Memoire Master Harris Diallo Ver 2.0 (Corrige) [PDF]

Zitiervorschau

Mémoire de master professionnel

SYSTÈMES D’INFORMATION SÉCURITÉ DES SYSTÈMES D’INFORMATION

THÈME

Mécanismes de gestion des alertes et des incidents basés sur un SIEM Sous la direction de :

Présentée et soutenu par :

M. Haikreo ADJEOUA

M. Harris Assane DIALLO

Directeur Général de 4itsec-africa Enseignant vacataire a l’ESMT PROMOTION 2020-2021 Octobre 2021 1

Mémoire de licence professionnelle

DEDICACE

À nos très chers parents

2

Mémoire de licence professionnelle

REMERCIEMENTS

J’adresse mes remerciements aux personnes qui m’ont aidé dans la réalisation de ce mémoire. En premier lieu, je remercie très sincèrement M. Adjeoua Haikreo pour sa disponibilité, son soutient et son implication. Il m’a guidé à trouver des solutions pour avancer dans mon travail. Je souhaite particulièrement remercier ma famille et mes amis pour leurs encouragements et leur précieuse aide à la relecture et à la correction du mémoire. Je tiens à remercier Monsieur le Directeur Général de l’ESMT Dakar et tous les autres dirigeants et formateurs de l’école pour la formation qui nous a été dispensée durant notre cycle mais également tous ceux qui, de près ou de loin, ont œuvré pour que le présent rapport de fin de formation soit réalisé.

3

Mémoire de licence professionnelle

LISTE DES SIGLES

ARP

Address Resolution Protocol

CALM

Compromise and Attack Level Monitor

CIA

Confidentiality – Integrity - Availability

CSIRT

Computer Security Incident Response Team

CTF

Capture The Flag

CVE

Common Vulnerabilities and Exposures

EDB

Event Database

FTP

File Transfert Protocole

HIDS

Host Intrusion Detection System

IBM

International Business Machines Corporation

IDMEF

Internet Detection Message Exchange Format

IDS

Intrusion Detection System

IETF

Internet Engineering Task Force

IODEF

Incident Object Description Exchange Format

IP

Internet Protocol

IPS

Intrusion Prevention System

ISO

International Standard Organisation

IT

Information Technology

KDB

Knowledge Database

LEM

Log & Event Manager

MITM

Man-In-The-Middle (attack)

NIDS

Network Intrusion Detection System

OSI OSSIM PCI-DSS PDCA

Open Systems Interconnection Open-Source Information and Event Manager Payement Card Industry Data Security Standard Plan Do Check Act

PME

Petites et Moyennes Entreprises

RFC

Request For Comments 4

Mémoire de licence professionnelle

RSSI

Responsable de la Sécurité des Systèmes d'Informations

SEM

Security Event Management

SIEM

Security Information and Event Management

SIM

Security Information Management

SMSI

System Management System Information

SNMP

Simple Network Management Protocol

SOC

Security Operation Center

SQL

Structured Query Language

SSI

Sécurité des Systèmes d'Information

TPE

Très Petite Entreprise

UBA

User Behavior Analytics

UDB

User Database

UEBA

User and Event Behavior Analytics

VPLE

Vulnerable Pentesting Lab Environment

VPN

Virtual Private Network

XML

Extensible Markup Language

5

Mémoire de licence professionnelle

LISTE DES FIGURES Figure 1: Logo 4ITSEC..............................................................................................................3 Figure 2: Activité 4ITSEC.........................................................................................................5 Figure 3: Composants des SOC modernes...............................................................................13 Figure 4: Gestion des logs par le SIEM pour le SOC..............................................................14 Figure 5: Sources des SIEMs...................................................................................................15 Figure 6: Format du message IDMEF......................................................................................17 Figure 7: Schéma du fonctionnement théorique d'un SIEM....................................................19 Figure 8: Fonctionnement en 2 étapes.....................................................................................30 Figure 9: Cheminement d'une alarme......................................................................................31 Figure 10: Onglet de génération de rapports............................................................................35 Figure 11: Rapport de conformité............................................................................................36 Figure 12: Rapport d'évènements.............................................................................................37 Figure 13: Rapport d'évènements (2).......................................................................................38 Figure 14: Scan de vulnérabilité des machines VPLE et WIN7..............................................39 Figure 15: Interface montrant les évènements des machines VPLE et Win7..........................40 Figure 16: Rapport de vulnérabilité.........................................................................................41 Figure 17: Rapport de vulnérabilité (2)....................................................................................42 Figure 18: Rapport de vulnérabilité (3)....................................................................................43 Figure 19: Supervision du trafic réseau avec NetFlow............................................................44 Figure 20: Scan de port avec nmap..........................................................................................45 Figure 21: Détection du scan nmap par SENKARANGUE.....................................................45 Figure 22: Résultats du scan nmap de la machine Win7.........................................................46 Figure 23: Choix de l'exploit Eternalblue................................................................................47 Figure 24: Exécution de l'exploit Eternalblue..........................................................................47 Figure 25: Détection de l'exploit EternalBlue..........................................................................48 Figure 26: Acces au système cible et élévation des privilèges................................................48 Figure 27: Scan nmap de la machine Ubuntu VPLE...............................................................49 Figure 28: Détection du scan par Senkarangue........................................................................50 Figure 29: Résultat du scan nmap de la machine Ubuntu VPLE.............................................50 Figure 30: Choix de l'exploit Slowloris...................................................................................51 6

Mémoire de licence professionnelle

Figure 31: Exécution de l'exploit Slowloris.............................................................................51 Figure 32: Interface Web (Apres l'attaque DDOS)..................................................................52 Figure 33: Interface Web (Apres l'attaque DDOS)..................................................................53 Figure 34: Détection de l'attaque par Senkarangue..................................................................54

7

Mémoire de licence professionnelle

LISTE DES TABLEAUX

Tableau 1: Domaine d'activité [W20]........................................................................................4 Tableau 2: SIEMs commerciaux (Comparatifs)......................................................................25 Tableau 3: SIEMs Open-Source (Comparatif).........................................................................26 Tableau 4: Matériel & Logiciels..............................................................................................33

8

Mémoire de licence professionnelle

9

Mémoire de licence professionnelle

SOMMAIRE

INTRODUCTION......................................................................................................................1 PARTIE I : CADRE DE RÉFÉRENCE ET APPROCHE MÉTHODOLOGIQUE..................2 CHAPITRE 1 : PRÉSENTATION DE LA STRUCTURE D’ACCUEIL.............................3 CHAPITRE 2 : APPROCHE MÉTHODOLOGIQUE...........................................................6 PARTIE II : SÉCURITE DES SYSTÈMES D’INFORMATION.............................................8 CHAPITRE 3 : SÉCURITÉ DES SYSTÈMES D’INFORMATION....................................9 CHAPITRE 4 : SIEM...........................................................................................................11 PARTIE III : DEPLOIEMENT DE LA SOLUTION SENKARANGUE...............................27 CHAPITRE 5 : ARCHITECTURE DE SÉCURITÉ............................................................28 CHAPITRE 6 : EXPLOITATION ET TESTS.....................................................................33 CONCLUSION........................................................................................................................55 BIBLIOGRAPHIE....................................................................................................................A WEBOGRAPHIE......................................................................................................................B TABLE DES MATIERES........................................................................................................D

10

Mémoire de master professionnel

INTRODUCTION

Les outils informatiques sont au cœur de toutes les activités de l'entreprise. Afin d'atteindre efficacement leurs objectifs, il est important pour eux de se doter d'un système d'information informatisé. À cette fin, ils investissent dans du matériel informatique, le développement de réseaux, l'achat de logiciels et le développement de nouvelles applications. Au fur et à mesure que l'importance des systèmes disponibles en permanence augmente, le coût des temps d'arrêt augmente également ; le coût moyen des temps d'arrêt par minute se situe entre 5 600 et 9 000 dollars. Étant donné que chaque minute de défaillance système coûte cher, la détection en amont des problèmes peut avoir un impact significatif sur les résultats de l'entreprise. Les alertes informatiques sont la première ligne de défense contre les pannes ou les modifications des systèmes qui peuvent évoluer en incidents majeurs. En surveillant automatiquement le système et en générant des alertes pour les pannes et les modifications risqués, les équipes informatiques peuvent minimiser les temps d'arrêt et les coûts élevés qui y sont associés. Le présent mémoire qui rend compte de notre étude est articulée en trois (3) grandes parties. La première partie consistera en la présentation de la structure 4ITSEC et du sujet, la deuxième portera sur la sécurité des systèmes d’information et la troisième, sur la solution que nous mettrons en place.

