Soutenance mémoire
MÉMOIRE DE MASTER INFORMATIQUE
Spécialité : Réseaux et Télécommunications
Option : Réseaux, Systèmes et Services
Télécharger le fichier pdf d’un mémoire de fin d’études
Cadre Méthodologique
Etude de l’existant
A considérer que tout ce qui est gestion des SI au sein de la Présidence a toujours été géré par l’Agence de l’Informatique de l’Etat (ADIE), donc une étude approfondie de notre réseau s’impose au préalable afin de déterminer les limites de ce dernier.
En outre, nous avons trouvé sur place un Firewall ASA 5515, situé sur l’interface entre la structure et le réseau de l’opérateur. Le réseau est aussi subdivisé en plusieurs Vlans toujours pour renforcer la sécurité. Pour les échanges de données, un serveur autority certificat est mis en place pour chiffrer les documents (les documents ne partent pas en clair) ainsi que le canal de transmission. On a aussi un réseau VPN AES 256 qui permet de sécuriser les échanges de données entre les différentes structures (départements).
Sur ce, les limite du réseau ainsi que les solutions apportées par notre SOC seront présentées aux autorités. C’est après validation que nous passerons à la mise en place proprement dite de la plateforme.
Problématique
La Présidence de la République étant une institution étatique, est par définition une cible, car toutes les stratégies de sécurité sont gérées à ce niveau. Cependant, nous avons notés beaucoup manquement dans la sécurité de leur système d’information :
➢ La confidentialité des échanges d’information au sein de la Présidence et entre la Présidence et les autres institutions (ministères, assemblée nationale, primature …) est insuffisant.
➢ La non supervision du réseau est à déplorer : en effet, les autorités étatiques ne savent pas si leurs données sont en train d’être dérobés ou pas, pire encore, ils n’ont aucune visibilité sur cela à l’heure actuelle, et ce qui est sûr, c’est que des personnes malveillants feront tout (si ce n’est pas déjà fait) pour savoir ce qui se passe au sein de la structure.
➢ L’absence d’outils performants pour assurer le contrôle d’accès ainsi que l’authentification des utilisateurs du réseau font que les risques d’attaques deviennent récurrents.
➢ L’absence d’outils pouvant nous permettre, après une attaque d’en connaitre l’origine
et l’ampleur (qui a fait l’attaque, d’où vient l’attaque, par où est passé l’attaquant pour faire son action …) ne va pas à notre avantage.
Donc l’axe d’effort sera d’abord d’unifier le réseau, c’est à dire trouver les outils nécessaire qui nous permettrons de centraliser l’administration de la sécurité du réseau. D’où l’idée de la mise en place d’une salle de supervision fonctionnelle avec des équipes qui tourne 24h/7 pour avoir une meilleure visibilité à temps réel du réseau, a l’occurrence le Security Opération Centre (SOC).
En effet, le SOC apparait comme étant un modèle d’organisation qui répond aux problématiques opérationnelles de cyber sécurité. Il est conçu pour être au centre d’un très grand nombre d’évènements qui doivent être surveillés, analysés et corrélés. Ceci nous permettra donc je centraliser la surveillance des différentes activités au sein de la Présidence elle -même, mais entre cette dernière et ses différentes branches. De plus, sachant que les attaques sont motivés par trois raisons essentielles : soit frauder, espionner ou saboter ; alors, que les données soient stockées, en traitement ou en transit, leur sécurité doit être assurée.
Objectif
La présidence de la république a besoin d’une solution de qualité et sur mesure pour la protection et la surveillance de ses données. Mais aussi pour assurer un haut niveau de réactivité par rapport aux incidents.
L’objectif principal de notre travail consistera à :
➢ Mettre en place un SOC qui nous permettra de recenser les vulnérabilités afin de prévenir certaines attaques.
➢ D’unifier le réseau, afin d’en avoir une vue d’ensemble ;
➢ Détecter les intrusions en passant par l’analyse, l’exploitation et la corrélation des logs.
➢ Faire une étude de la faisabilité de notre projet en termes de temps, d’espace et de moyen.
Cependant, notons que le SOC assure de plus larges fonctionnalités, notamment :
• La réponse aux incidents, c’est à dire les actions à mener en cas d’attaque informatique
• le maintien des activités après une attaque.
