnes-pratiques/ consulté le jeudi 14/07/22 à 15H00 pour les notions sur la mise
en place de la politique de sécurité;
 https://documentation.wazuh.com/current/getting-started/index.html consulté le
lundi 18/07/22 à 02H50 pour la documentation sur l’outil wazuh;
 https://phdtopic.com/latest-research-topics-in-networking/ consulté le mercredi
26/07/22 à 14H05 pour les notions sur le réseau aspect sécurité;
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
III
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
GLOSSAIRE
Analyste de sécurité : est un personnel de l’entreprise chargé de détecter tous les incidents de
sécurité (cyberattaques initiées par des cybercriminels) qui surviennent sur l’infrastructure
informatique, les analyser et les décortiquer jusqu'à comprendre la source de l'infection.
Appel Système : désigne le moment où un programme s'interrompt pour demander au système
d'exploitation d'accomplir pour lui une certaine tâche.
Contribuable : est une personne qui paie des impôts.
Cybercriminel : est un individu utilisant les systèmes informatiques pour commettre des
infractions pénales.
Déclaration : est un document rempli par le contribuable et permettant à l'administration fiscale
de calculer le montant de l’impôt qu’il devra payer
Droit de communication : est une correspondance adressée par l’administration fiscale à un
tiers afin d'obtenir des renseignements sur la situation financière d’un contribuable.
FIM : est un processus interne qui consiste à valider l' intégrité des fichiers du système
d'exploitation et des logiciels d'application à l' aide d'une méthode de vérification entre l'état
actuel du fichier et une bonne ligne de base connue.
Hardware : les éléments matériels d'un système informatique
Immatriculation : est l’attribution d’un numéro d’identifiant unique à un contribuable tout en
le rattachant à un centre des impôts.
Impôts : Prélèvement que l'État opère sur les ressources des personnes physiques ou morales
afin de subvenir aux charges publiques.
Incident de sécurité informatique : est un événement qui porte atteinte à la disponibilité, la
confidentialité ou l’intégrité d’un bien.
IPtable : est un logiciel libre de l'espace utilisateur Linux grâce auquel l'administrateur système
peut configurer des règles dans le pare-feu en espace noyau
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
IV
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
ISO 27000 : est une norme de sécurité de l'information.
ITIL : est un ensemble d'ouvrages recensant les bonnes pratiques du management des systèmes
d'informations
Json : est un format de données textuelles dérivé de la notation des objets du langage
JavaScript. Il permet de représenter de l’information de façon structurée.
Logcollector : est un outil qui collecte la sortie de log dans un système et l'envoie à qui de droit
dans le système
Plugin : est un programme informatique conçu pour ajouter des fonctionnalités à un autre
logiciel appelé logiciel hôte, il étend donc les fonctionnalités de celui-ci.
Software : en français signifie logiciel et est un ensemble de séquences d’instructions
interprétables par une machine et d’un jeu de données nécessaires à ces opérations
Somme de contrôle cryptographique : en anglais checksum est le résultat de l’exécution d’un
algorithme, appelé fonction de hachage cryptographique, sur une donnée, généralement pour
vérifier son intégrité de données
Syslog : est un protocole définissant un service de journaux d’événements d’un système
informatique.
TCP/IP : est une suite de protocoles de communication utilisés pour interconnecter des
dispositifs de réseau en local ou sur internet.
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
V
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
ANNEXES
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
VI
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
TABLES DES MATIERES
DEDICACE ................................................................................................................................. i
REMERCIEMENTS .................................................................................................................. ii
SOMMAIRE ............................................................................................................................. iii
LISTES DES FIGURES............................................................................................................ iv
LISTES DES TABLEAUX ...................................................................................................... vii
LISTES DES ABBREVIATIONS .......................................................................................... viii
RESUME.................................................................................................................................... x
ABSTRACT .............................................................................................................................. xi
INTRODUCTION GENERALE................................................................................................ 1
PARTIE 1 : PHASE D’INSERTION ........................................................................................ 2
CHAPITRE 1 : ACCUEIL EN ENTREPRISE ...................................................................... 3
1.1.
ACCUEIL ......................................................................................................... 4
1.2.
INTEGRATION ............................................................................................... 4
CHAPITRE 2 : PRESENTATION DE LA STRUCTURE D’ACCUEIL ............................. 5
2.1.
HISTORIQUE .................................................................................................. 6
2.2.
MISSIONS........................................................................................................ 6
2.3.
SITUATION GEOGRAPHIQUE..................................................................... 7
2.4.
ORGANIGRAMME DU CRIC2...................................................................... 8
PARTIE 2 : PHASE TECHNIQUE ........................................................................................ 10
CHAPITRE 1 : ANALYSE DU PROJET ............................................................................ 11
1.1.
PRESENTATION DU PROJET .................................................................... 12
1.2.
ETUDE DE L’EXISTANT ............................................................................ 12
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
VI
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
1.3.
PROBLEMATIQUE ...................................................................................... 13
CHAPITRE 2 : CAHIER DE CHARGES ............................................................................ 14
2.1.
CONTEXTE DU PROJET ............................................................................. 15
2.2.
OBJECTIFS DU PROJET .............................................................................. 15
2.2.1.
OBJECTIF GENERAL .................................................................................. 15
2.2.2.
OBJECTIFS SPECIFIQUES .......................................................................... 15
2.3.
EXPRESSION DES BESOINS ...................................................................... 16
2.3.1.