1

Mémoire de master professionnel

PARTIE I : CADRE DE RÉFÉRENCE ET APPROCHE MÉTHODOLOGIQUE

PARTIE I : CADRE DE RÉFÉRENCE ET APPROCHE MÉTHODOLOGIQUE

2

Mémoire de master professionnel

CHAPITRE 1 : PRÉSENTATION DE LA STRUCTURE D’ACCUEIL

1.1. Présentation et historique Le développement de l’internet a fait émerger une nouvelle forme d’économie : économie numérique. En effet, tout comme dans la vie réelle, l’économie numérique est gravement menacée par des personnes malveillantes. Ainsi, il urge pour les gouvernements, les entreprises ou simplement toute personne de connaitre les enjeux de la sécurité du système d’information. Faisant suite à ces réflexions, a été fondé en 2016 for it security africa (4itsec-africa) dont la vocation est de vulgariser l’acquisition des compétences (en sécurité de l’information) aux étudiants et de renforcer la capacité des professionnels et enfin d’accompagner les entreprises au travers des conseils, audit de sécurité des systèmes d’information et diverses prestations dans le domaine du IT.

Figure 1: Logo 4ITSEC [W20]

4ITSEC-AFRICA est spécialisé en AUDIT & CONSEIL. A cet effet elle interagit avec des Entreprise à divers niveaux et dans divers domaines. 3

Mémoire de master professionnel

Tableau 1: Domaine d'activité [W20] Gouvernance :

Expertise technique :

Audit technique :

Assistance à RSSI Diagnostic Cybersécurité Mise en place SMSI Conformité et privacy: PCI-DSS Conformité ISO2700X Conformité GDPR

Architecte de réseaux sécurités Gestion des incidents de sécurité (SOC, CSIRT) Expert cloud

Audit intrusif Audit de configuration Audit de code RedTeam BlueTeam

Développent d’applications sécurisées : Sur carte à puce De gestion D’aide à la prise de décision

1.2. Objectifs 4ITSEC-AFRICA s’est donné pour objectif de :  Donnez des compétences aux étudiants et renforcer la capacité des professionnels. Porter assistances aux entreprises confrontées à des soucis de sécurité ;  Aider les entreprises partenaires à prévenir et réduire considérablement les risques de sécurité du système d’information ;  Mener des projets d’audit de certification.

4

Mémoire de master professionnel

1.3. Formations Apprendre l'attaque pour mieux se défendre. 4ITSEC-AFRICA donne les formations ci-dessous :

Figure 2: Activité 4ITSEC [W20]

5

Mémoire de master professionnel

CHAPITRE 2 : APPROCHE MÉTHODOLOGIQUE

2.1. Problématique et enjeux

La notion d'incident est très large et couvre de multiples domaines : incidents techniques, incidents fonctionnels, incidents sociaux, incidents de sécurité, incidents de communication, incidents de paiement, incidents financiers, etc. De manière générale, un incident peut être défini comme un événement qui cause ou peut causer des dommages à une personne ou à une organisation. Quelle que soit la méthode adoptée, l'objectif de la gestion des incidents est de détecter et de traiter les incidents. Le processus de gestion des incidents comprend la détection, l'analyse et le diagnostic des incidents, la résolution des incidents et/ou la restauration des services affectés. La cybercriminalité se développant à un rythme alarmant, aucune organisation ne peut se considérer à l'abri. Que ce soit pour gérer les logs, pour éviter les pannes ou encore pour pouvoir réagir aux menaces potentielles, l'utilisation des solutions SIEM ne pourrait-t-elle pas être la solution pour les entreprises ? Comment fonctionnent-t-elles ?

2.2. Objectif général La cible des cybercriminels ne se limite pas aux grandes organisations. Au contraire, une petite organisation peut s'avérer être une victime de choix, en raison des informations en sa possession ou des partenaires avec qui elle travaille. Nous proposerons une alternative aux solutions SIEM qui soit crédible et surtout accessible et ce à base d’Open Source de sorte à ce qu’il soit accessible aux Petites et Moyennes Entreprises (PME) et aux Très Petites Entreprises (TPE).

6

Mémoire de master professionnel

2.3. Objectifs spécifiques Plus précisément, nous mettrons en place un outil de gestion des incidents pour prendre en charge : 

La mesure et la collecte des traces des évènements qui surviennent dans les systèmes

d'information ainsi que leur corrélation, pour fournir une vue globale facilement exploitable ; 

La capacité à surveiller de manière centralisée l'équipement informatique présent dans le

système informatique de l'entreprise ; 

La détection et/ou la prévention des intrusions dans les systèmes d'information afin de

rendre les réactions plus rapides.

7

Mémoire de master professionnel

PARTIE II : SÉCURITE DES SYSTÈMES D’INFORMATION

PARTIE II : SÉCURITE DES SYSTÈMES D’INFORMATION

8

Mémoire de master professionnel

CHAPITRE 3 : SÉCURITÉ DES SYSTÈMES D’INFORMATION

La sécurité de l'information est un ensemble de stratégies de gestion des processus et des politiques conçues pour protéger, détecter, identifier et répondre aux menaces pesant sur les informations numériques ou non. Dans ses responsabilités, elle doit établir un ensemble de processus pour protéger les actifs informationnels, quel que soit le format ou le statut de l'information. Habituellement, dans une grande entreprise, une équipe est dédiée à la mise en œuvre et à la maintenance d'un plan de sécurité. Elle est généralement chargée de superviser la gestion des risques. Le processus comprend l'évaluation continue de la vulnérabilité des actifs informationnels et de leurs menaces, de décider des mesures de protection appropriées et de les appliquer. La valeur d'une entreprise réside dans ses actifs informationnels, et leur sécurité est essentielle à leurs activités commerciales, à leur réputation à long terme et à la confiance de leurs clients.

3.1. Principes de la sécurité de l'information Selon l'acronyme anglais Confidentiality, Integrity, Availability, les programmes de sécurité s'articulent autour de l'objectif fondamental de la « Triade CIA » : protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information et des données de l'entreprise. 

Confidentialité : Ceci permet de s'assurer que les informations sensibles ne sont divulguées

qu'aux parties autorisées. Cela nécessite généralement l’utilisation du chiffrement et des clés de chiffrement. 

Intégrité : Ceci est pour empêcher la modification non autorisée des données. Cela signifie

que les données récupérées après la lecture sont exactement les mêmes que les données écrites. (Parfois, il est nécessaire d'envoyer les mêmes données à deux emplacements différents pour éviter une éventuelle corruption des données dans l'un des deux emplacements.) 

Disponibilité : Ceci permet de s'assurer que les parties autorisées peuvent utiliser les

données en cas de besoin. L'objectif ici est de pouvoir rapidement utiliser les nouvelles données et restaurer les données de sauvegarde dans un délai convenable.

