Nouveau Accueil Sécurité informatique Étude et mise en place d’une solution SIEM pour la gestion de la sécurité

Étude et mise en place d’une solution SIEM pour la gestion de la sécurité

Soutenance mémoire 0

De nos jours avec l’avancée fulgurante des nouvelles technologies de l’information et de la communication, la multiplication et la diversité des objets connectés et l’utilisation de l’internet en entreprise, indispensable pour échanger 1des informations dans un cadre de travail. Avec la possibilité d’échanger des données avec des interlocuteurs distants et parfois inconnus, la capacité à identifier de façon certaine l’auteur d’un message, d’une transaction ou d’un document devient fondamentale. Cette ascension des nouvelles technologies s’accompagne avec des problèmes liés à la sécurité informatique tels que les hackers, la propagation de virus et de programmes malveillants.

Ce besoin évident de sécurité a engendré le développement de diverses solutions de sécurité comme l’antivirus, les firewalls, les détecteurs d’intrusions, les équipements de supervisions, les VPN et récemment la gestion et l’analyse des logs. Mais ces solutions bien vraies qu’ils ont toujours joué un rôle capital dans la sécurité et la protection des informations échangées en garantissant l’intégrité, la confidentialité et l’authentification, la non répudiation et la disponibilité des de celles-ci elles restent encore limités dans la gestion des événements de sécurité d’un système d’information. Tant que cette question de la prise en charge de l’évènement de sécurité reste sans réponse les entreprises et les utilisateurs restent exposés à des attaques. Auparavant ils existaient des méthodes de gérer les événements de sécurité d’un système d’information notamment, l’analyse en temps réel de fichiers de journalisation (logs) d’équipements réseau comme l’analyse des logs d’un pare feu en temps réel afin de détecter une attaque et mettre en place une règle de filtrage adéquate. D’autre part, l’externalisation des logs sur un serveur central afin de conserver les événements de sécurité et les analyser en cas de problème.

Aujourd’hui les SIEM nous permettent de faire converger ces deux fonctionnalités et de fournir une solution complète permettant de collecter, de normaliser, d’agréger, d’archiver, d’analyser, d’alerter, de corréler et de fournir des tableaux de bords des événements de sécurité du système d’information. La protection des données et des informations numériques demeure pour les entreprises un défi permanent à relever. La cryptologie et les techniques de codage de l’information s’appuient sur des concepts mathématiques avancés combinés avec les outils de gestion des événements et des informations de sécurité peuvent apporter des solutions simples et efficaces à ces problèmes. L’université Cheikh Anta DIOP de Dakar, à travers le Laboratoire d’Algèbre, de Cryptologie et de Géométrie Algébrique et Applications (LACGAA) met sur le marché depuis 2004 des ingénieurs de haut niveau capables de concevoir, développer et mettre en place des solutions de sécurité pour répondre aux besoins des entreprises.

Cadre théorique 

Définition du besoin 

Aujourd’hui, la grande majorité des systèmes, des applications et éléments réseau au sein des entreprises produisent des logs. Dans la plupart des cas, ces logs sont stockés de manière locale sur les machines. Ces données gérées par les administrateurs deviennent de plus en plus nombreuses sans être forcément pertinentes. De ce fait, sans un outil de traitement automatisé, certaines alertes critiques risquent de se retrouver inondées sous la masse d’information. Dans ce cadre, la centralisation des logs consiste à mettre sur un même système, l’ensemble des logs des systèmes, applications et services des machines du SI. Cette action suit le même principe que la supervision, qui consiste à centraliser les évènements de surveillance sur un système unique. La gestion des événements et incidents de sécurité de l’information constitue un élément important de la sécurité de l’information. Cette démarche consiste à définir un ensemble de mesures techniques et organisationnelles pour faire face aux différentes menaces qui pèsent sur le patrimoine informationnel d’une structure. Dans cette perspective le SIEM (Security Information and Events Management) permet la collecte et l’agrégation des données d’une multitude de sources (réseau, serveurs, applications, etc.), la corrélation des événements, la détection des événements de sécurité la notification du personnel, la rétention des données, l’élaboration des tableaux de bords etc.

Importance de la question 

L’utilisation du SIEM en entreprise devient indispensable pour assure la sécurité du SI dans le contexte actuel où l’identification des menaces connues et inconnues devient un enjeu majeur pour les entreprises. Il constitue une tour de contrôle des événements de sécurité de l’information pour alimenter le processus de réponse aux incidents de sécurité mais aussi un moyen d’avoir une visibilité sur le manque d’efficacité des contrôles de sécurité mis en place. En outre, l’intérêt de cette démarche se confirme à travers les nouvelles tendances que connaît le marché des nouvelles technologies en permettant de renforcer le lien entre l’entreprise et son environnement externe (clients, partenaires, etc.) mais aussi son environnement interne avec ses collaborateurs par le biais de solutions de mobilité qui ont commencé à voir le jour ces derniers mois. Ainsi, les entreprises ont de plus en plus besoin de mettre en place un moyen pour centraliser la supervision et par conséquent la gestion des événements de la sécurité de l’information. Ceci, afin de faire face au volume exorbitant des événements de sécurité généré par l’introduction de ces nouvelles tendances mais aussi assurer la conformité par rapport aux exigences réglementaires relatives au reporting, à la rétention des logs, à la notification, etc.