• la récupération et l’investigation en cas d’incident ;
Généralités sur le Security Operations Center (SOC) et la sécurité des systèmes d’information
La sécurité des systèmes l’information
Le système d’information et le système informatique
Ce sont deux concepts très souvent mélangés, ou utilisé avec une imprécision flagrante. En effet, le système d’information (SI) peut être défini comme un ensemble organisé de ressources (matériel, logiciel, personnel, données, procédures…) permettant d’acquérir, de stocker, de traiter, de communiquer des informations de toutes formes dans une organisation.
Le système informatique quant à lui est l’ensemble des actifs matériels et logiciels de l’entreprise ayant pour vocation d’automatiser le traitement de l’information. C’est la partie visible à laquelle tout le monde pense quand on parle de projets et d’infrastructures informatiques.
Donc en d’autres termes, le système d’information est plus vaste que le système informatique. En fait, le système d’information peut être analogique, physique, numérique etc. Et quand il est numérique, il se sert du système informatique pour travailler. Le système informatique est un outil de travail du système d’information. Le système informatique utilisera des ordinateurs, imprimantes, Switch, routeurs, connexion … alors qu’un autre système utilisera le papier.
Il faudra donc protéger le système informatique en protégeant le système d’information en entier.
La sécurité des systèmes d’information
La sécurité des SI de manière générale
La sécurité des systèmes d’information (SSI) ou plus simplement sécurité informatique, est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaire à la mise en place des moyens visant à empêcher l’utilisation non autorisé, le mauvais usage, la modification ou le détournement du système d’information. Assurer la sécurité du système d’information est une activité du management du système d’information.
Aujourd’hui, la sécurité est un enjeu pour les entreprises ainsi que pour l’ensemble des acteurs qui l’entourent. Elle n’est plus confinée uniquement au rôle de l’informaticien. Sa finalité sur le long terme est de maintenir la confiance des clients et des utilisateurs.
La finalité sur le moyen terme est la cohérence de l’ensemble du système d’information. Sur le court terme, l’objectif est que chacun ait accès aux informations dont il a besoin. La norme traitant de SMIS est l’ISO/CEI 27001 qui insiste sur les termes Disponibilité, Intégrité et Confidentialité.
Objectifs de la sécurité des SI
Le système d’information représente un patrimoine essentiel de l’organisation, qu’il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d’une organisation sont uniquement utilisées dans le cadre prévu.
La sécurité des systèmes d’information vise les objectifs suivants :
• La disponibilité : le système doit fonctionner sans faille durant les plages d’utilisation prévues et garantir l’accès aux services et ressources installées avec le temps de réponse attendu.
• L’intégrité : les données doivent être celles que l’on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En somme, les éléments considérés doivent être exacts et complets
• La confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leurs sont destinées. Tout accès indésirable doit être empêché.
• La traçabilité : garantie que les accès et tentatives d’accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables
• L’authentification : l’identification des utilisateurs est fondamentale pour gérer l’accès aux espaces de travail pertinents et maintenir la confiance dans les relations d’échange.
• Le non répudiation : aucun utilisateur ne doit pouvoir contester les opérations qu’il a
réalisées dans le cadre de ses actions autorisées et aucun tiers ne doit pouvoir s’attribuer les actions d’un autre utilisateur. [2]
Par ailleurs, la sécurité des systèmes d’informations peut être renforcée par un ensemble de mesures politiques, légales, et/ou technologiques appelé cyber-sécurité.
c. Démarche générale de sécurisation des systèmes d’information
Assurer la sécurité des SIs ne se limite pas tout simplement à la mise en place d’un système bien sécurisé, mais plutôt garantir la sécurité de manière durable, continuelle et évolutive. Pour assurer une telle continuité, nous faisons appel à la roue de Deming avec PDCA.
✓ Périmètre et politique
✓ Evaluation des risques
✓ Traiter le risque identique
✓ Sélectionner les mettre en place
Phase Do : Mise en place des objectifs
✓ Plan de traitement des risques
✓ Déployer les mesures de sécurité
✓ Générer des indicateurs
✓ Former et sensibiliser le personnel
✓ Gérer le SMSI au quotidien
✓ Détection et réaction rapide des incidents
Phase Check : Mise en place de moyens de contrôle
Il doit y avoir des moyens de contrôle pour surveiller l’efficacité du SMSI ainsi que sa conformité grâce à des audits et contrôles internes. Par exemple : COBIT, ITIL, ISO/CEI 27007.