9

Mémoire de master professionnel

3.2. Menaces et réactions Les menaces qui pèsent sur les informations confidentielles et sensibles prennent de nombreuses formes : attaques de phishing et de logiciels malveillants, usurpation d'identité et ransomware. Afin de dissuader les pirates et de limiter les vulnérabilités, des contrôles de sécurité coordonnés sont mis en œuvre via une défense par couches. Cela minimise l'impact de l'attaque. Pour parer aux failles de sécurité, les équipes responsables doivent élaborer un plan de réponse aux incidents. Par conséquent, elles doivent contrôler et limiter les dommages, éliminer la cause et appliquer des mécanismes de défense actualisés. Les processus et politiques de sécurité de l'information incluent habituellement des mesures physiques et numériques pour empêcher l'utilisation, la copie ou la destruction non autorisées des données et l'accès non autorisé aux données. Ces mesures comprennent les verrous d'accès, la gestion des clés de chiffrement, les systèmes de détection d'intrusion réseau, les politiques de mot de passe et la conformité réglementaire. Les audits de sécurité peuvent évaluer la capacité de l'organisation à assurer la sécurité de ses systèmes conformément aux normes établies.

3.3. Sécurité des informations ou sécurité réseau Dans une infrastructure informatique d'entreprise moderne, les données peuvent être dynamiques ou statiques. C'est là qu'intervient la sécurité du réseau. Bien qu'elle fasse techniquement partie de la cybersécurité, la sécurité des réseaux concerne principalement l'infrastructure réseau de l'entreprise. Elle en gère tous les aspects, notamment la protection de la périphérie du réseau ; les mécanismes de transmission des données (commutateurs, routeurs) ; les équipements techniques qui protègent les données lorsqu'elles passent d'un nœud à un autre. La principale différence entre la cybersécurité et la sécurité du réseau réside dans la mise en œuvre de plans de sécurité. Un plan de cybersécurité sans plan de sécurité réseau est incomplet, mais le plan de sécurité réseau se suffit à lui-même.

10

Mémoire de master professionnel

CHAPITRE 4 : SIEM

Avant de commencer à parler des SIEM, il est important de présenter l’équipe chargée de gérer la mise en œuvre et la maintenance des plans de sécurité ainsi que de superviser la gestion des risques, le SOC.

4.1. Le SOC Le SOC est une installation qui contient un service de sécurité, qui est responsable de la surveillance continue et de l'analyse du système de sécurité de l'entreprise. L'objectif du SOC est de détecter, d'analyser et de répondre aux incidents de cybersécurité. Pour cela, il utilise une combinaison de différents moyens techniques et une série de processus pour détecter et remonter le moindre incident afin que l'équipe puisse réagir rapidement.

4.1.1. Fonctionnement

Le SOC surveille les données de sécurité générées dans l'ensemble de l'infrastructure informatique, depuis les systèmes hôtes et applications de l'entreprise jusqu'aux réseaux et dispositifs de sécurité (tels que les pare-feux et les antivirus). Ses principales activités consistent à : 

Prévenir, détecter et évaluer les menaces qu'elles soient internes ou externes ;



Intervenir quand un incident survient pour le stopper, récupérer autant de données que possible, limiter les dégâts occasionnés, analyser pourquoi il a pu avoir lieu, proposer un plan de reprise si nécessaire ;



Evaluer la conformité réglementaire ;



Réaliser de la cyberveille.

11

Mémoire de master professionnel

4.1.2. Les profils des collaborateurs travaillant dans le SOC

Afin d'optimiser le fonctionnement du SOC, il est important que plusieurs types de profils y soient représentés : 

Des managers : ils supervisent l'ensemble des opérations ;



Des analystes : ils surveillent le système d'information, détectent les activités suspectes, gèrent les alertes de sécurité, mènent les investigations après des incidents avérés et interviennent en amont pour de la prévention ;



Des ingénieurs et des spécialistes en cybersécurité : ils œuvrent pour une amélioration continue du SOC, paramètrent les systèmes de supervision, installent et intègrent les différents outils, etc. ;



Des experts en sécurité : ils font bénéficier les analystes de leur expertise spécifique pour la résolution d'incident.

Les membres du SOC sont en relation étroite avec l'équipe d'intervention en cas d'incident de sécurité informatique. Désignée en tant que CSIRT (Computer Security Incident Response Team), cette équipe peut aussi être intégrée dans le SOC.

4.1.3. Les outils disponibles dans un SOC

Les outils essentiels de la pile technologique SOC sont :  Une solution SIEM (Security Information and Event Management);  Une surveillance comportementale ;  La découverte d’actifs ;  L’évaluation de la vulnérabilité ;  La détection d’intrusion (IDS - Systèmes de Détection d’Intrusion).

12

Mémoire de master professionnel

Ceci est un schéma représentant les composants des SOC modernes.

Figure 3: Composants des SOC modernes [W2]

4.2. Le SIEM L'un des éléments clés sur lesquels repose le SOC est le SIEM (Security Information and Event Management). Il s'agit d'une solution de collecte, de surveillance, de corrélation et d'analyse d'événements sur différentes sources en temps réel. C'est une combinaison de deux solutions complémentaires : 

La première s'appelle SEM (Security Event Management), qui permet d’analyser les logs en temps réel (ou presque) des systèmes de sécurité, réseaux, d’exploitation et applicatifs.



Le second type est appelé SIM (Security Information Management), qui permet de fournir des rapports conformément aux réglementations et de surveiller les menaces internes.

13

Mémoire de master professionnel

Ci-dessous une illustration de l’acheminement des logs vers le SOC.

Figure 4: Gestion des logs par le SIEM pour le SOC [W5]

4.2.1. Fonctionnement

L’objectif du SIEM est de pouvoir réagir aux menaces aussi rapidement et précisément que possible. Cela fournit aux responsables informatiques un outil puissant pour les aider à prendre des mesures avant qu'il ne soit trop tard. Pour cette raison, le système de SIEM tente de détecter les attaques ou les tendances d'attaques en temps réel en collectant et en analysant les messages, les notifications d'alerte et les fichiers logs de manière centralisée. Divers appareils, composants et applications du réseau d'entreprise concerné peuvent servir de source : 

Les pare-feux (logiciels et matériels) ;



Les interrupteurs ;



Les routeurs ;



Les serveurs (serveur de fichiers, FTP, VPN, Proxy, etc.) ;



Les IDS et IPS.

14

Mémoire de master professionnel

Figure 5: Sources des SIEMs [W7]

Les SIEM utilisent des étapes de récupération, analyse et gestion de l’information, ce sont la collecte, la normalisation, l’agrégation, la corrélation et la gestion des alertes.

4.2.1.1. La collecte Le principe de collecte est de fournir des données à traiter par le SIEM. La nature de ces données peut varier selon l'équipement ou le logiciel, mais elles peuvent également être envoyées de manières complètement différentes. Il existe deux modes de fonctionnement : 

Mode actif : La plupart des SIEM fonctionnent en déployant un grand nombre d'agents de

collecte de manière stratifiée sur les appareils à superviser. La fonction de ces agents est de récupérer des informations à partir des appareils des utilisateurs, des serveurs, des équipements réseau ou de sécurité spécialisés, tels que des pare-feux ou des systèmes antivirus et anti-intrusion, ainsi que des logiciels de sécurité et des appareils de sécurité, et de les envoyer au SIEM. Un élément de sécurité conçu nativement pour être un agent du SIEM est appelé une « sonde » ; 

Mode passif : Le SIEM est directement à l’écoute des équipements à superviser. Ici, ce sont

les équipements qui envoient les informations sans utiliser d’intermédiaire. 15

Mémoire de master professionnel

4.2.1.2. La normalisation

Les informations collectées proviennent d'appareils et de logiciels hétérogènes, dont la plupart ont leurs propres méthodes de formatage des données. Cette étape permet de standardiser les informations dans un format unique pour faciliter le traitement par le SIEM. Des formats élaborés par l’IETF (Internet Engineering Task Force) sous forme de RFC (Request For Comments, en anglais) pour structurer des informations de sécurité, les échanger et les traiter plus facilement. C'est pourquoi il est plus logique de les lister : • IDMEF (Intrusion Detection Message Exchange Format) : Il s'agit d'une norme, défini dans la RFC 4765, pour permettre l'interopérabilité des systèmes commerciaux, libres et open sources, et les systèmes de recherche. Il est basé sur le format XML, format conçu pour définir les événements de sécurité et les alertes. Il convient également au stockage de bases de données, à l'affichage et à la gestion des informations.

16

Mémoire de master professionnel

Figure 6: Format du message IDMEF [B5]

• IODEF (Event Object Description and Exchange Format) : C'est une norme, en RFC 5070, représentant les informations de sécurité échangées entre les CSIRT (Équipe d'intervention en cas d'incident de sécurité informatique, anglais). Il est basé sur le format XML (Extensible Markup Language), qui est un format conçu pour transmettre des événements de sécurité entre les domaines administratifs et les parties ayant des responsabilités opérationnelles. Le modèle de données encode les informations des hôtes, des réseaux, des services, etc. Ainsi, la normalisation permet d'effectuer des recherches multicritères sur des champs ou des dates. Ces événements seront enrichis d'autres données puis envoyés au moteur de corrélation.

17

Mémoire de master professionnel

4.2.1.3. L'agrégation

L'agrégation est le premier traitement des incidents de sécurité. Il se compose d'un ensemble d'événements de sécurité basés sur des normes spécifiques. Ces normes sont généralement définies par des règles appelées « règles d'agrégation » et s'appliquent à des événements similaires. Plusieurs règles de filtrage peuvent être appliquées. Ils sont ensuite agrégés en fonction de la solution, puis envoyés au moteur de corrélation.

4.2.1.4. La corrélation La corrélation correspond à l'analyse des événements selon des critères précis. Ces normes sont généralement définies par des règles appelées « règles de corrélation ». L'objectif de cette étape est d'établir la relation entre les événements afin de pouvoir créer des alarmes des événements de sécurité et des rapports d'activité associés. Elle se différencie sur plusieurs points : 

Auto-apprentissage et connaissances associées : Pour fonctionner, le moteur de

corrélation a besoin d'informations sur les systèmes et le réseau de l'infrastructure. Ces informations peuvent être collectées automatiquement et/ou saisies manuellement. 

Temps réel et données retardées : Dans certains cas, l'événement d'origine est envoyé

directement pour être corréler en temps réel. Dans d'autres, les événements sont d'abord stockés puis envoyés après un premier traitement (agrégation), et leur envoi peut être conditionné. 

Corrélation active et passive : La corrélation active peut collecter des informations

supplémentaires pour compléter les événements reçus afin de prendre des décisions. La corrélation passive est une corrélation qui ne peut pas interagir avec son environnement, elle reçoit des événements et prend des décisions. Les règles de corrélation permettent d’identifier les événements à l’origine de plusieurs autres. Si le SIEM est relié avec des outils appropriés, il peut remonter les alertes via SMS, mail ou ouvrir un ticket.

18

Mémoire de master professionnel

Figure 7: Schéma du fonctionnement théorique d'un SIEM [B5]

4.2.1.5. La gestion des alertes

Pour la gestion des alertes les SIEM disposent de diverses fonctionnalités comme : 

Le reporting

Les SIEM permettent de créer et générer des tableaux de bord et des rapports. Ainsi, les différents acteurs du système d'information, responsables sécurité du système d'information, administrateurs, 19

Mémoire de master professionnel

utilisateurs peuvent avoir une visibilité sur le système d'information (nombre d'attaques, nombre d'alertes par jour...). 

Le stockage

Les solutions SIEM sont utilisées également pour des raisons juridiques et réglementaires. Un archivage à valeur probante permet de garantir l'intégrité des traces. Par exemple, les solutions peuvent utiliser du chiffrement pour garantir l'intégrité des traces. Les alertes, incidents et rapports peuvent être stockés dans des bases de données afin qu'ils puissent être analysés ultérieurement par le moteur de corrélation. 

La réponse

Les mécanismes de réponse aux alertes doivent permettre d'empêcher automatiquement une attaque ou de limiter son impact. La réponse à l'intrusion dépend de la politique de sécurité 

Le rejeu des évènements

La majorité des solutions permettent de rejouer les événements passé pour mener des enquêtes post incidents. Il est également possible de modifier des règles et de rejouer les événements pour voir leurs comportements.

4.2.2. Types de SIEM

Lorsque l’on veut installer une solution SIEM, trois (3) modes sont possible.

4.2.2.1. In-house SIEM Dans cette configuration, l'organisation contrôle entièrement sa solution SIEM. Ils implémentent cette solution dans leurs installations physiques. Elle devient donc une partie du SOC. L’organisation peut personnaliser ce SIEM interne pour répondre à ses besoins de sécurité et faire les mises à jour comme elle le souhaite. Cependant, étant donné qu'aucun tiers n'est impliqué et que toutes les informations relatives à la sécurité sont toujours internes, l'organisation sera seule

20

Mémoire de master professionnel

responsable. Ce type de SIEM nécessite un investissement initial important ainsi que des coûts de maintenance, de correctifs et de mises à jour.

4.2.2.2. Cloud-based SIEM Les solutions SIEM basées sur le cloud peuvent être utilisées avec des abonnements et les responsabilités de maintenance matérielle sont minimisées. Les clients peuvent décider de l'implémenter pour leur organisation sans recourir à un tiers.

4.2.2.3. Managed SIEM Ici, Le SIEM peut être interne ou basé sur le cloud, mais avec l'aide du fournisseur de services. Le fournisseur devient un soutien pendant la mise en œuvre. La solution est hébergée sur le serveur du fournisseur et surveille le réseau client pour détecter d'éventuelles menaces de sécurité. Ce type de SIEM offre un déploiement plus rapide, une maintenance négligeable, des options de tarification flexibles et la disponibilité d'experts SIEM sur appel.

4.2.3. Avantages et inconvénients des S.I.E.M

Il est vrai que s'équiper d'un SIEM demande beaucoup d'investissement du fait de la complexité de sa mise en œuvre. Cependant, bien que conçu à l'origine pour les grandes entreprises, le SIEM offre des avantages à tous les types d'organisations :

21

Mémoire de master professionnel

4.2.3.1. Avantages

Le déploiement d’une solution SIEM offre de nombreux avantages comme :



Détection proactive d'incidents

Un SIEM peut détecter des incidents de sécurité qui passent inaperçus. La raison est simple : les nombreux hôtes qui enregistrent les événements de sécurité n'ont pas de capacités de détection d'incident. Le SIEM a cette capacité de détection en raison de sa capacité à corréler les événements. Contrairement aux systèmes de prévention d’intrusions qui identifient les attaques isolées, le SIEM voit au-delà. Les règles de corrélation lui permettent d'identifier les événements qui ont conduit à la génération de plusieurs autres événements. Dans ces cas, la plupart des solutions ont la capacité de prendre des mesures indirectes sur la menace. Le SIEM communique avec d'autres outils de sécurité mis en place dans l'entreprise et fait des modifications pour bloquer l’activité malveillante. En conséquence, des attaques que l'entreprise ne remarquerait même pas sont déjouées. Une organisation peut choisir d'intégrer dans son S.I.E.M. une « Cyber Threat Intelligence » (C.T.I., cyber menace intelligence, français). Selon la définition de GARTNER, la CTI est « la connaissance fondée sur des preuves, y compris le contexte, les mécanismes, les indicateurs, les implications et des conseils concrets, concernant une menace nouvelle ou existante ou un risque pour les actifs d'une organisation qui peuvent être utilisés afin d'éclairer les décisions concernant la réponse du sujet à cette menace ou un danger » [W8]. La C.T.I. comprend donc la collecte et l'organisation de toutes les informations liées aux menaces et aux cyber-attaques afin de dresser les profils des attaquants ou de mettre en évidence des tendances (zones d'activité visées, méthodes d'attaque utilisées, etc.). Cela permet de mieux prédire les événements.



Conformité et reporting

A l'heure de l'augmentation des normes et certifications en matière de cybersécurité, le SIEM est devenu un élément clé pour tout système d'information. Il s'agit d'un moyen relativement simple de répondre à plusieurs exigences de sécurité (par exemple : historique et surveillance des logs, rapports de sécurité, alarmes, etc.). D'autant plus que le SIEM peut générer des rapports très 22

Mémoire de master professionnel

personnalisables en fonction des exigences des différentes réglementations. Cet avantage à lui seul suffit à convaincre les organisations de déployer le SIEM car, quelle que soit la source des fichiers logs (également générés dans un format propriétaire), la génération d'un rapport unique couvrant tous les incidents de sécurité pertinents peut faire gagner un temps précieux. 

Amélioration des activités de gestion des incidents

Le SIEM permet également de mieux réagir face aux incidents. Avoir un SIEM, c'est la garantie d'identifier rapidement les menaces et de raccourcir le temps de réponse avec des ressources réduites. C’est l’aperçu des incidents de sécurité reçus des applications, des systèmes d'exploitation et de divers dispositifs de sécurité, qui permet l’identification des attaques et les dangers potentiels. Il est à noter que le SIEM intègre également des fonctions d'analyse du comportement des utilisateurs et des entités, fonctions précieuses qui aident les entreprises à détecter les menaces provenant des personnes et/ou des logiciels. Ces solutions SIEM, bien qu’ayant de nombreux avantages, ont aussi quelques inconvénients.

4.2.3.2. Inconvénients

Déployer une solution SIEM ne suffit pas pour protéger pleinement une organisation. Sans support adéquat ni solutions tierces, elles sont très limites et donc pas optimales. Contrairement à des solutions de sécurité de type IPS ou Pare-feu, le SIEM ne surveille pas les événements de sécurité, mais utilise les données enregistrées par les fichiers logs. Il est donc important de ne pas négliger la mise en œuvre de ces solutions.



Une configuration quelques fois trop complexe

Les SIEM sont des produits complexes qui nécessitent un support pour assurer une intégration réussie avec les contrôles de sécurité de l'entreprise et les nombreux hôtes de son infrastructure. Il est important de ne pas simplement installer le SIEM avec les configurations par défaut, car elles ne suffisent généralement pas car ; pour bien fonctionner, elles ont besoin d’être personnalisées et adaptées aux besoins.

23

Mémoire de master professionnel



Des coûts de déploiement qui peuvent être élevés

L’exécution des fonctions du SIEM en fonction des évènements de sécurité semble relativement simple. Cependant, il n'est pas facile de collecter, de stocker, d’exécuter des rapports de conformité, d'appliquer des correctifs et d'analyser tous les incidents de sécurité qui se produisent sur le réseau de l'entreprise car il faut prendre en compte la taille du support de stockage, la capacité de l'ordinateur à traiter les informations, le temps d'intégration des équipements de sécurité, le réglage des alarmes, etc. L'investissement initial peut se chiffrer en centaines de milliers de FCFA, en plus de l’accompagnement annuel dans le cas d'une solution payante. L'intégration, la configuration et l'analyse des rapports nécessitent des compétences d'expert. Aussi, faire appel à un prestataire externe ayant une expertise dans le domaine est généralement la méthode utilisée par les entreprises.



Un grand volume d'alertes à réguler

Les solutions SIEM reposent généralement sur des règles pour analyser toutes les données enregistrées. Cependant, un réseau d'entreprise génère un grand nombre d'alertes (en moyenne 10 000 par jour), qui peuvent très bien être positives ou pas. Par conséquent, le nombre de fichiers log non pertinent complique l'identification des attaques potentielles. La solution serait de définir des règles et des limites précises pour la surveillance : Priorité de surveillance (Réseau, système ou application), Technologie à privilégier et beaucoup plus. A cause du grand nombre d'alarmes à gérer, des employés formés ou des équipes dédiées sont nécessaires pour consulter les logs, effectuer des examens périodiques et en extraire des rapports pertinents.

24

Mémoire de master professionnel

4.2.4. SIEM Commerciaux

Un SIEM « commercial » ou « propriétaire » est un SIEM qui n'appartient qu'à la personne morale ou physique qui l'a développé. Contrairement à l'Open Source, la version propriétaire et son code source ne peuvent être étudiés, modifiés ou diffusés sans l'autorisation formelle de son créateur ou éditeur.

Tableau 2: SIEMs commerciaux (Comparatifs) SIEM

Cible

Plateforme OS

Déploiement

Essai gratuit

Prix

SolarWinds

Petites, moyennes et grandes entreprises.

Windows, Linux, Mac, Solaris.

Sur site et dans le cloud

30 jours

À partir de 4665 $.

Sur site, SaaS et Cloud

14 jours

Obtenir un devis Selon les avis en ligne : À partir de 800 $/mois. Pour l'appliance virtuelle de 100 EPS,10700 $/mois

Sur site et SaaS

Splunk Enterprise : 60 jours Splunk Cloud : 15 jours Splunk Light : 30 jours Splunk Free : échantillon gratuit pour la plate-forme d'entreprise principale.

Obtenir un devis

IBM Qradar

Splunk

Moyennes et grandes entreprises.

Petites, moyennes et grandes entreprises.

Linux

Windows, Linux, Mac, Solaris.

25

Mémoire de master professionnel

4.2.5. SIEM Open-Source

Un SIEM Open source ou « code source ouvert » fait référence à un SIEM dont le code source est librement accessible à tous, et il peut être consulté, modifié et redistribué conformément aux normes fixées par l'Open Source Initiative (OSI). Les développeurs et les entreprises peuvent utiliser le code source pour l'adapter à leurs besoins métiers ou améliorer son intégration avec d’autres systèmes d'information.

Tableau 3: SIEMs Open-Source (Comparatif) SIEM

Cible

Plateforme OS

Déploiement

Alienvault OSSIM

Très petites, petites et moyennes entreprises.

Linux

Sur site, SaaS

SNORT

Très petites, petites et moyennes entreprises.

Windows, Linux

Sur site, Saas

Linux

Sur site, SaaS

Linux

Sur site, Saas

ELK

OSSEC

Très petites, petites et moyennes entreprises.

Très petites, petites et moyennes entreprises.

26

Mémoire de master professionnel

PARTIE III : DEPLOIEMENT DE LA SOLUTION SENKARANGUE

27

Mémoire de master professionnel

PARTIE III : DEPLOIEMENT DE LA SOLUTION SENKARANGUE

28

Mémoire de master professionnel

CHAPITRE 5 : ARCHITECTURE DE SÉCURITÉ

L’idée de la création de SENKARANGUE qui veut dire « Notre sécurité ! » vient du problème d’accessibilité des SIEM commerciaux. Nous avons donc modifié un logiciel Open Source afin de le créer et ainsi le rendre bien plus accessible.

5.1. Présentation de la solution SENKARANGUE permet de collecter des informations à partir de divers fichiers logs d'entreprise, tels que les contrôles de sécurité d'entreprise, les systèmes d'exploitation et les applications. Elle convertit les données collectées dans un format qu'elle peut comprendre. A l'aide de SENKARANGUE, il est possible de définir des règles de sécurité liées à la stratégie de sécurité adoptée, comprendre la cartographie du réseau et associer différents outils afin d’optimiser la supervision. SENKARANGUE assure toutes les fonctionnalités d’un SIEM que sont : 

La collecte des logs ;



L’agrégation ;



La normalisation ;



La corrélation ;



Le reporting ;



L’archivage ;



L’interprétation des évènements.

Elle intègre en plus des outils Open Source tels que : 

Des détecteurs d’intrusion : Snort (NIDS) Ossec (HIDS) ;



Des détecteurs de vulnérabilités : Nesus, OpenVAS ;



Des détecteurs d’anomalies : Arp Watch, p0f, pads ;



Un gestionnaire de disponibilité : Nagios ;



Un outil de découverte du réseau : Nmap ;



Un inventaire de parc informatique : OCS-Inventory ; 29

Mémoire de master professionnel



Un analyseur de trafic en temps réel : Ntop, TCPTrack, Netflow.

5.1.1. Principe de la solution

Le Framework au cœur de SENKARANGUE a pour objectif de centraliser, d’organiser et d’améliorer la détection et l’affichage pour la surveillance des événements liés à la sécurité du système d’information d’une entreprise. SENKARANGUE fournit donc par le biais de son Framework, un outil administratif qui permet de configurer et d’organiser les différents modules natifs ou externes qui vont composer la solution. Le Framework est ainsi constitué des éléments de supervision suivants : 

Un panneau de contrôle ;



Des moniteurs de supervision de l’activité et des risques ;



Des moniteurs de supervision réseau et des consoles d’investigation.

5.1.2. Architecture

SENKARANGUE repose principalement sur trois composants : 

Le serveur : Il contient les différents moteurs d’analyse, de corrélation ainsi que les bases

de données. 

L’agent : C’est celui qui est en charge de la collecte et de l’envoie des évènements au

serveur 

Le Framework : Il regroupe la console d’administration, les outils de configuration et

ceux de pilotage. Il assure également la gestion des droits d’accès. Le fonctionnement de SENKARANGUE est divisé en 2 principales étapes : 

Pré-processing : C’est la partie de la collecte des événements afin de les normaliser. Elle

est gérée par des équipements comme les IDS et les sondes de collecte d’information. 

Post- processing : Ici c’est la prise en charge des informations brute. Elles sont analysées,

traitées et stockées dans la base de données. Toutes ces informations collectées sont spécifiques et ne représentent qu'une partie des informations diffusées dans le réseau de l'entreprise. La possibilité d'utiliser les informations 30

Mémoire de master professionnel

renvoyées par les détecteurs pour compléter et augmenter le niveau d'information à l'aide d'un nouveau niveau de traitement est appelée corrélation. Par rapport à la quantité d'informations disponibles sur le réseau, son objectif est de rendre ce retour plus efficace. La figure suivante illustre le fonctionnement en 2 étapes. Il existe différentes bases de données pour ces étapes, permettant de stocker des informations intermédiaires (corrélés).

Figure 8: Fonctionnement en 2 étapes

Définition des bases de données utilisées :

31

Mémoire de master professionnel

EDB : Base de données d'événements, la plus grande des bases de données qui stocke toutes les alarmes individuellement. KDB : Base de données des connaissances, qui enregistre les configurations créées par l'administrateur responsable de la sécurité. UDB : Base de données des profils utilisateurs, qui stocke toutes les informations du moniteur de profils.

5.2. Fonctionnement

Le schéma de la figure ci-dessous, illustre le cheminement d’une alarme

32

Mémoire de master professionnel

Figure 9: Cheminement d'une alarme

Le cheminement de l’alarme s’effectue par étapes numérotées de 1 à 10 : 1) Le détecteur détecte les événements suspects (via des signatures ou des heuristiques) 2) Les alarmes sont regroupées par le détecteur pour réduire le trafic réseau si nécessaire. 3) Le collecteur reçoit les alarmes par différents protocoles de communication ouverts. 4) Le parser normalise et enregistre les alarmes dans l’EDB 5) Le parser attribue la priorité aux alarmes reçues selon la configuration de la politique de sécurité définie par l'administrateur de sécurité 6) L'analyseur évalue le risque direct représenté par l'alerte et envoie une alerte interne au panneau de contrôle si nécessaire 33

Mémoire de master professionnel

7) Les alarmes sont maintenant envoyées à tous les processus de corrélation qui mettent à jour leurs états, et il est possible d'envoyer une/des alarmes internes plus précises (du groupe d'alarmes venant de la corrélation) au module de centralisation. 8) Le moniteur de risques affiche régulièrement l'état de chaque risque calculé par CALM10. 9) Le panneau de contrôle affiche les alarmes les plus récentes et met à jour l'indice d'état par rapport au seuil défini par l'administrateur. Si l’indice est supérieur au seuil configuré, une alarme interne sera émise. 10) Depuis le panneau de contrôle, l’administrateur peut utiliser la console forensic pour afficher et rechercher des liens entre différentes alertes.

34

Mémoire de master professionnel

CHAPITRE 6 : EXPLOITATION ET TESTS

Nous allons dans ce chapitre, effectuer des tests de la solution ainsi que quelques attaques pour observer le comportement de SENKARANGUE face à elles.

6.1. Environnement de travail

Dans cette section, nous allons présenter les machines que nous avons utilisées ainsi que l’environnement créer pour effectuer les tests.

6.1.1. Choix du matériel

Tableau 4: Matériel & Logiciels Matériel & Logiciel DELL (AlienWare)

Description Utilisé pour l’environnement de virtualisation i7 8th Gen 16Go ram

VMware Workstation Pro SENKARANGUE

Environnement de virtualisation utilisé

Windows 7 (CTF)

Machine virtuelle Windows vulnérable utilisée à des fins de test

Ubuntu 18.04.5 (VPLE)

Machine virtuelle Ubuntu vulnérable utilisée à des fins de test

Kali Linux 2021.2

Machine virtuelle Linux utilisée pour faire les tests de pénétration

Logiciel de gestion de la sécurité

35

Mémoire de master professionnel

6.1.2. Architecture implémentée

L’architecture ci-dessous est celle que nous avons utilisée pour les tests.

Figure 10: Architecture de test

36

Mémoire de master professionnel

6.2. Test de la solution

Dans cette section, nous allons effectuer des tests des fonctionnalités de notre solution SENKARANGUE.

6.2.1. Conformité avec le standard ISO 27001

La norme ISO 27001 définit une méthodologie pour identifier les cyber-menaces, maîtriser les risques associés aux informations cruciales des organisations, mettre en place les mesures de protection appropriées afin d’assurer la confidentialité, la disponibilité, l’intégrité de l’information ainsi que la conformité légale. Elle se base sur un modèle d’amélioration continue, le modèle PDCA. Elle se compose de 4 phases : Plan (planifier), Do (faire), Check (vérifier) et Act (agir) afin d’améliorer le SMSI (Système de management de la sécurité de l'information). La plate-forme SENKARANGUE offre de nombreuses fonctionnalités de sécurité essentielles nécessaires pour démontrer la conformité à la norme ISO 27001, ainsi que des modèles de rapports prêts à l'emploi spécialement conçus pour la norme ISO 27001.

Figure 11: Onglet de génération de rapports 37

Mémoire de master professionnel

Cette capture est un exemple de rapport d'activité et de conformité ISO PCI.

Figure 12: Rapport de conformité

38

Mémoire de master professionnel

Cette capture est un exemple de rapport d’évènements SIEM.

Figure 13: Rapport d'évènements

39

Mémoire de master professionnel

Cette capture est un autre exemple de rapport d’évènements SIEM.

Figure 14: Rapport d'évènements (2)

6.2.2. Scan de vulnérabilité avec OpenVAS

OpenVAS, une application utilisée pour analyser les points de terminaison et les applications Web afin d'identifier et de détecter les vulnérabilités. Elle est couramment utilisée par les entreprises dans le cadre de leurs solutions d'atténuation pour identifier rapidement toute lacune dans leurs serveurs ou applications de production ou même de développement.  

Machine 1 (Ubuntu VPLE) : 192.168.1.19/24



Machine 2 (Windows 7 CTF) : 192.168.1.36/24

40

Mémoire de master professionnel

Dans l’onglet Environnement, il est possible de lancer des scans de vulnérabilité pour les machines choisies.

Figure 15: Scan de vulnérabilité des machines VPLE et WIN7

41

Mémoire de master professionnel

Ici nous peut voir les résultats des scans de vulnérabilité, les évènements et les alarmes trouvés sur les machines monitorées.

Figure 16: Interface montrant les évènements des machines VPLE et Win7

42

Mémoire de master professionnel

Cette capture montre qu’un rapport peut aussi être généré sous format PDF et se présentera comme suit :

Figure 17: Rapport de vulnérabilité

43

Mémoire de master professionnel

Ce rapport contient en plus des détails sur les vulnérabilités trouvées, des propositions de solution pour y remédier. Les parties en rouge représentent les vulnérabilités à risque élevé.

Figure 18: Rapport de vulnérabilité (2)

44

Mémoire de master professionnel

Les parties en jaune représentent les vulnérabilités à risque moyen.

Figure 19: Rapport de vulnérabilité (3)

45

Mémoire de master professionnel

6.2.3. Supervision réseau avec NETFLOW

NetFlow est un protocole réseau développé par Cisco pour collecter des informations sur le trafic IP et surveiller le flux réseau. En analysant les données NetFlow, on obtient une vue d’ensemble du flux et du volume de trafic réseau.

Figure 20: Supervision du trafic réseau avec NetFlow

46

Mémoire de master professionnel

6.2.4. EternalBlue

La vulnérabilité « Eternal Blue » CVE-2017-0143 permet à des individus ou à des logiciels malveillants d'exploiter cette faille de sécurité afin d’accéder à une machine. Il utilise le port 445 pour exploiter une faille de sécurité qui existaient dans la première version du protocole SMB (Server Message Block). Le protocole SMB est un protocole qui permet de partager des ressources (fichiers, imprimantes, etc.) avec des machines exécutant le système d'exploitation Windows sur le réseau local. 

Machine de l'attaquant (Kali linux) : 192.168.1.37/24



Machine de la victime (Windows CTF) : 192.168.1.36/24

Nous commençons par faire un scan de la machine cible avec nmap en utilisant le script « vuln » qui contient une liste de vulnérabilités connu dont EternalBlue.

Figure 21: Scan de port avec nmap

Ici nous peuvons voir que SENKARANGUE a détecté le scan de la machine Win7 2 minutes après le lancer du scan.

Figure 22: Détection du scan nmap par SENKARANGUE 47

Mémoire de master professionnel

Les résultats montrent que la machine est bel et bien vulnérable sur le protocole SMBv1

Figure 23: Résultats du scan nmap de la machine Win7

48

Mémoire de master professionnel

Nous recherchons l’exploit à utiliser.

Figure 24: Choix de l'exploit Eternalblue

Puis nous exécutons l’exploit choisi.

Figure 25: Exécution de l'exploit Eternalblue

49

Mémoire de master professionnel

SENKARANGUE détecte en temps réel l’exécution de l’exploit EternalBlue.

Figure 26: Détection de l'exploit EternalBlue

Apres avoir accéder à la machine, nous complétons l’exploit en élevant nos privilèges.

Figure 27: Accès au système cible et élévation des privilèges

50

Mémoire de master professionnel

6.2.5. DDOS

Les attaques DDoS sont conçues pour rendre les serveurs, les services ou l'infrastructure indisponibles. Les attaques peuvent prendre différentes formes : la bande passante du serveur est saturée pour le rendre inaccessible ou encore épuiser les ressources système de la machine, l'empêchant de répondre au trafic légitime. Lors d'une attaque DDoS, un grand nombre de requêtes sont envoyées simultanément depuis plusieurs points du Web. L'intensité de ce « tir croisé » rend le service instable voire indisponible. Slowloris est un programme d'attaque par déni de service qui permet à un attaquant de submerger le serveur cible en ouvrant et en maintenant un grand nombre de connexions HTTP simultanées entre l'attaquant et la cible. C’est une attaque de couche application qui utilise des requêtes HTTP partielles. L'attaque fonctionne en ouvrant des connexions avec le serveur Web cible et en les maintenant ouvertes aussi longtemps que possible. Nous utiliserons l‘attaque DOS (CVE-2017-6750) Slowloris avec les machines suivantes : 

Machine de l'attaquant (Kali linux) : 192.168.1.37/24



Machine de la victime (Ubuntu VPLE) : 192.168.1.16/24

D’abord faire un scan de la machine cible avec nmap en utilisant le script « vuln » pour vérifier que la machine cible est bien vulnérable à l’attaque DDOS avec Slowloris.

Figure 28: Scan nmap de la machine Ubuntu VPLE

51

Mémoire de master professionnel

SENKARANGUE a détecté le scan de la machine Ubuntu VPLE

Figure 29: Détection du scan par Senkarangue

Le résultat du scan nmap montre que la machine Ubuntu VPLE est bien vulnérable à Slowloris

Figure 30: Résultat du scan nmap de la machine Ubuntu VPLE

52

Mémoire de master professionnel

Nous recherchons l’exploit à utiliser.

Figure 31: Choix de l'exploit Slowloris

Nous renseignons les champs nécessaires pour l’attaque DDOS avant de l’exécuter.

Figure 32: Exécution de l'exploit Slowloris

53

Mémoire de master professionnel

Ceci est l’interface Web du la machine qui va subir l’attaque DDOS.

Figure 33: Interface Web (Avant l'attaque DDOS)

54

Mémoire de master professionnel

Apres l’exécution de l’attaque DDOS l’interface Web n’est plus accessible.

Figure 34: Interface Web (Apres l'attaque DDOS)

55

Mémoire de master professionnel

SENKARANGUE détecte en temps réel une attaque DDOS en cours.

Figure 35: Détection de l'attaque par Senkarangue

56

Mémoire de master professionnel

CONCLUSION

Ce document avait pour objectif, d’étudier les mécanismes de gestions des évènements de sécurité à base d’Open Source. Il a donc fallu faire une étude comparative des solutions déjà existantes afin d’étudier leurs fonctionnements mais aussi, de voir leurs points fort et faible. Cette étude nous a servi de référence pour notre solution. SENKARANGUE nous permet au final de centraliser tous évènements survenant dans son champ de de surveillance, nous donnant ainsi une vue d’ensemble, et de détecter les intrusions potentielles. Elle nous offre en plus une grande liberté d’action de par sa modularité et sa capacitée à s’appuyer sur nombre d’outils de sécurité. L’étude de ce projet nous a ouvert les yeux sur les avantages des solutions Open-Sources. Bien qu’elles soient faciles d’accès, avec parfois une bonne documentation, l’implémentation et la configuration de ces solutions n’en reste pas moins fastidieuses. Cependant elles nous permettent, et ce à moindre coût, de faire tout ou pratiquement tout ce que les solutions propriétaires nous proposent. Dans cette même lancée, l’intégration à SENKARANGUE de solution comme Wazuh (HIDS) ou encore Kaspersky (antivirus) pourrait contribuer à l’amélioration de son efficacité.