BESOINS FONCTIONNELS ........................................................................ 16
2.3.2.
BESOINS NON-FONCTIONNELS .............................................................. 16
2.4.
LES ACTEURS DU PROJET ........................................................................ 17
2.5.
LES CONTRAINTES DU PROJET .............................................................. 17
2.5.1.
LE COÛT ....................................................................................................... 17
2.5.2.
LE DELAI ...................................................................................................... 17
2.5.3.
LA QUALITE................................................................................................. 18
2.6.
PLANIFICATION DU PROJET .................................................................... 18
2.6.1.
TÂCHES ......................................................................................................... 18
2.6.2.
DIAGRAMME DE GANTT .......................................................................... 19
2.7.
EVALUATIONS FINANCIERES ................................................................. 19
2.7.1.
RESSOURCES MATERIELLES................................................................... 20
2.7.2.
RESSOURCES LOGICIELLES .................................................................... 20
2.7.3.
RESSOURCES HUMAINES ......................................................................... 21
2.7.4.
EVALUATION GLOBALE DU PROJET..................................................... 21
2.8.
LES LIVRABLES .......................................................................................... 22
CHAPITRE 3 : ETAT DE L’ART ....................................................................................... 23
3.1.
3.1.1.
GENERALITES SUR LA SECURITE INFORMATIQUE .......................... 24
L’INTEGRITE................................................................................................ 24
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
VI
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
3.1.2.
LA DISPONIBILTE ....................................................................................... 24
3.1.3.
LA CONFIDENTIALITE .............................................................................. 25
3.1.4.
LA NON REPUDIATION ............................................................................. 25
3.1.5.
L’AUTHENTIFICATION.............................................................................. 25
3.2.
IMPORTANCE DE LA CYBERSECURITE POUR LES ENTREPRISES . 26
3.3.
INCIDENTS DE SECURITE INFORMATIQUE ......................................... 26
3.3.1.
LES DIFFERENTS CYBERATTAQUES ..................................................... 27
3.3.2.
LES MESURES DE DETECTION ET DE PREVENTION.......................... 30
3.3.2.1. NOTION DE POLITIQUE DE SECURITE .............................................. 30
3.3.2.2. LA SUITE DE SECURITE IPSEC............................................................ 30
3.3.2.3. LE PARE-FEU........................................................................................... 31
3.3.2.4. LE SERVEUR PROXY ............................................................................. 31
3.3.2.5. LA DMZ (DeMilitarized Zone) ................................................................. 31
3.3.2.6. LES ANTIVIRUS ...................................................................................... 31
3.3.2.7. LES IDS (Intrusion Detection System)...................................................... 32
3.3.2.8. LE SOC (Security Operations Center) ....................................................... 32
3.3.2.9. LE SIEM (Security Information and Events Management) ...................... 33
3.3.3.
COMPARAISON DES SOLUTIONS EXISTANTES .................................. 35
3.3.3.1. OSSEC ....................................................................................................... 35
3.3.3.2. WAZUH ..................................................................................................... 36
3.3.3.3. SPLUNK .................................................................................................... 37
3.3.3.4. SOLARWINDS SECURITY EVENT MANAGER ................................. 37
3.3.4.
CHOIX ET JUSTIFICATION DE LA SOLUTION WAZUH ...................... 39
3.3.4.1. LES COMPOSANTS ET ROLES DE WAZUH ....................................... 39
3.3.4.2. ARCHITECTURE GLOBALES DE WAZUH ......................................... 44
3.3.4.3. FONCTIONS DE WAZUH ....................................................................... 46
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
IX
MISE EN PLACE D’UNE SOLUTION DE DETECTION
ET DE REPONSE AUTOMATIQUE AUX INCIDENTS DE
SECURITE INFORMATIQUE AU SEIN DU CRIC 2
CHAPITRE 4 : IMPLEMENTATION ................................................................................. 53
4.1.
ARCHITECTURE DE DEPLOIEMENT ...................................................... 54
4.2.
METHODOLOGIE ........................................................................................ 55
4.3.
MISE EN ŒUVRE ET CONFIGURATIONS ............................................... 55
4.3.1.
PREREQUIS .................................................................................................. 55
4.3.2.
INSTALLATION DE LA VM ....................................................................... 57
4.3.3.
INSTALLATION DE WAZUH ET ELK ...................................................... 59
CHAPITRE 5 : RESULTATS ET COMMENTAIRES ....................................................... 65
5.1.
ARCHITECTURE DE TEST ......................................................................... 66
5.2.
SCENARIO ET MISE EN ŒUVRE .............................................................. 67
5.2.1.
DEPLOIEMENT DES AGENTS ................................................................... 67
5.2.2.
VERIFICATION DE LA COMMUNICATION AVEC LE SERVEUR ....... 70
CONCLUSION GENERALE .................................................................................................. 71
INDEX BIBLIOGRAPHIQUE ...........................................................................................LXXI
WEBOGRAPHIE ................................................................................................................LXXI
GLOSSAIRE .......................................................................................................................LXXI
ANNEXES ..........................................................................................................................LXXI
TABLES DES MATIERES ................................................................................................LXXI
Rédigé par NGUESSI NGUEUDIE Steve Ryan, Etudiant En 3ième Année Option : Systèmes Et Réseaux,
À « l’IAI-Cameroun, Centre D’Excellence Technologique Paul BIYA », Année Académique : 2021-2022
X