Phase Act : Mise en place des actions
Après la mise en lumière de dysfonctionnement grâce à la phase Check, il est important de les analyser et de mettre en place :
✓ Des actions correctives : il faut agir sur le dysfonctionnement et en supprimer son effet ;
✓ Des actions préventives : on agit avant que le dysfonctionnement ne se produise ;
✓ Des actions d’améliorations : on améliore les performances d’un processus.
Les attaques informatiques
Une « attaque » est l’exploitation d’une faille d’un système informatique (système d’exploitation, logiciel ou bien même de l’utilisateur) à des fins non connues par l’exploitant du système et généralement préjudiciables.
Les différents types d’attaques
Les menaces informatiques sont variées et redoutables d’efficacité. Toutes les études arrivent à la même conclusion : les entreprises sont de plus en plus victimes de piratage informatique. Au bilan de l’année 2017, une hausse de 170% des cyberattaques avec prise de contrôle par rapport
à l’année passée (chiffre du rapport « Cybercrime Report 2017 : A tear in Review », publié par Threat Metrix).
Dans la plupart des cas, les cybercriminels cherchent à récupérer de l’argent ou à monnayer les données qu’ils ont dérobées. Voici un tour d’horizon des différentes menaces auxquelles sont confrontées les entreprises.
Il est ainsi possible de catégoriser les risques de la manière suivante :
➔ Accès physique : il s’agit d’un cas où l’attaquant à accès aux locaux, éventuellement même aux machines :
• Coupure de l’électricité,
• Extinction manuelle de l’ordinateur,
• Vandalisme,
• Ouverture du boitier de l’ordinateur et vole du disque dur,
• Écoute du trafic sur le réseau,
• Ajout d’éléments (clé USB, point d’accès wifi …)
➔ Interception de communication :
• Vol de session,
• Usurpation d’identité,
• Détournement ou altération de messages,
➔ Dénis de service : il s’agit d’attaques visant à perturber le bon fonctionnement d’un service. On distingue habituellement les types de service suivant :
• Exploitation de faiblesse des protocoles TCP/IP,
• Exploitation de vulnérabilité des logiciels serveurs,
➔ Intrusions :
• Balayage de ports,
• Élévation de privilèges,
• Malicieux (virus, verts chevaux de Troie)
➔ Ingénierie sociale : c’est une attaque d’accès qui tente de manipuler les individus dans l’exécution d’actions ou la divulgation d’informations confidentielles. Les ingénieurs sociaux comptent souvent sur la volonté des gens d’être utiles. Ils s’attaquent aussi aux faiblesses des gens. Il existe de nombreux exemples d’outils d’ingénierie sociale disponibles :
• Pretexting
• Phishing
• Spear phishing
• Spam
• Tailgating
• Quelque chose pour quelque chose (Quid pro quo)
• Appâtage
Lois et recommandations régissant la cyber-sécurité au Sénégal
Dans sa volonté de réussir le défi de son développement, le Sénégal a adopté une stratégie nationale qui rompt avec les approches des dernières décennies et inscrit le Sénégal dans une nouvelle trajectoire de développement économique et social, car force est d’avouer que la sécurité informatique au Sénégal laisse à désirer. En effet, tous les jours plusieurs failles sont découvertes dans les systèmes d’information des grandes entreprises qui sont souvent très négligentes. Dans ce monde technologique, toutes erreurs se paient cash et les conséquences sont parfois désastreuses. Les niveaux de vulnérabilité et le taux de négligence sont très élevés, hacker un système ou un site internet devient un jeu d’enfants pour ces hommes de l’ombre.
Dès lors, protéger ces systèmes et ces informations devient alors une priorité nationale pour le Sénégal, et dans ce sens plusieurs stratégies nationales sont mises en place pour transformer le Sénégal en une société numérique mais aussi plus sur pied en cyber-sécurité à savoir :
➢ Le Sénégal Numérique 2025 « SN2025 »
➢ La stratégie nationale de cyber-sécurité 2022 « SNC 2022
➢ La politique de sécurité des systèmes d’information de l’Etat du Sénégal (PSSI-ES)
Les lois sur la cybercriminalité
Afin de garder l’intégrité des propos concernant les lois et les atteints prisent ici au Sénégal, nous avons jugé nécessaire d’être fidèles au document, raison pour laquelle nous avons fait des prises de captures d’écran de la source au lieu de copier ou rédiger les lois.
La loi sur les documentations est énorme du coup nous avons juste prie une partie nous informant sur tout ce qu’il faut savoir pour tout individus utilisant les technologies de l’information et de la communication. Voir les images ci-dessous..
Recommandation de l’ANSSI et du CNIL
➢ Recommandation du CNIL
Le responsable d’un système d’information doit mettre en place un dispositif de traçabilité, adaptés aux risques associés à son système. Celui-ci doit enregistrer les événements pertinents, garantir que ces enregistrements ne peuvent être altérés, et dans tous les cas conserver ces éléments pendant une durée non excessive. Les journaux doivent conserver les événements sur une période glissante ne pouvant excéder six mois (sauf obligation légale, ou demande de la CNIL, de conserver ces informations pour une durée plus longue).
Prévoir au minimum la journalisation des accès des utilisateurs incluant leur identification, la date et l’heure de leur connexion, ainsi que la date et l’heure de leur déconnexion. Le format de l’horodatage doit de préférence prendre comme référence le temps UTC. Dans certains cas, il peut être nécessaire de conserver également le détail des actions effectuées par l’utilisateur, telles que les données consultées par exemple. Les précautions à prendre sont les suivantes :
-informer les utilisateurs de la mise en place d’un tel système.
-protéger les équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés
-établir des procédures détaillant la surveillance de l’utilisation du traitement et procéder périodiquement à l’examen des informations journalisées.
-le responsable de traitement doit être informé dans les meilleurs délais des failles éventuelles de sécurité.
-en cas d’accès frauduleux à des données personnelles, le responsable de traitement devrait le notifier aux personnes concernées.
➢ Recommandation de l’ANSSI pour la mise en place d’un SOC
• Le prestataire doit être une entité ou une partie d’une entité dotée de la personnalité morale de façon à pouvoir être tenu juridiquement responsable de sa prestation.
• Le prestataire doit respecter la législation et la réglementation en vigueur sur le territoire national.
• Le prestataire doit décrire l’organisation de son activité de détection des incidents de sécurité auprès du commanditaire.
• Le prestataire a, en sa qualité de professionnel, un devoir de conseil vis-à-vis du commanditaire.
• Le prestataire doit assumer la responsabilité des activités qu’il réalise pour le compte du commanditaire dans le cadre de sa prestation et en particulier les éventuels dommages causés au commanditaire. À ce titre, le prestataire doit préciser les types de dommages concernés et les modalités de partage des responsabilités dans la convention de service, en tenant compte de toutes les éventuelles activités sous-traitées.
• Le prestataire doit souscrire une assurance professionnelle couvrant les éventuels dommages causés au commanditaire et notamment à son système d’information dans le cadre de sa prestation.
• Le prestataire doit s’assurer du consentement du commanditaire avant toute communication d’informations obtenues ou produites dans le cadre de sa prestation.
• Le prestataire doit garantir que les informations qu’il fournit, y compris la publicité, ne sont ni fausses ni trompeuses.
• Le prestataire doit apporter une preuve suffisante que les modalités de son fonctionnement, notamment financières, ne sont pas susceptibles de compromettre son impartialité et la qualité de sa prestation à l’égard du commanditaire ou de provoquer des conflits d’intérêts.
• Le prestataire doit réaliser la prestation de manière impartiale, en toute bonne foi et dans le respect du commanditaire, de son personnel et de son infrastructure.
• Le prestataire doit disposer des licences valides des outils (logiciels ou matériels) utilisés pour la réalisation de la prestation.
• Le prestataire doit demander au commanditaire de lui communiquer les éventuelles exigences légales et réglementaires spécifiques auquel il est soumis et notamment celles liées à son secteur d’activité.
• Le prestataire doit informer le commanditaire lorsque ce dernier est tenu de déclarer un incident de sécurité à une instance gouvernementale et doit l’accompagner dans cette
démarche si ce dernier en fait la demande.
La sécurité des systèmes d’informations en générale et la mise en place d’un SOC en particulier sont régis par des lois et règlements qui permettent à toutes les entreprises d’être en conformité avec les normes internationaux.
Généralités sur le Security Operations Center
Présentation générale du SOC
Le Security Operating Center est un centre de supervision et d’administration de la sécurité. Le terme SOC désigne ainsi une plateforme dont la fonction est de fournir des services de détection des incidents de sécurité, mais aussi de fournir des services pour y répondre. Le centre de sécurité va ainsi collecter les événements (sous forme de logs notamment) remontés par les composants de sécurité, les analyser, détecter les anomalies et définir des réactions en cas d’émission d’alerte.
Le développement des SOC s’explique notamment par une amélioration des débits et la maturité des outils d’acquisition et de stockage des logs. Le durcissement réglementaire, le besoin d’assurer la traçabilité et la maitrise de la sécurité du système d’information encouragent également la création de SOC (ou le recours à des prestataires disposant de tels centres).
Un SOC est avant tout une équipe d’experts en sécurité chargée de surveiller, détecter, analyser et qualifier les évènements de sécurité. Cette équipe assure le pilotage des réactions appropriées aux incidents avérés de sécurité. Pour certaines organisations, cette équipe administre et contrôle au quotidien des dispositifs et dispositions de sécurité.
Un SOC est pour une entreprise ou un organisme quelconque la possibilité d’administrer la sécurité de son parc informatique à distance en collectant et corrélant les logs de ses différents équipements et applicatifs de sécurité (pare-feu, IDS/IPS, VPN, antivirus, etc.), ou réseau. La corrélation d’événements provenant de sources différentes et l’analyse en temps réel peuvent ainsi permettre une identification rapide des risques, notamment d’intrusion.
Il doit également contribuer à réduire les risques et l’indisponibilité des composants critiques du système d’information, mais aussi à identifier les menaces, à les prévenir, à raccourcir les délais d’intervention ou encore à simplifier l’administration. Il reste néanmoins complexe de collecter et de corréler de très nombreux logs émis dans des formats divers pour n’identifier que les alertes pertinentes.
Le rôle d’un SOC
Un SOC a pour objectif de réduire à la fois la durée et l’impact des incidents de sécurité qui tirent profit, perturbent, empêchent, dégradent ou détruisent les systèmes dédiés aux opérations habituelles et standards. Cet objectif est atteint grâce à une surveillance efficace et à un suivi des incidents de bout en bout.
Le SOC a la responsabilité, d’une part, de déclarer qu’il y a effectivement un incident sur le SI, et, d’autre part, il est responsable de la conduite des opérations qui lui permettront de déclarer l’incident clos. Du point de vue opérationnel c’est le couple des entités SOC et CERT/C-SIRT qui assure la résolution d’un incident.
Par ailleurs, selon les choix organisationnels, le SOC peut également assurer les missions suivantes :
• Suivi des vulnérabilités (de la détection à la correction) ;
• Veille en sécurité informatique ;
• Sensibilisation des utilisateurs en fonction des observations faites sur le SI ;
• Expertise et conseil auprès des équipes informatiques ;
• Pilotage de la mise en œuvre des correctifs de sécurité.
Compte tenu de la variété des missions, des impacts technologiques ainsi que des impacts organisationnels majeurs, la mise en œuvre d’un SOC représente un réel investissement en temps et ressources pour l’Entreprise concernée; même avec l’aide d’un prestataire qualifié (type MSSP). C’est aussi pourquoi il est généralement nécessaire que l’Entreprise atteigne une taille critique avant de consacrer des ressources internes à l’opération de son propre SOC. Dans le cas des entreprises constituées de plusieurs entités, il est fréquent que le SOC soit porté par l’une d’entre elle de façon transverse pour les autres.
Catalogue de service et fonction d’un SOC
On peut regrouper les services d’un SOC en 4 principales catégories aux objectifs distincts :
voir figure ci-dessous.
Fonction de prévention sécurité
Le SOC doit être vu comme un outil de prévention sur la base des informations traitées et des actions préventives qui peuvent en découler. La prévention passe également par des actions de sensibilisation auprès des interlocuteurs du SOC.
➢ Gestion des vulnérabilités :
Ce service peut être rendu par le SOC ou si ce n’est pas le cas, le SOC doit bénéficier des informations sur les vulnérabilités connues du système d’informations pour affiner ses analyses d’impacts des événements de sécurité. La gestion des vulnérabilités comprend la veille, la qualification, les préconisations puis le suivi du déploiement des patchs indiqués. Elle s’effectue également en lien avec le service de détection de vulnérabilités et de contrôle sur les actifs du périmètre surveillé par le SOC.
➢ Implication dans le processus de sensibilisation :
Les incidents remontés par le SOC peuvent être le déclenchement d’actions de sensibilisation. Ces actions peuvent être ciblées pour recadrer par exemple un utilisateur déviant, ou généralisées pour toucher plus de monde sur des données plus transverses.
Fonction de détection
La fonction de détection est toujours à la base du SOC. La détection nécessite le traitement d’informations remontées par le SI surveillé. Ce traitement est plus ou moins automatisé selon les outils mis en place, mais il nécessite encore aujourd’hui un traitement manuel par des analystes sécurité. Les outils doivent être configurés pour analyser des données en relation avec des scénarios de détection prédéterminés. Ces outils classiques peuvent être complétés par des outils d’analyse de comportements. Deux cas de figure peuvent arriver : trop de données inutiles engorgent les outils avec le risque de rater un événement permettant la mise en exergue d’un incident de sécurité, ou au contraire, il manque des données nécessaires à la détection et à la qualification de certains incidents. Le SOC doit continuellement adapter le paramétrage de ses outils pour limiter l’occurrence de faux positifs ou de vrais négatifs par exemple en adaptant les niveaux de seuil de détection.
➢ Collecte des événements de sécurité et qualification des incidents
L’objectif de ce service est de disposer d’une vision centralisée des événements de sécurité, permettant de réaliser des rapprochements et des corrélations mettant en évidence des incidents potentiels.
Les informations collectées sont analysées pour déterminer d’éventuelles anomalies ou incidents. Cette analyse nécessite des outils de traitements de logs ou des SIEM, complétés par les outils de gestion documentaire et la messagerie pour les informations en dehors des logs.
➢ Contrôle
Des contrôles de sécurité de divers niveaux peuvent être portés par le SOC.
Les contrôles basés sur des scanneurs de vulnérabilités configurés pour analyser les vulnérabilités visibles sur le système d’information, permettent de remonter au SOC l’état de sécurité des actifs du SI, et d’identifier d’éventuelles vulnérabilités ou menaces.
Les contrôles de conformité aux standards techniques permettent quant à eux de vérifier le respect des politiques de sécurité (ex : présence de droits administrateurs sur les postes, logiciels interdits,…), qui peuvent constituer autant de sujets à traiter. Des audits manuels peuvent également être réalisés par des auditeurs indépendants ou appartenant au SOC. Au niveau d’expertise le plus élevé, des tests d’intrusion peuvent être réalisés afin d’éprouver sans prévenir au préalable la perméabilité des systèmes.
➢ Veille sur les menaces et « threat intelligence »
Même si le SOC n’est pas en charge de maintenir la cartographie des risques, le SOC doit connaitre les menaces qui pèsent sur l’infrastructure surveillée et maintenir à jour le niveau des menaces pour renforcer si besoin certains contrôles ou actions de surveillance spécifiques à une menace.
La « threat intelligence » va plus loin en ce sens en réalisant une surveillance dans les milieux pirates des menaces en cours ou à venir vers l’entreprise ou son secteur d’activité. Le SOC permet alors de suivre les menaces externes réelles, concernant d’autres acteurs ou partenaires du même secteur d’activité ou de l’entreprise elle-même.
Fonction de réaction
La mise en œuvre d’un SOC oblige une réflexion de l’entreprise sur sa capacité à réagir à un incident de sécurité. Détecter sans réagir n’est clairement pas une solution. L’enjeu du SOC est d’adapter son niveau de support à la réaction à l’organisation de l’entreprise sachant que le SOC ne peut pas être le seul à réagir (le CSIRT entre fréquemment dans la partie).
➢ Investigations et contribution à l’analyse
En cas d’identification d’un incident, le SOC peut avoir un rôle à jouer (souvent en complément du CSIRT) dans la réalisation d’investigations permettant de mieux comprendre l’attaque en cours. Le SOC a en effet à sa disposition le SIEM et d’autres outils de détection, d’investigation et d’analyse post mortem qui permettent de réaliser des opérations d’investigation : analyse des logs passés, filtrage des logs, rapports de scans sur des actifs particuliers, opérations sur les produits de sécurité des postes de travail (antivirus, HIPS,…).
➢ Participation à la réaction
Le SOC peut également contribuer à la réaction dans la limite de son périmètre de responsabilité, via ses activités d’administration d’outils de sécurité. L’activation d’une règle IPS, la fermeture d’un compte administrateur ou VPN, l’ajout d’une règle pare-feu sont des exemples de réactions pouvant faire intervenir le SOC.
Fonction d’administration sécurité
Au-delà de son infrastructure et de ses outils propres (Logs manager, SIEM et autres), le SOC peut exploiter les composants sécurité ainsi que l’infrastructure de collecte. Ce service doit être rendu pour l’infrastructure SOC par l’équipe SOC. Pour les autres composants sécurité, le SOC peut être en charge ou non. Dans ce dernier cas, le SOC se doit d’être en relation directe avec l’équipe d’exploitation sécurité.
Les différents modèles de SOC
La mise en place d’un SOC est un projet d’envergure transverse avec des impacts opérationnels importants. Le Support explicite de la direction est indispensable pour justifier les dépenses récurrentes induites par une telle organisation. Encore faut-il opter pour le bon modèle de SOC selon son organisation, ses enjeux et ses moyens.
➢ SOC virtuel : Pas d’installation dédiée, les membres de l’équipe à temps partiel, réactif, activé en cas d’alerte ou d’incident critique.
➢ SOC dédiée : Installation dédiée, équipe dédiée, entièrement à l’interne.
➢ SOC externalisé : il s’agit ici de faire appel à un prestataire externe qui dispose des ressources humaines et technologique pour offrir les services d’un SOC.
➢ SOC distribué / co-géré : les membres de l’équipe sont dédiés et semi-dédiés, avec typiquement 5×8 au niveau opérationnels, lorsqu’il est utilisé avec un MSSP, ce SOC
est cogéré.
En plus de ces principaux modèles listés ci-dessus, nous trouvons encore d’autres modèles tels que :
➢ SOC de commande : il coordonne les autres SOC, fournit des renseignements sur les menaces, la connaissance de la situation et une expertise supplémentaire. Il est rarement impliqué directement dans les opérations au jour le jour.
➢ Centre d’opérations SOC / Network Operations Center (NOC) : c’est une installation dédiée, avec une équipe dédiée effectuant non seulement la sécurité mais également d’autres opérations informatiques critiques 24/7 de la même installation pour réduire les coûts.
➢ Next gen SOC ou fusion SOC : ce type de SOC reprend les fonctions du SOC traditionnelles et les nouvelles fonctions telles que l’intelligence des menaces (Threat intelligence), une équipe d’intervention en cas d’incident informatique (CIRT) et les fonctions de technologie opérationnelle (OT).
Architecture d’un SOC
L’architecture du SOC est composée d’une première phase qui consiste à la collecte de journaux d’événements sur les applications et équipements grâce aux collectors, ces journaux d’événements sont envoyés directement aux processeurs. La deuxième phase est l’ensemble des mécanismes qui consiste à traiter les journaux afin de dégager les incidents de sécurité par le biais des processors. Après l’identification et la prise en charge de l’alerte, la dernière phase est le reporting qui consiste à faire un rapport d’activité sur l’incident.
|
Table des matières
Introduction
Partie I : Cadre de référence et méthodologique
Chapitre 1 : cadre de référence
1.1 Présentation de la structure
Chapitre 2 : cadre Méthodologique
2.1 Etude de l’existant
2.2 Problématique
2.3 Objectif
Partie II : Généralités sur le Security Operations Center (SOC) et la sécurité des systèmes d’information
Chapitre 3 : La sécurité des systèmes l’information
3.1 Le système d’information et le système informatique
3.2 La sécurité des systèmes d’information
3.3 Les attaques informatiques
3.4 Lois et recommandations régissant la cyber-sécurité au Sénégal
Chapitre 4 : Généralités sur le Security Operations Center
4.1 Présentation générale du SOC
4.2 Le rôle d’un SOC
4.3 Catalogue de service et fonction d’un SOC
4.4 Les différents modèles de SOC
4.5 Complémentarité entre le SOC et CERT/CSIRT
4.6 Journaux, événement, flux, alertes et incidents
Chapitre 5 : Les composants du SOC
5.1 Technologies
5.2 Ressources humaines
5.3 Gestion des processus
Chapitre 6 : Etude comparative des solutions et choix des outils
6.1 Les SIEMs
6.2 Scanner de vulnérabilité
Chapitre 7 : Conception du SOC
7.1 Aspect infrastructure et matériel
7.2 Aspect fonctionnel
Partie III : Simulation et testes
Chapitre 8 : Déploiement des outils
8.1 Mise en place de Nessus
8.2 Déploiement du SIEM Alien Vault d’OSSIM
Chapitre 9 : Simulation d’une attaque interne
9.1 Démarche
9.2 Réaction d’OSSIM
Conclusion
Webographie
Télécharger le rapport complet