57

Mémoire de master professionnel

BIBLIOGRAPHIE 

[B1] Essen Obed KUAOVI KOKO « Etude et mise en place d'un SIEM (Security

Information and Event Management) open source : cas de BANKeVI groupe », 2019 – 2020 

[B2] Joel Winteregg, « Fonctionnement d’OSSIM Dans le cadre de SIMS - Security

Intrusion Management System », 12 mai 2006 

[B3] M. Soumaré Amadou Tidiane, « Etude et Déploiement d’un système de

Management des logs dans un système d’information : cas OSSIM », 2016 – 2017 

[B4] Mme Khadidja Mbacke MBOW, « Etude et Déploiement d’un système de

Management des logs dans un système d’information : cas OSSIM », 2017 – 2018 

[B5] N. Cherriere, G. Montassier, R. Picard et E. Thuiller, « Les SIEM (Security

Information and Event Management) : Gestion de la sécurité centralisée »

Mémoire de master professionnel

WEBOGRAPHIE

 [W1] https://www.exodata.fr/blog/soc-informatique-definition, Consulté le 06 juin 2021  [W2] https://www.logpoint.com/fr/blog/security-operations-center-soc/ , Consulté le 06 juin 2021  [W3] https://www.harmonie-technologie.com/siem-security-information-and-eventmanagement, Consulté le 06 juin 2021  [W4] https://www.ionos.fr/digitalguide/serveur/securite/quest-ce-que-le-siem/, Consulté le 06 juin 2021  [W5] https://www.antemeta.fr/proteger-systeme-dinformation-cest-siem-pathique/, Consulté le 06 juin 2021  [W6] https://lifars.com/2020/10/siem-series-part-2-types-of-siem-solutions/, Consulté le 06 juin 2021  [W7] https://www.pratum.com/blog/122-benefits-of-log-consolidation-in-a-siemenvironment, Consulté le 07 juin 2021  [W8]https://fr.wikipedia.org/wiki/Threat_Intelligence#:~:text=Selon%20la%20d %C3%A9finition%20de%20Gartner,organisation%20qui%20peuvent%20%C3%AAtre %20utilis%C3%A9s, Consulté le 06 juin 2021  [W9] https://www.dnsstuff.com/fr/outils-siem-gratuits, Consulté le 13 juin 2021  [W10] https://cybersecurity.att.com/documentation/usm-appliance-deployment-guide.htm? tocpath=Documentation%7CUSM%20Appliance%E2%84%A2%7CDeployment%20Guide %7C_____0, Consulté le 08 juillet 2021  [W11] http://download.velannes.com/Ossim_doc.pdf, Consulté le 12 juillet 2021  [W12] https://www.esecurityplanet.com/networks/ibm-qradar-vs-splunk/, Consulté le 29 juillet 2021 B

Mémoire de master professionnel

 [W13] https://www.memoireonline.com/07/21/11983/m_Etude-et-mise-en-place-dun-SIEMsecurity-information-and-event-management-open-source-cas-de-3.html#toc4, Consulté le 08 août 2021  [W14] https://fr.myservername.com/top-11-best-siem-tools-2021, Consulté le 12 août 2021  [W15] https://www.ibm.com/fr-fr/products/hosted-security-intelligence/pricing, Consulté le 12 août 2021  [W16] https://www.ibm.com/docs/en/SS42VS_7.4/com.ibm.qradar.doc/b_siem_inst.pdf, Consulté le 12 août 2021  [W17] https://www.yumpu.com/fr/document/read/6220330/les-siem-security-informationand-event-montassierfr, Consulté le 18 août 2021  [W18] http://bibnum.ucad.sn/viewer.php?c=mmoires&d=mems%5f2018%5f0552, Consulté le 14 septembre 2021  [W19] http://bibnum.ucad.sn/viewer.php?c=mmoires&d=mems%5f2019%5f1020, Consulté le 14 septembre 2021  [W20] https://4itsec-africa.com/index.html#team, Consulté le 15 septembre 2021

C

Mémoire de master professionnel

TABLE DES MATIERES

DEDICACE................................................................................................................................I REMERCIEMENTS.................................................................................................................II LISTE DES SIGLES................................................................................................................III LISTE DES FIGURES..............................................................................................................V LISTE DES TABLEAUX......................................................................................................VII SOMMAIRE.........................................................................................................................VIII INTRODUCTION......................................................................................................................1 PARTIE I : CADRE DE RÉFÉRENCE ET APPROCHE MÉTHODOLOGIQUE..................2 CHAPITRE 1 : PRÉSENTATION DE LA STRUCTURE D’ACCUEIL.............................3 1.1.

Présentation et historique.........................................................................................3

1.2.

Objectifs...................................................................................................................4

1.3.

Formations...............................................................................................................5

CHAPITRE 2 : APPROCHE MÉTHODOLOGIQUE...........................................................6 2.1.

Problématique et enjeux...........................................................................................6

2.2.

Objectif général........................................................................................................6

2.3.

Objectifs spécifiques................................................................................................7

PARTIE II : SÉCURITE DES SYSTÈMES D’INFORMATION.............................................8 CHAPITRE 3 : SÉCURITÉ DES SYSTÈMES D’INFORMATION....................................9 3.1.

Principes de la sécurité de l'information..................................................................9

3.2.

Menaces et réactions..............................................................................................10

3.3.

Sécurité des informations ou sécurité réseau.........................................................10

CHAPITRE 4 : SIEM...........................................................................................................11 4.1.

Le SOC..................................................................................................................11

4.1.1.

Fonctionnement..............................................................................................11 D

Mémoire de master professionnel

4.1.2.

Les profils des collaborateurs travaillant dans le SOC...................................12

4.1.3.

Les outils disponibles dans un SOC...............................................................12

4.2.

Le SIEM.................................................................................................................13

4.2.1.

Fonctionnement..............................................................................................14

4.2.1.1. La collecte................................................................................................15 4.2.1.2. La normalisation.......................................................................................16 4.2.1.3. L'agrégation..............................................................................................18 4.2.1.4. La corrélation............................................................................................18 4.2.1.5. La gestion des alertes................................................................................19 4.2.2.

Types de SIEM...............................................................................................20

4.2.2.1. In-house SIEM..........................................................................................20 4.2.2.2. Cloud-based SIEM...................................................................................21 4.2.2.3. Managed SIEM.........................................................................................21 4.2.3.

Avantages et inconvénients des S.I.E.M........................................................21

4.2.3.1. Avantages.................................................................................................22 4.2.3.2. Inconvénients............................................................................................23 4.2.4.

SIEM Commerciaux.......................................................................................25

4.2.5.

SIEM Open-Source........................................................................................26

PARTIE III : DEPLOIEMENT DE LA SOLUTION SENKARANGUE...............................27 CHAPITRE 5 : ARCHITECTURE DE SÉCURITÉ............................................................28 5.1.

Présentation de la solution.....................................................................................28

5.1.1.

Principe de la solution....................................................................................29

5.1.2.

Architecture interne........................................................................................29

5.2.

Fonctionnement.....................................................................................................31

CHAPITRE 6 : EXPLOITATION ET TESTS.....................................................................33 6.1.

Environnement de travail.......................................................................................33

6.1.1. Choix du matériel................................................................................................33 E

Mémoire de master professionnel

6.1.2. 6.2.

Architecture implémentée..............................................................................34

Test de la solution..................................................................................................35

6.2.1.

Conformité avec le standard ISO 27001........................................................35

6.2.2.

Scan de vulnérabilité avec OpenVAS............................................................38

6.2.3.

Supervision réseau avec NETFLOW.............................................................44

6.2.4.

EternalBlue.....................................................................................................45

6.2.5.

DDOS.............................................................................................................49

CONCLUSION........................................................................................................................55 BIBLIOGRAPHIE....................................................................................................................A WEBOGRAPHIE......................................................................................................................B TABLE DES MATIERES........................................................................................................D

F

Mémoire de master professionnel

RÉSUMÉ

Cette étude consiste à proposer une alternative aux solutions SIEM qui soit crédible et surtout accessible et ce à base d’Open Source de sorte à ce qu’il soit accessible à tous. Le problème fut par conséquent, de savoir si l'utilisation des SIEM serait la solution pour les entreprises mais aussi de savoir comment elles fonctionnent ? Pour y répondre, une analyse du fonctionnement des solutions SIEM a été menée, suivie par une étude des SIEM déjà existant afin d’en faire ressortir leurs avantages et leurs inconvénients. Cette étape a servi de référence pour la mise en place de notre solution SENKARANGUE.

ABSTRACT

This study consists in proposing an alternative to SIEM solutions that is credible and above all accessible and this based on Open Source so that it is accessible to all. The problem was therefore to know if the use of SIEMs would be the solution for companies but also to know how they work? To answer this question, an analysis of how SIEM solutions work was conducted, followed by a study of existing SIEMs to highlight their advantages and disadvantages. This step served as a reference for the implementation of our solution SENKARANGUE.