Sécurité des systèmes d’information 

Généralités sur la sécurité 

L’échange d’informations en entreprises, nécessite un réseau sécurisé pour le transfert des données aussi bien entre les machines en local qu’avec les machines externes. Cela étant, la sécurité de façon générale est présente à plusieurs niveaux et elle est à prendre dans sa totale dimension : données, applications, équipements et trafic réseau. La continuité de l’activité de l’entreprise appelle celle de son système d’information. Cette continuité ne peut être assurée que par la mise en place de moyens de protection apportant un niveau de sécurité adapté aux enjeux spécifiques de l’entreprise. La sécurité des réseaux est devenue l’un des éléments clés de la continuité des SI de l’entreprise. Comme toute composante critique, le réseau doit faire l’objet d’une politique de sécurité tenant compte de tous les besoins d’accès au réseau d’entreprise :
o Accès distants
o Echange des mails
o Commerce électronique
o Interconnexion des tierces parties etc.

La sécurité informatique a cinq objectifs à savoir :

➠ L’intégrité : c’est-à-dire garantir que les données sont bien celles que l’on croit être.
➠ La confidentialité : consistant à assurer que seules les personnes autorisées aient accès aux ressources échangées.
➠ La disponibilité : les services (ordinateurs, réseaux, périphériques, applications…) et les informations (données, fichiers…) doivent être accessibles aux personnes autorisées quand elles en ont besoin.
➠ La non-répudiation : permettant de garantir qu’une transaction ne peut être niée.
➠ L’authentification : consistant à s’assurer de l’identité des entités.

Les différents aspects de la sécurité

La sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects suivants :

La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées, lieux ouverts au public, espaces communs de l’entreprise, postes de travail des personnels.

La sécurité personnelle : la sensibilisation des utilisateurs aux problèmes de sécurité.

La sécurité logique : c’est-à-dire la sécurité au niveau des données, notamment les données de l’entreprise, les applications ou encore les systèmes d’exploitation.

La sécurité des communications : technologies réseau, serveurs de l’entreprise, réseaux d’accès, etc.

La sécurité procédurale : sert de tampon entre les commandes juridiques et les livraisons technique.

Le rapport de stage ou le pfe est un document d’analyse, de synthèse et d’évaluation de votre apprentissage, c’est pour cela chatpfe.com propose le téléchargement des modèles complet de projet de fin d’étude, rapport de stage, mémoire, pfe, thèse, pour connaître la méthodologie à avoir et savoir comment construire les parties d’un projet de fin d’étude.

Table des matières

INTRODUCTION GENERALE
Chapitre 1 : Cadre théorique et méthodologique
I. Cadre théorique
I-1-Définition du besoin
I-2-Importance de la question
I-3-Formulation des objectifs
II. Méthodologie
II-1-Délimitation du sujet
II-2-Les techniques d’investigation
II-3-Echantillonnage
II-4-Les difficultés rencontrées
Chapitre 2 : Sécurité des systèmes d’information
III. Généralités sur la sécurité
III-1-Les différents aspects de la sécurité
III-2-La politique de sécurité
IV. Différentes solutions de sécurité
IV.1 Les Firewall (Pare-feu)
a- Fonctionnement d’un pare-feu
b- Le filtrage simple de paquets
c- Le filtrage dynamique
d- Le filtrage applicatif
e- Les limites des pare-feu
IV.2 Les systèmes de détection et de prévention d’intrusion
a- IDS
b- Les IPS
IV.3 La supervision du réseau
IV.4 La gestion des Logs
Chapitre 3 : L’utilisation des outils SIEM pour la sécurité d’un réseau
V. Généralité sur les SIEMs
V.1 Définition d’un SIEM
V.2 Principe de fonctionnement des SIEM
V.3 Les coûts
V.4 Les prérequis à la mise en place d’un SIEM
V.5 La sécurité de l’application SIEM :
V.6 Architecture de gestion des informations et des événements de sécurité (SIEM)
V.7 Avantages et limites des SIEM
V.8 Les tendances futures du SIEM
V.9 Différence entre les SIEM et la gestion des logs
VI. Solutions SIEM
VI-1-Comparaison entre les outils SIEM et la Gestion des logs
VI-2-Les principales solutions SIEM les plus utilisées du marché
a-Micro Focus ArcSight
b- Datadog
c-AT&T Cyber Security (AlienVault anciennement OSSIM : Open Source Security Information Management)
d-SolarWinds
e-QRadar
f-Elasticsearch – Logstash – Kibana (ELK)
g-Logstash
h-Splunk
VI-3-Tableau comparatif des outils SIEM étudiés dans ce travail
VI-4-Choix de la solution
Chapitre 4 : Déploiement de la solution et tests
VII. Déploiement de Splunk Entreprise Security
VII-1-Architecture de Splunk ES
VII-2-Différentes étapes du pipeline de données
VII-.3-Composants Splunk
V II-8-Modes de déploiement et Configuration requise de Splunk ES
VII-9-Déploiement de Splunk ES
a-Préparation du déploiement
b- Installations des services sur les serveurs
c- Installation de Splunk Entreprise Security sur la machine Splunk-Indexer
d-Installation de Splunk Universal Forwarder sur la machine WEB-SRVR
e-Déploiement de Splunk Entreprise Security
f-Ingestion de données
VII-10-La fonction Research de Splunk ES
VIII. Tests sur quelques domaines d’applications de Splunk ES
VIII-1-Exemple de surveillance avec Splunk
VIII-2-Exemple de recherche de logs sur le serveur Web
CONCLUSION GEENERALE

Lire le rapport complet

Télécharger aussi :

RÉALISATION DE LA PAGE DE CARTOGRAPHIE EN LIGNE

Implémentation d’un mécanisme de Vérification en Ligne sur un SoPC 

Objectifs de la sécurité informatique

Détection d’intrusions par signature et comportementale

Aequitas versus securitas ou la justice pénale comme réceptacle des tentations sécuritaires et managériales

Les TICE dans les programmes de l’Education Nationale 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *