Dédicaces

A mes chers parents Taoufik et Naima

Qui m’ont fournit les meilleures conditions pour terminer mes études,
en témoignage du grand amour, tendresse, encouragement et leurs
prières tout au long de mon parcours universitaire. Que Dieu m’offre
la chance d’être à la hauteur de leurs attentes.

Vous avez guidé mes premiers pas, vous m’avez toujours servi de
modèle et vous rester toute ma vie.

Vous avez fait de moi ce que je suis aujourd’hui.

Je vous dédie ce modeste travail qui n’est d’autre que le fruit de vos
nobles sacrifices.

A mes frères Aymen & Iheb

Qui n’ont cessé d’être pour moi des exemples de persévérance, de

courage et de générosité, et à qui je souhaite plus de succès

A tous mes amis

Pour leurs aides et support dans les moments difficiles

Ameni

i
 Dédicaces

A mes parents Massoud et Najia

Aucun hommage ne pourrait être à la hauteur

de l’amour et de l’affection

dont ils ne cessent de me combler.

Qu’ils trouvent dans ce travail le témoignage de

mon profond amour.

A mes deux chères sœurs et mes deux frères qui ne cessent de

m’entourer de la joie et du sourire.

A toute ma famille

A tous mes amis pour leurs encouragements.

Je leur espère le succès et le bonheur.

A tous ceux qui m’ont aidé à réaliser ce travail en particulier mes

encadreurs.

Je leur dédie ce modeste travail que dieu leur procure bonne santé
et longue vie.

Mariem

ii
 Remerciements
Nous tenons tout d’abord à remercier Dieu le tout puissant et
miséricordieux, qui nous a donné la force et la patience d’accomplir ce travail.

Nous consacrons ces mots en signe de gratitude et de reconnaissance à

tous ceux qui ont contribué, de près ou de loin, à la réalisation de ce projet.
Qu’ils veuillent trouver ici nos termes les plus sincères remerciements.
Toute notre gratitude et nos vifs remerciements s’adressent à nos chères
encadrant Mlle Sarra Ben Chaabene et Mme Aida Zaier pour la qualité de leur
encadrement, pour leurs conseils et leurs aides ainsi que leurs critiques et
orientations tout au long de notre réalisation de ce projet.
Nos remerciements s’adressent à Mme Gharbi Hanene encadrant de
TOPNET pour ses conseils.

Nos désirons en outre remercier tous les enseignements qui ont assuré les
meilleurs de leurs connaissances et de leurs patiences durant nos études à ISET
Gabés.
Nous adressons nos honorables respects au président de jury, aux membres
de jury et à tous ceux qui ont bien voulu accepter d'examiner et d'évaluer ce
travail

iii
 Liste des figures

Figure 1 : Organigramme de TOPNET ................................................................................. xi

Figure 2 : Centre opérationnel de sécurité ...............................................................................4
Figure 3 : SIEM ......................................................................................................................5
Figure 4: Structure de la norme ISO 27001 .............................................................................9
Figure 5: Architecture de la pile Elastic ................................................................................ 14
Figure 6: Architecture interne de Logstash............................................................................ 16
Figure 7:Fonctionnement d'ELK ........................................................................................... 20
Figure 8: Interaction modules MEHARI ............................................................................... 21
Figure 9: Présentation synthétique des indicateurs ................................................................ 26
Figure 10: Paramétrage de fichier log ................................................................................... 29
Figure 11:Output Logstash ...................................................................................................30
Figure 12: Filebeat Status .....................................................................................................31
Figure 13:Elasticsearch Status .............................................................................................. 31
Figure 14:Logstash Status.....................................................................................................31
Figure 15:Kibana Status ....................................................................................................... 32
Figure 16:Authentification Kibana ........................................................................................ 32
Figure 17: Menu Discover de Kibana ................................................................................... 33
Figure 18: Création d'un tableau de bord............................................................................... 34
Figure 19: Dashboards .......................................................................................................... 34
Figure 20:Modification de plage horaire ............................................................................... 35
Figure 21:Graphique en barre ............................................................................................... 35
Figure 22:Graphique en ligne ............................................................................................... 36
Figure 23: Graphique Géo location ....................................................................................... 36
Figure 24: Graphique Histogramme ...................................................................................... 36
Figure 25:Tableau de surveillance d'attaque force brute SSH ................................................ 37
Figure 26: Géo Location de l'attaque force brute SSH ........................................................... 38
Figure 27: Histogramme de tentative de connexion SSH ....................................................... 39
Figure 28: Source d'authentification...................................................................................... 39
Figure 29: Exemple d'un fichier log ...................................................................................... 40
Figure 30:Evenement de type panne ..................................................................................... 41
Figure 31: Evenement d'audit ............................................................................................... 41

iv
 Liste des tableaux

Tableau 1:Chiffres clés de TOPNET .......................................................................................x

Tableau 2: Comparatif des SIEM ............................................................................................7
Tableau 3: Comparaison des méthodes d'analyse de risque ................................................... 11
Tableau 4:Tableau de fonctionnalités et les résultats attendus ............................................... 22
Tableau 5: Indicateurs de la méthode MEHARI .................................................................... 23

v
 Liste des acronymes

API Application Program Interface

CPU Central Processing Unit

CRAMM CCTA Risk Analysis and Management Method

DAF Directeur Administratif et Financier

DSI Directeur des Systèmes d’Information

EBIOS Expression des Besoins et Identification des Objectifs de Sécurité

FSI Fournisseur de Services Internet

IP Internet Protocol

JSON Java Script Object Notation

MEHARI Méthode Harmonisée d’Analyse de Risques

RSSI Responsable de la sécurité des Systèmes d’Information

SEM Security Event Management

SI Système d’information

SIEM Security Information and Event Management

SIM Security Information Management

SSH Secure Shell

SOC Security Operations Center

ISMS Information Security Management System

TI Technologies de l’information

vi
 Sommaire
Présentation générale du projet ...............................................................................................x
I. Présentation de l’organisme d’accueil TOPNET...........................................................x
II. Présentation du sujet .............................................................................................. xii
Introduction générale ..............................................................................................................1
Chapitre1 : Généralités sur la cybersécurité ............................................................................2
Introduction ........................................................................................................................2
I. Mise en évidence de la cybersécurité............................................................................2
1. Objectives de cyber sécurité .....................................................................................3
2. Centre opérationnel de sécurité .................................................................................3
II. Solutions de cybersécurité : SIEM ............................................................................4
1. Problématique de l’analyse des événements de sécurité ............................................4
2. Structure d’un SIEM.................................................................................................4
3. Fonctionnalités du SIEM ..........................................................................................5
3.1 L’agrégation ......................................................................................................5
3.2 La corrélation ....................................................................................................5
3.3 L’alerte..............................................................................................................5
3.4 Le reporting .......................................................................................................6
3.5 La conformité ....................................................................................................6
3.6 L’archivage .......................................................................................................6
3.7 L’analyse judiciaire ...........................................................................................6
4. Etude comparative des solutions SIEM .....................................................................6
4.1 Splunk ...............................................................................................................6
4.2 GrayLog2 ..........................................................................................................6
4.3 ELK Stack .........................................................................................................7
III. Analyse des risques ..................................................................................................8
1. Norme ISO 27001 ....................................................................................................8
1.1 Objectif de la norme ISO 27001 ........................................................................8
1.2 Structure de la norme ISO 27001 .......................................................................9
1.2.1 Phase Plan .....................................................................................................9
1.2.2 Phase Do........................................................................................................9
1.2.3 Phase Check ................................................................................................ 10
1.2.4 Phase Act .....................................................................................................10

vii
 1.3 Apports de la norme ISO 27001 ......................................................................10
1.4 Comparaison des méthodes d’analyse de risque ............................................... 10
1.4.1 La méthode EBIOS ...................................................................................... 10
1.4.2 La méthode MEHARI .................................................................................. 11
1.4.3 La méthode CRAMM .................................................................................. 11
1.5 Choix de la méthode d’analyse des risques ...................................................... 12
IV. Etude de la solution opérationnelle de Topnet ......................................................... 12
1. Problématiques ....................................................................................................... 12
2. Solution proposée ...................................................................................................13
Conclusion ........................................................................................................................ 13
Chapitre 2 : Etude de la solution ELK................................................................................... 14
Introduction ...................................................................................................................... 14
I. Solution ELK Stack ...................................................................................................14
1. Présentation d’ELK ................................................................................................ 14
2. Architecture de la pile Elastic ................................................................................. 14
2.1 Beats ............................................................................................................... 15
2.1.1 Principe des Beats ........................................................................................ 15
2.1.2 Filebeat ........................................................................................................ 15
2.2 Logstash .......................................................................................................... 16
2.2.1 Principe de Logstash .................................................................................... 16
2.2.2 Caractéristiques de Logstash ........................................................................ 17
2.3 Elasticsearch ...................................................................................................17
2.3.1 Principe d’Elasticsearch ............................................................................... 17
2.3.2 Caractéristiques d’Elasticsearch ...................................................................18
2.3.3 Avantages d’Elasticsearch ........................................................................... 18
2.4 Kibana ............................................................................................................. 18
2.4.1 Principe de Kibana ....................................................................................... 19
2.4.2 Caractéristiques de Kibana ........................................................................... 19
3. Etapes de fonctionnement ....................................................................................... 20
II. Analyse des risques avec MEHARI ........................................................................ 20
1. Principe de MEHARI ............................................................................................. 20
2. Modules de MEHARI ............................................................................................. 21
3. Identification des activités majeures du domaine et description des résultats attendus
21

viii
 4. Diagnostic des services de la sécurité .....................................................................22
5. Evaluation de la potentialité selon MEHARI .......................................................... 23
6. Choix des indicateurs de MEHARI ......................................................................... 23
III. Tableaux de bord de sécurité ....................................................................................... 23
1. Principe .................................................................................................................. 24
2. Pourquoi élaborer un tableau de bord de sécurité ? ................................................. 24
3. Types de tableaux de bord : .................................................................................... 24
4. Vocabulaire et terminologies : ................................................................................ 25
Conclusion ........................................................................................................................ 26
Chapitre 3 : Réalisation et validation de test ......................................................................... 27
Introduction ...................................................................................................................... 27
I. Environnement matériel et logiciel ............................................................................. 27
1. Environnement matériel.......................................................................................... 27
2. Environnement logiciel........................................................................................... 27
II. Etapes d’installation d’ELK .................................................................................... 27
1. Installation Elasticsearch ........................................................................................ 27
2. Installation et configuration Logstash .....................................................................29
3. Installation et configuration Filebeat ....................................................................... 29
4. Installation et configuration kibana ......................................................................... 30
5. Installation Nginix ..................................................................................................32
III. L’interface Kibana ..................................................................................................32
1. Accédé à Kibana.....................................................................................................32
2. Création d’un tableau de bord ................................................................................. 33
IV. Surveillance des attaques et des événements ........................................................... 37
1. Attaque de force brute SSH .................................................................................... 37
1.1 Principe d’attaque............................................................................................ 37
1.2 Résultat d’attaque ............................................................................................ 37
2. Logs d’authentification ........................................................................................... 38
2.1 Principe ........................................................................................................... 38
2.2 Résultat ........................................................................................................... 38
Conclusion ........................................................................................................................ 41
Conclusion générale ............................................................................................................. 42
Références ............................................................................................................................ 43

ix
 Présentation générale du projet

I. Présentation de l’organisme d’accueil TOPNET

TOPNET est un FSI, leader sur le marché d’Internet en Tunisie, qui a enregistré un taux de
croissance soutenue depuis sa création. Il offre ses services à la fois au grand public et au
marché professionnel. Il opère directement via son réseau d’agences commerciales, mais
également à travers un réseau comprenant plusieurs centaines de distributeurs, ainsi qu’à
travers les moyens de vente en ligne. Ses produits couvrent tous les modes d’accès à Internet
(ADSL, téléphone,...) et il propose diff érentes formules commerciales (post-payé, prépayé,
forfaits, gratuités,...) ainsi qu’un set très varié de services et options : parrainage, pack
sécurité, etc.

Le tableau suivant montre une synthèse de chiffres clés concernant TOPNET.

Tableau 1: Chiffres clés de TOPNET

Statut juridique Société anonyme

Date de creation 2 Mai 2001
Capital social 2 Milliards DT
Chiffre d’affaire(2015) 37.8 Milliards DT
Ressources humaines 500 employés
Nombre d’abonnés ADSL 504.000 ( en 2017)
Agences 13 Agences

 TOPNET en point de vue hiérarchique

TOPNET comme d’autres organisations nécessitent une hiérarchie plus ou moins forte
pour pouvoir fonctionner. Une meilleure organisation de l’entreprise suppose une hiérarchie
plus poussée, c’est la base de l’organisation du travail.

x
La figure suivante montre l’organigramme de TOPNET

Ressources Bureau
Direction des humaines d’ordre
ressource
Moyens
généraux
Direction
Achat
Département Système
d’information

Direction
technique Département
d’exploitation
technique
PDG DGA Département
d’administration
Comptabilité système
Expertise Hotline
technique commerciale
Hotline
technique Direction service
client commerciale Prospection

Direction Service
marketing backoffice
marketing

Direction des
agences

Figure 1 : Organigramme de TOPNET

xi
 II. Présentation du sujet
Notre projet consiste en la protection et prévention contre les attaques informatiques qui
est devenue une tâche complexe et couteuse. En fait, une entreprise qui cherche à se protéger
doit déployer plusieurs dispositifs de défense et d’outils d’observations performants pour
détecter les éventuelles failles. Les responsables sécurité doivent disposer donc d’outils
parfaitement opérationnels et sécurisés, qui assure la gestion du réseau (gestion des alertes,
suivi des pannes gestion des données de configuration et maintenance…) par la collecte des
alertes provenant de tous les équipements (détecteurs d’intrusions, firewalls, serveurs,
système d’exploitation…) et les traiter et classer par priorité en éliminant les alertes inutiles et
en se basant sur des algorithmes de corrélation d’alertes.

Ces algorithmes permettent d’identifier les attaques réelles à partir d’un ensemble d’alertes.
Ces alertes sont ensuite affichées via une interface graphique où elles sont étiquetées et
résolues soit automatiquement à travers des recommandations déjà prédéfinies soit
manuellement par l’administrateur.

Le présent projet consiste à étudier les différentes solutions SIEM (Security Information and
Event Management) présente sur le marché et à mettre en place une solution adaptée aux
spécificités et aux contraintes de TOPNET.

xii
 Introduction générale

Introduction générale

La sécurité de l’information est une problématique majeure pour toute entreprise

quelle que soit sa grandeur dans le marché et quelques soit son domaine d’activité.

La sécurité de l’information repose sur des critères comme la disponibilité, l’intégrité

et la confidentialité des données. Pour avoir un système sécurisé, il faut veiller sur le respect
et la maintenance de ces critères.

Tout comme tout autre type d’entreprises, les Fournisseurs de Services Internet (FSI) et
les sociétés télécom veillent à améliorer la sécurité de leurs systèmes. En effet, ces entreprises
sont les plus exposés aux menaces de sécurité dues à des vulnérabilités dans leurs systèmes
qui peuvent mettre leur infrastructure en situation de risque.

Dans ce cadre, plusieurs organismes essaient d’adopter des processus de gestion de

risque pour identifier les risques et palier leurs impacts.

Le tableaux de bord de sécurité est un outil très utilisé dans le processus de gestion de
risque. C’est un outil de visualisation de l’état de sécurité global du système d’information
concerné.

Afin d’avoir une vision globale et cohérente sur l’état de sécurité de sa plateforme, le
département service internet de TOPNET a décidé d’élaborer un tableau de bord de sécurité à
l’aide d’une solution SIEM. Ce qui fera l’objet de ce projet de fin d’études.

Ce rapport est composé de 3 chapitres qui sont organisés comme suit : dans le premier
chapitre nous présenterons la cyber sécurité, les solutions SIEM du marché, le choix de la
solution que nous allons utiliser et l’analyse de risques avec une étude théorique de la norme
ISO 27001. Dans le deuxième chapitre, nous nous intéresserons à notre solution ELK, son
architecture et nous détaillerons chaque composant de la pile. Puis, nous expliquerons les
étapes d’analyse des risques avec la méthode MEHARI. Enfin, nous présenterons une étude
théorique sur les tableaux de bord de sécurité.

Finalement dans le dernier chapitre, nous allons expliquer les étapes de la mise en place
de la solution, la réalisation et validation de tests par des exemples d’attaques de la plateforme
de TOPNET.

1
 Chapitre1: Généralités sur la cybersécurité

Chapitre1 : Généralités sur la cybersécurité

Introduction
Une étude théorique est indispensable avant la réalisation de chaque projet. Dans ce chapitre,
nous commencerons dans un premier temps par une présentation du sujet et la cybersécurité.
Puis, dans un deuxième temps, nous nous intéresserons à la présentation, les rôles, les
principales solutions SIEM du marché et le choix de la solution qu’on va utiliser. Ensuite, une
étude comparative des méthodes d’analyse des risques sera effectuée ce qui nous permettra de
choisir la méthode conforme à la norme avec laquelle on va travailler.

I. Mise en évidence de la cybersécurité

Dans un contexte informatique, la sécurité comprend la cybersécurité et la sécurité
physique. Les entreprises les utilisent pour se protéger contre les accès non autorisés aux
systèmes informatisés et aux centres de données. [1]
Cybersécurité est composé par deux mots qui sont :
 Cyber qui décrit une personne, une idée ou une chose qui existe dans l’espace
numérique
 sécurité c’est l’ensemble des moyens mis en œuvre pour se prémunir du danger.
Le terme cybersécurité désigne la protection des personnes, des idées et des données
dans ce cyberspace. Elle est définit par un ensemble de politiques et de mesures qui sont
utilisés pour protéger le cyber environnement et les actifs des organisations et des utilisateurs.
Les actifs des organisations et des utilisateurs est composés par le personnel, les
applications, les services, les systèmes de télécommunication, et toutes les informations
transmises et stockées dans le cyber environnement.
Les individus, les entreprises et même les pays peuvent être victimes de cyber
attaques.
Il existe divers types de hackers : les amateurs qui créent des attaques pour s'amuser ou
pour le prestige, les hacktivistes qui piratent des systèmes pour une cause politique et les
hackers professionnels qui développent des attaques pour faire des profits. En outre, des pays
peuvent attaquer d'autres pays pour tirer parti économiquement du vol de la propriété
intellectuelle ou pour endommager ou détruire les ressources d'un autre pays. Les réseaux de
PC et de serveurs ne sont pas les seuls à être vulnérables face aux attaques, des milliers
d'appareils de l'Internet des objets sont aussi concernés.

2
 Chapitre1: Généralités sur la cybersécurité

L’utilisation de cybersécurité peut aider à prévenir les cyber attaques, les violations de
données et le vol d’identité ainsi que la gestion des risques.
1. Objectives de cyber sécurité
Les principaux objectifs de cyber sécurité sont :

 La confidentialité des données : les données doivent être accessibles que par les
entités autorisées.
 L'intégrité des données : les informations ne doivent pas être modifiés de façon
indue, que ce soit accidentellement ou par malveillance.
 La disponibilité des données et des outils : maintien de l’accessibilité en continu
sans interruption ni dégradation et les informations doivent être protégées de
l’inaccessibilité (cryptage, vol, destruction) afin de garantir la disponibilité des
informations dans les meilleurs délais.
 La traçabilité et la transparence des traitements : Il s'agit de suivre et de
journaliser les actions et les traitements de données afin de pouvoir détecter et prévenir
que l’intégrité, la disponibilité, ou la confidentialité soient compromises.
La défense contre les menaces nécessite une approche bien formalisé, structuré des
technologies et des professionnels dans le domaine de sécurité : SOC (Security Operations
Center).
2. Centre opérationnel de sécurité
Les centres opérationnels de sécurité sont chargés d'empêcher, de détecter et d'éliminer
la cybercriminalité. Ils se composent de personnes qui suivent des processus pour utiliser des
technologies afin de répondre aux menaces.

3
 Chapitre1: Généralités sur la cybersécurité

Figure 2 : Centre opérationnel de sécurité

Ce centre a besoin d'un système de gestion des événements et des informations liés à la
sécurité (SIEM) ou d'un système équivalent.
II. Solutions de cybersécurité : SIEM
Dans cette section, nous exposons les solutions SIEM et leurs rôles dans la gestion de la
sécurité de l’information. Ensuite, nous présentons les principales solutions SIEM du marché
parmi lesquelles nous utiliserons une solution pour implémenter notre tableau de bord de
sécurité.
1. Problématique de l’analyse des événements de sécurité
Bien que les événements réseau soient cruciaux dans la détection des failles de sécurité, il
convient de faire attention dans leur analyse ainsi que dans les conclusions déduites. Les
problématiques majeures de l’analyse des événements de sécurité sont que les informations ou
événements disponibles sur un système donné couvrent généralement des domaines très
larges. Il faut donc sélectionner les événements de sécurité qui doivent être émis vers une
plate-forme centrale d’analyse et de corrélation. Pour analyser et corréler les événements de
manière plus efficace, il existe des outils sur le marché sous le nom de SIEM.
2. Structure d’un SIEM
Les SIEM sont des outils de supervision de la sécurité, ils utilisent les informations en
provenance de divers équipements et logiciels de sécurité. Ils combinent deux éléments :
 SIM (Security Information Management) : C’est un outil qui permet la
centralisation et l’analyse des informations de sécurité passées pour améliorer la
sécurité ainsi que l’efficacité à long terme.
 SEM (Security Event Management) :Outils de supervision de la sécurité s’orientant
sur la collecte des évènements instantanés afin de fournir une grande quantité

4
 Chapitre1: Généralités sur la cybersécurité

d’informations qui peut être traitées immédiatement et alerter les administrateurs dans
l’immédiat de l’état du système d’information

Figure 3 : SIEM

Les technologies SIEM sont capables de fournir une analyse temps réel des alertes de sécurité
générées par les équipements et les applications réseau. Ils sont aussi utilisés pour gérer et
corréler les logs et générer des rapports de sécurité.
3. Fonctionnalités du SIEM
Il existe plusieurs fonctionnalités d’un SIEM parmi lesquels on peut citer :
3.1 L’agrégation
Les SIEM font la collecte des événements des SI, les journaux systèmes et des
équipements pare-feu, routeurs, base de données.
3.2 La corrélation
La corrélation consiste à chercher des attributs communs et relier les événements qui
semblent avoir la même cause ce qui rend ces événements aléatoires une information utile
pour l’analyse.
3.3 L’alerte
Les SIEM permettent l’analyse automatisée des événements corrélés et la production
des alertes. Ces alertes peuvent être dirigées vers les tableaux de bord ou bien envoyés par
des emails.
5
 Chapitre1: Généralités sur la cybersécurité

3.4 Le reporting
Les SIEM permettent de créer et générer des tableaux de bord et des rapports qui
donnent une visibilité sur le SI (nombre d’attaques, nombre d’alertes par jour.).
3.5 La conformité
Les SIEM peuvent être utilisées pour automatiser la collecte de données de conformité
et produire des rapports qui s’adaptent aux processus de sécurité, de gouvernance et de
contrôle existants.
3.6 L’archivage
Les SIEM permettent le stockage à long terme des données historiques pour faciliter la
corrélation des données au fil du temps, et de fournir le maintien nécessaire pour les
exigences de conformité. L’archivage est utilisé généralement pour des raisons juridiques et
réglementaires
3.7 L’analyse judiciaire
La capacité à effectuer des recherches dans les journaux sur les différents nœuds et les
périodes de temps en fonction de critères spécifications. Cela atténue l’obligation de chercher
parmi des milliers de journaux
4. Etude comparative des solutions SIEM
De nos jours, il existe une multitude de solutions SIEM qui aident à la gestion des
événements de la sécurité. Dans cette partie, nous allons citer quelques exemples d’outils
SIEM et on va faire la comparaison entre eux.
4.1 Splunk
Splunk SIEM est un système qui fournit la gestion des journaux, la recherche,
l’alerte, la corrélation en temps réel. Il est déployé par les opérations informatiques et les
équipes de soutien d’application pour l’analyse de gestion des journaux, la surveillance et la
recherche avancée. [2]
4.2 GrayLog2
GrayLog2 est une plateforme open source de gestion de journal entièrement intégré
pour la collecte, l’indexation et l’analyse des données. Il permet d’avoir une gestion
centralisée des logs qui seront stockés dans une base de données et gérés via une interface
web. GrayLog2 affiche les logs des équipements dans son interface web, il permet aussi
d’effectuer des recherches sur des messages spécifiques et de générer des histogrammes et des
tableaux de bord. [3]

6
 Chapitre1: Généralités sur la cybersécurité

4.3 ELK Stack

C’est une puissante collection de trois outils open source : Elasticsearch, Logstash et
Kibana. Ils sont les plus utilisés pour l’analyse des logs dans différents environnements
informatique. Il permet d’effectuer une journalisation centralisée qui aide à identifier les
problèmes liés aux serveurs web et aux applications. [4]
Le tableau suivant représente une étude comparative des solutions SIEM les plus populaires
dans le marché
Tableau 2: Comparatif des SIEM

Splunk ELK Stack GrayLog2

Configuration
rapide
et déploiement
  
La gestion des évènements de
sécurité
  
La gestion et la découverte d’actifs
  
La gestion des journaux
  
La gestion du réseau
  
L’évaluation des vulnérabilités
  
La détection des menaces
  
Personnalisation des tableaux de
bord
  
Reporting
  
Recherche Intelligente en temps
réel
  

7
 Chapitre1: Généralités sur la cybersécurité

Nous avons choisi de travailler avec ELK grâce à leurs avantages montrés dans le tableau
précédent.
III. Analyse des risques
Les SI de nos jours sont de plus en plus exposés à de nombreuses menaces qui
pourraient exploiter leurs vulnérabilités. Pour limiter les impacts de ces menaces, une
politique de traitement de risque doit être établie. L’analyse des risques en sécurité de
l’information permet d’identifier les dangers induits par les applications et les SI, de les
évaluer, et de définir et mettre en œuvre des mesures de protection adaptées.

1. Norme ISO 27001

La certification ISO/IEC 27001 démontre aux clients, existants et potentiels, qu'une
organisation a défini et mis en œuvre des processus de sécurité de l'information selon les
bonnes pratiques à suivre. La norme ISO 27001 est la seule norme auditable
internationalement qui définisse les exigences pour un système de gestion de la sécurité de
l'information (ISMS - Information Security management system). [5]
Un SMSI désigne l’approche systématique par laquelle une organisation veille à la
sécurité des informations sensibles. Construit selon un processus de management du risque,
un SMSI englobe les personnes, les processus et les systèmes de TI
1.1 Objectif de la norme ISO 27001
L’objectif principal de cette norme est de spécifier les exigences pour mettre en place,
exploiter et améliorer un SMSI documenté. La norme aussi a pour objectifs :
 La spécification des exigences pour la mise en place de mesures de sécurité adaptées
aux besoins de l’organisation
 La définition d’un périmètre
 L’appréciation des risques en appliquant des méthodes compatibles avec la norme
 Le traitement du risque
 La sélection des mesures de sécurité
 La documentation
 La formation et sensibilisation
 La gestion des incidents de sécurité
 Le contrôle à l’aide des audits internes, les indicateurs et les revues périodiques
 L’amélioration continue

8
 Chapitre1: Généralités sur la cybersécurité

1.2 Structure de la norme ISO 27001

La norme ISO 27001 se compose de onze chapitres qui sont divisés en quatre phases
comme la montre la figure 2 suivante : [6]

Figure 4: Structure de la norme ISO 27001

1.2.1 Phase Plan

Cette phase consiste à définir les objectifs du SMSI. Elle est constituée de quatre
étapes :
 La définition de la politique de sécurité qui sera appliquée au sein de l’entreprise et
le périmètre du SMSI, c'est-à-dire son domaine d’application.
 L’identification et l’évaluation des risques liés à la sécurité en choisissant une
méthode d’analyse de risque
 Le traitement des risques identifiés, ceci en choisissant parmi quatre traitements
possibles : l’acceptation, l’évitement, le transfert ou la réduction.
 Choisir les mesures de sécurité à mettre en place, la norme propose cent quatorze
mesures classées en quatorze catégories
1.2.2 Phase Do
Cette phase consiste à mettre en place les objectifs initialement définis. Elle est
composée de quatre étapes :

 L’établissement d’un plan de traitement des risques

 Le déploiement des mesures de sécurité

9
 Chapitre1: Généralités sur la cybersécurité

 La mise en place des indicateurs de performance qui donnent une idée sur
l’efficacité des mesures de sécurité ou de conformité qui donnent une idée sur la
conformité du SMSI à ses spécifications
 La formation et la sensibilisation du personnel
1.2.3 Phase Check

Cette phase consiste à gérer le SMSI en quotidien et à détecter les incidents en

permanence pour y réagir rapidement. Ceci à l’aide de trois outils :
 Les audits internes qui vérifient la conformité et l’efficacité du SMSI.
 Le contrôle interne qui vérifie le fonctionnement normal des processus.
 Les revues qui garantissent l’adéquation du SMSI avec son environnement.
1.2.4 Phase Act
Cette phase consiste à mettre en place des actions correctives, préventives ou
d’améliorations pour les incidents et écarts constatés lors de la phase Check.
 Actions correctives : agir sur les effets pour corriger les écarts puis sur les causes pour
éviter la reproduction des incidents.
 Actions préventives : agir sur les causes avant que l’incident ne se produise.
 Actions d’amélioration : améliorer la performance d’un processus du SMSI.
1.3 Apports de la norme ISO 27001
Cette norme a contribué dans la sensibilisation à la sécurité de l’information et à la
création des SMSI. En effet, elle fait communiquer deux populations : technique et
organisationnelle. De plus, elle constitue un langage commun qui est non seulement
compréhensible par les techniciens et les administrateurs mais aussi par toute personne
souhaitant implémenter un SMSI. En outre, cette norme est un référentiel structurant ce qui
est pratique dans le cas de multiples référentiels de sécurité à suivre. Enfin, la norme ISO
27001 donne une image de sérieux puisque l’état de l’art est reconnu en termes de
l’organisation de la sécurité en plus de sa contribution à faire accepter la sécurité à tous les
niveaux.
1.4 Comparaison des méthodes d’analyse de risque
1.4.1 La méthode EBIOS
EBIOS est l’acronyme de « Expression des Besoins et Identification des Objectifs de
Sécurité » permet d’identifier les risques d’un SI et de proposer une politique de sécurité
adaptée aux besoins de l’entreprise. [7]

10
 Chapitre1: Généralités sur la cybersécurité

1.4.2 La méthode MEHARI

MEHARI est l’acronyme de « Méthode Harmonisée d’Analyse de Risques» est une
méthodologie intégrée et complète d’évaluation et de management des risques associés à
l’information et à ses traitements. [7]
1.4.3 La méthode CRAMM
CRAMM est l’acronyme de « CCTA Risk Analysis and Management Method » est une
méthode exhaustive assez lourde, réservée aux grandes entreprises. Elle est composée de trois
phases : Identification de l’existant, évaluation des menaces et des vulnérabilités et choix des
remèdes. [7]
Le tableau suivant résume les caractéristiques de ces trois méthodes d’analyse des risques :

Tableau 3: Comparaison des méthodes d'analyse de risque

Caractéristiques EBIOS MEHARI CRAMM

Langue Français Français, Anglais, Allemand Anglais

Documentation Riche et disponible Riche et disponible Pas disponible

gratuitement gratuitement

Outil Logiciel EBIOS Fichier tableur gratuit de la CRAMM expert et

gratuit base de connaissances, CRAMM express
Logiciel risicare payant

Fonctionnalité Analyse des risques, Analyse des risques Tableau Analyse des risques
maturité des SSI de bord Indicateurs, Maturité
SSI

Méthode Appréciation des Analyse et management des Evaluation des

risques risques risques

Complexité Base de connaissances Utilisé en conjonction avec Logiciel sophistiqué

riche, existence d’une un logiciel ou des feuilles de et complexe
communauté d’expert calcul dédiées, adaptation
compliquée à la base de
connaissances

11
 Chapitre1: Généralités sur la cybersécurité

1.5 Choix de la méthode d’analyse des risques

Après l’étude comparative des principales méthodes d’analyse des risques, nous avons
décidé d’opter pour la méthode MEHARI. En eff et, cette méthode est compatible avec la
norme ISO 27001. Elle contient une documentation riche pour chacune de ses phases. Aussi,
elle utilise comme base de connaissances un fichier tableur, ce qui la rend simple à appliquer.
De plus, la méthode MEHARI convient aux projets tableaux de bord car elle a aussi une
base d’indicateurs de sécurité. Cependant cette méthode tout comme toute autre méthode
d’analyse de risque, requiert un temps d’assimilation avant de l’utiliser, et son application
peut dépasser 3 mois selon la taille du système qui va être étudié.
IV. Etude de la solution opérationnelle de Topnet
1. Problématiques
Les fichiers logs constituent une source très riche et des renseignements en temps réel,
complets et pertinents donc tout l’enjeu consiste de pouvoir analyser ces informations,
détecter de la manière la plus fine les incidents de fonctionnement d’un système d’information
et d’assurer une projection prédictive pour prévenir tout dommage sur les infrastructures, les
réseaux et les applications.
Parmi les risques et les problèmes de non surveillance de réseau et la complexité des
systèmes existants sont :
 La complexité et la grande taille des fichiers Log : Les évènements journalisés
générés par les équipements deviennent de plus en plus difficiles d'exploiter ou d'en
faire un reporting pertinent, de plus elles rassemblent à quelque chose de parfaitement
incompréhensible.
 Non surveillance des risques encourus : Les services en ligne utilisant Internet ou
les technologies IP mis en place par les entreprises ne cessent de se développer aussi le
besoin de sécurité et de traçabilité pour minimiser la vulnérabilité d’un système contre
les menaces accidentelles ou intentionnelles est devenue primordiale. D’une manière
générale, les experts ont classé les risques informatiques que l’organisation peut courir
en deux types selon les natures et leurs causes :
 Les attaques intentionnelles : Tout équipement informatique connecté à un réseau
informatique peut être potentiellement vulnérable à une attaque : Sur Internet, des
attaques ont lieu en permanence, à raison de plusieurs attaques par minute sur chaque
machine connectée. Ces attaques sont en généralement lancées automatiquement à
partir de machines infectées (virus, chevaux de Troie, etc.), à l’insu de leur

12
 Chapitre1: Généralités sur la cybersécurité

propriétaire et plus rarement par des pirates informatiques. C’est la raison pour
laquelle il est absolument impératif d’installer des dispositifs de monitoring et de
sécurisation, à savoir des pare-feu afin de faire barrière entre l’ordinateur et le réseau.
 Les défaillances logicielles et matérielles : A part les attaques volontairement
lancées contre les systèmes informatiques des organismes visant à compromettre leur
fonctionnement normal, ces systèmes restent toujours vulnérables vis-à-vis des
défaillances logicielles et matérielles.
2. Solution proposée
L’analyse des logs doit être transparent, celle-ci ne doit pas impacter les services
applicatifs. Il ne s'agit pas d'une solution "clef en main", mais de l'assemblage des produits
open source et gratuits ELK (Elasticsearch, Logstash et Kibana). L’homogénéité des
développements est assurée par la société Elastic, dans le cadre d’un développement
communautaire.
 Les logs sont indexés dans une base de données distribuée
 Les équipes ont un seul outil de statistiques à prendre en main
 L’analyse d’une volumétrie de données très importante est réalisée en temps réel
 La collecte d’informations n’alourdit pas la navigation des utilisateurs.
 Les plugins d’E/S ainsi que les filtres sont nombreux et facile à prendre en main

Conclusion
Dans ce chapitre, nous avons effectué une étude théorique des principaux concepts et
notions qui nous seront utiles dans notre travail. Nous avons maintenant une idée sur les outils
de travail que nous allons utiliser pour élaborer un tableau de bord conforme à nos besoins. Le
chapitre suivant va contenir nos choix concernant la méthode d’analyse des risques et la
démarche d’élaboration du tableau de bord ainsi une étude détaillée sur ELK Stack.

13
 Chapitre2 : Etude de la solution ELK

Chapitre 2 : Etude de la solution ELK

Introduction
Dans ce chapitre, nous intéresserons à notre solution SIEM. Nous commençons par la
présentation d’ELK et son architecture. Ensuite, nous détaillerons chaque composant de la
pile. Puis, nous expliquons les étapes d’analyse des risques avec la méthode MEHARI. Enfin,
nous présenterons une étude théorique sur les tableaux de bord de sécurité.
I. Solution ELK Stack
Après avoir effectué la comparaison entre les solutions SIEM open source du marché,
nous avons choisi de travailler avec la solution ELK Stack qui permet de réaliser les
fonctionnalités d’un SIEM grâce à ses outils puissants.
1. Présentation d’ELK
ELK Stack est une collection de trois produits open source qui sont développés, gérés et
maintenus par la société Elastic :
 E signifie Elasticsearch : utilisé pour stocker les journaux
 L signifie Logstash : utilisé à la fois pour le filtrage des données, l’ajout des champs
et la redirection des données traitées
 K signifie Kibana : est une interface web permettant de visualiser les données.
L’objectif de la pile est le traitement de fichiers logs applicatifs en temps réel, l’utilisation
dans un processus pour l’informatique décisionnelle, la supervision d'un parc informatique, la
configuration d’une base de données regroupant les machines d'un parc informatique et enfin
l’affichage des données issues des objets connectés. [8]
2. Architecture de la pile Elastic
Ce qui suit est l’architecture d’ELK Stack qui montre l’ordre du flux de journaux.

Figure 5: Architecture de la pile Elastic

14
 Chapitre2 : Etude de la solution ELK

Maintenant, nous allons parler de chacun de ces outils en détails.

2.1 Beats

ELK Stack se compose traditionnellement de trois composants principaux

Elasticsearch, Logstash et Kibana, est désormais également utilisé avec ce que l’on appelle
« Beats »qui est une famille d’expéditeurs pour différents cas d’utilisation. D’où la naissance
à un nouveau titre pour la pile « Elastic Stack ». [9]
2.1.1 Principe des Beats
Les beats sont différent agents open source que l’on installe sur des machines qui seront
chargées de récupérer des logs et des informations et de les envoyer aux sorties compatibles.
Que nous exploitons des centaines ou des milliers de machines et de systèmes, les agents
Beats se chargent de transférer nos données vers Logstash et Elasticsearch.
Il existe plusieurs agents Beats parmi lesquels on peut citer :
 Filebeat : permet un transfert léger et centralisé des logs et fichiers
 Metricbeat : récupère des indicateurs sur des serveurs (Systèmes d’exploitation,
MySQL...)
 Packetbeat : récupère des données réseaux
 Winlogbeat : récupère les logs se trouvant dans l’Event Viewer
 Auditbeat : récupère des données du framework audit Linux
 Heartbeat : récupère des données en faisant des tests de disponibilité des services
Dans notre cas, on a va utiliser Filebeat pour la collection des logs
2.1.2 Filebeat
Filebeat est un agent de transfert léger, il nous permet de centraliser nos logs et fichiers.
Le risque d'indisponibilité d'une application est toujours possible. Filebeat lit et transfère les
lignes de logs et, en cas d'interruption, reprend là où il en était dès que la connexion est
rétablie. C’est donc le plus fiable et solide agent beats.
Filebeat intègre des modules internes (Apache, NGINX, System et MySQL, et autres) qui
simplifient la collecte, l'analyse et la visualisation des formats de logs les plus courants. Pour
ce faire, ces modules associent les valeurs automatiques par défaut basées sur notre système
d'exploitation avec les définitions du pipeline d'ingestion Elasticsearch et les tableaux de bord
Kibana.
Parmi les caractéristiques de Filebeat on peut citer :

15
 Chapitre2 : Etude de la solution ELK

 Transfert léger : Pour choisir notre source nous utilisons les agents Beats pour faire
cette tâche. Les agents beats collecte les données. Ils sont présents sur nos serveurs,
avec nos conteneurs, ou déployés comme fonctions, et centralisent nos données dans
Elasticsearch. Les agents Beats peuvent aussi transférer ces données vers Logstash,
qui se charge de les transformer et de les analyser.

 Branchement : Filebeat intègre des modules internes qui facilite la collecte, l'analyse
et la visualisation des formats de logs les plus courants, comme Apache et Nginx (ce
sont deux serveurs web open-source), et des indicateurs système.
 Lorsque nous avons choisi l’offre Elasticsearch hébergée, les agents légers de transfert
sont parfaitement adaptés à l'envoi des données vers Elastic Cloud.
2.2 Logstash
2.2.1 Principe de Logstash

C’est un outil de pipeline open source coté serveur, destiné au traitement des
données. Il collecte divers types de données provenant de sources différentes, puis les
transformer et les envoyer vers le système de stockage (Elasticsearch). [9]

Figure 6: Architecture interne de Logstash

Le pipeline Logstash se compose de trois composants :

 Input : Les données sont souvent éparpillées ou cloisonnées dans de nombreux

systèmes et sous différents formats. Logstash est compatible avec tout un arsenal
d'entrées différentes, qui collectent des événements depuis un très grand nombre de

16
 Chapitre2 : Etude de la solution ELK

sources. Le tout, de manière simultanée. Le pipeline nous permet de les ingérer depuis
nos journaux, nos indicateurs, nos applications web, nos data stores. Tout cela, en
continu et avec une facilité déconcertante.
 Filter : Lorsque les données transitent depuis une source vers leur destination, les
filtres Logstash analysent chaque événement et identifient les champs pour créer une
structure et transformer les données. Son objectif est d’obtenir un format uniformisé,
de transformer des données non structurées en données structurées, de déchiffrer des
coordonnées géographiques à partir d'adresses IP, d’anonymiser les données
personnelles et exclure entièrement les champs confidentiels et de faciliter le
traitement, quels que soient la source, le format ou le schéma des données.
 Output : Avec Logstash nous pouvons choisir notre data store et transporter nos
données. Bien sûr, Elasticsearch, qui nous permet d'élargir le champ des possibles en
matière de recherche et d'analyse et notre destination préférée. Mais Logstash qui
propose la quantité de sorties, qui nous permettent de transférer nos données. Nous
gagnons ainsi une flexibilité et une liberté.
2.2.2 Caractéristiques de Logstash
 Durabilité et sécurité : Que nous exécutons des dizaines ou des milliers d'instances
Logstash, nous permet d’assurer la sécurité totale de nos pipelines d'ingestion.
Les données en provenance de Beats et d'autres sources peuvent être chiffrées sur le
réseau.
2.3 Elasticsearch
2.3.1 Principe d’Elasticsearch

C’est une base de données NoSQL de recherche et d’analyse exploitant le format

JSON cela lui permet d’exécuter des requêtes rapides via plusieurs API sur les données
recueillies par Logstash. Son rôle est d’extraire les données à partir de différentes sources en
temps réel. Pour maximiser son efficacité, l’outil Elasticsearch utilise Lucene, une puissante
bibliothèque d’indexation. [9]

Il dispose deux familles de classes (indexation et recherche) :

 Indexation : permet de créer des index, d’y placer des documents, de les analyser et
de les indexer.

17
 Chapitre2 : Etude de la solution ELK

 Recherche : Accès à l’index, formulation des recherches, restitution du résultat et

statistiques d’accès.
2.3.2 Caractéristiques d’Elasticsearch
Les caractéristiques générales d’Elasticsearch sont les suivantes :
 Recherche : Qu’il s’agit de données structurées ou non structurées, de données
géographiques ou d’indicateurs, avec Elasticseach, nous pouvons lancer différents
types de recherches, ou encore les associer entre elles.
 Analyse : Trouver les dix documents qui répondent le mieux à notre recherche est
une chose. Donner un sens à des milliards de lignes de log en est une autre. Les
agrégations d'Elasticsearch permettent d'explorer les tendances et d'identifier des
modèles à partir de nos données.
 Rapidité : Lorsque nous obtenons des réponses instantanément, notre rapport aux
données évolue. Nous pouvons alors effectuer des recherches encore plus poussées.
Cette rapidité n'est pas le fruit du hasard. Nous avons mis en œuvre des index inversés
avec des transducteurs à états finis pour les recherches et pour le stockage de données
numériques et géographiques, ainsi qu'une structure en colonne pour leur analyse.
 Flexibilité : Données numériques, textuelles, géographiques, structurées,
non structurées, Elasticsearch est extensible jusqu’à des pétaoctets de données.
2.3.3 Avantages d’Elasticsearch
 Elasticsearch est développé en Java, ce qui le rend compatible sur presque toutes les
plateformes.
 Il est en temps réel, c'est-à-dire qu’après une seconde, le document ajouté est
interrogeable dans ce moteur.
 Il utilise des objets JSON comme réponses, ce qui permet d’appeler le serveur
Elasticsearch avec un grand nombre de langages de programmation différents.
2.4 Kibana

Aucune solution de journalisation centralisée n’est complète sans un outil

d’analyse et de visualisation. Sans pouvoir interroger et surveiller efficacement les données, il
est inutile de les regrouper et de les stocker. Kibana joue ce role dans notre solution. [9]

18
 Chapitre2 : Etude de la solution ELK

2.4.1 Principe de Kibana

Kibana est une plate-forme open source d’analyse et de visualisation conçu pour
fonctionner avec Elasticsearch. Kibana permet de rechercher, d’afficher et d’interagir avec les
données stockées dans les index Elasticsearch. Cet outil permet d’effectuer une analyse de
données avancée et visualiser les données dans une variété de graphiques, de tableaux et de
cartes.
Kibana facilite la compréhension de gros volumes de données. Son interface simple,
basée sur un navigateur permet de créer et de partager rapidement des tableaux de bord
dynamiques affichant les modifications apportées aux requêtes Elasticsearch en temps réel.
Une image vaut mieux que dizaine de lignes de log c’est le principe de Kibana.
2.4.2 Caractéristiques de Kibana
Kibana offre les fonctionnalités suivantes :
 Visualisation : Kibana dispose de nombreuses méthodes pour visualiser facilement
les données. Parmi ceux qui sont les plus utilisés on peut citer les diagrammes à barres
verticales/horizontales, les graphiques à secteurs, les graphiques linéaires, les cartes
thermiques etc.
 Tableau de bord : Lorsque les visualisations sont prêtes, elles peuvent être placées
dans un tableau appelé tableau de bord. Observer des différentes sections ensemble
permet de donner une idée globale et claire de ce qui se passe exactement.
 Rapports : Toutes les données sous forme de visualisation et de tableau de bord
peuvent être converties en rapport
 Cartes de coordonnées et de régions : Une carte de coordonnées et de régions aide à
afficher la visualisation sur la carte géographique, donnant une vue réaliste des
données.
 Timeline : Est un autre outil de visualisation principalement utilisé pour l’analyse de
données basée sur le temps.
 Canvas : est une autre fonctionnalité puissante de Kibana. À l'aide de la visualisation
de canevas, nous pouvons représenter les données dans différentes combinaisons de
couleurs, formes, textes et pages multiples, appelés en tant que workpad.

19
 Chapitre2 : Etude de la solution ELK

3. Etapes de fonctionnement
Pour un environnement de développement de petite taille, l'architecture classique se présente
comme suit:

Figure 7: Fonctionnement d'ELK

 Etape 1 : Les agents Beats collectent les données chez le client et les envoie à
Logstash.
 Etape 2 : Logstash permet le traitement et l’agrégation de données puis l’envoi à
Elasticsearch.
 Etape 3 : Elasticsearch permet la recherche et l’indexation puis le transfert à kibana.
 Etape 4 : kibana gère, analyse et visualise les données reçues.
II. Analyse des risques avec MEHARI
Avant la construction d’un tableau de bord, une étape très importante doit être
accomplie pour établir les objectifs de sécurité. Cette étape est l’analyse des risques. Dans
cette section, nous détaillerons les étapes d’analyse des risques avec la méthode MEHARI.
Nous commencerons par le principe de MEHARI, ses modules. Ensuite nous allons passer par
l’étape du diagnostic des services de sécurité pour enfin appliquer les étapes d’analyse des
risques de MEHARI à notre système.
1. Principe de MEHARI

MEHARI permet d’identifier et évaluer les risques dans le cadre d’une politique de
sécurité, (planifier),fournir des indications précises sur les plans à bâtir(déployer) à partir des

20
 Chapitre2 : Etude de la solution ELK

revues des points de contrôle de vulnérabilités (contrôler) et dans une approche cyclique de
pilotage (Améliorer). [10]

2. Modules de MEHARI
Le tableur de la base de connaissances de MEHARI contient quatres modules :
 Module d’analyse des enjeux et classification des actifs.
 Module du diagnostic des services de sécurité.
 Module d’analyse des risques ( identification, estimation et évaluation des risques)
 Module de traitement des risques.
De plus, le fichier contient une introduction à la méthode et des éléments permanents et de
paramétrage de la méthode. Les modules de MEHARI peuvent être combinés, en fonction du
choix d’orientation ou de politiques d’entreprise, pour bâtir des plans d’action ou, tout
simplement, pour aider à la prise de décision concernant la sécurité de l’information .
La figure suivante montre l’interaction entre les modules de MEHARI. [10]

Figure 8: Interaction modules MEHARI

3. Identification des activités majeures du domaine et description des résultats

attendus
Comme convenu, le système étudié sera la plateforme de TOPNET. Nous nous
intéressons aux principales fonctionnalités faites par le département services Internet pour
assurer un bon fonctionnement de la plateforme. Le tableau suivant est une synthèse de cette
étape :

21
 Chapitre2 : Etude de la solution ELK

Tableau 4:Tableau de fonctionnalités et les résultats attendus

Fonctionnalités Résultats attendus

Hébergement Mutualisé : Fournir aux clients un

hébergement fiable et de bonne
- Nettoyage périodique des espaces d’hébergement
qualité
inutilisés
- Maintenance des interfaces de gestion et des
services d’hébergement et de base de données
- Résolution des problèmes remontés par les équipes
de support
- Supervision des failles de sécurité applicatives et
d’infrastructure et remontée des alertes adéquates
- Aide à la migration vers les nouveaux Hôtes
d’hébergement, et à la résolution de divers
problèmes que rencontrent les clients hébergés

4. Diagnostic des services de la sécurité

Un service de sécurité est une réponse à un besoin de sécurité, généralement en
référence à certains types de menaces. Le service de sécurité est assuré par un ou plusieurs
sous services de sécurités (expl : contrôles accès authentification + autorisation + filtrages).
Cette phase est composée de trois parties : l’élaboration d’un schéma d’audit qui fait la
distinction entre des domaines de solutions différents devant être l’objet d’analyses séparées,
l’évaluation de la qualité des services de sécurité basée sur les questionnaires MEHARI et le
processus d’audit qui se termine par une synthèse des vulnérabilités. Comme cette phase
requiert une énorme période de temps pour être achevée, et comme notre objectif n’est pas
l’audit du système, ainsi que la base de connaissances de MEHARI contient des services de
sécurité qui concernent un SI classique qui est différent de notre cas, nous avons seulement
répondu à quelques questionnaires qui vont nous aider pour l’élaboration des objectifs
mesurables. [11]

22
 Chapitre2 : Etude de la solution ELK

5. Evaluation de la potentialité selon MEHARI

La potentialité d’un scénario de risque est la probabilité de son occurrence. Dans cette
étape, nous avons attribué à chaque scénario du risque une valeur de potentialité selon
l’échelle des valeurs de potentialité de MEHARI.
L’échelle de potentialité est constituée de quatre valeurs :
 Niveau 4 (très probable)
 Niveau 3 (probable)
 Niveau 2 (improbable)
 Niveau 1 : (très improbable)
6. Choix des indicateurs de MEHARI
Pour choisir nos indicateurs nous avons d’abord essayé de voir ce que propose la
méthode MEHARI comme indicateurs standards.
La méthode propose des indicateurs qui touchent plusieurs domaines pour un système
d’information classique. Mais comme notre système est un peu particulier nous avons fait une
sélection des indicateurs qui sont reliés avec nos objectifs de sécurité et qui nous seront
vraiment utiles pour visualiser l’état de sécurité de notre plateforme. Nous avons aussi changé
quelques indicateurs pour qu’ils soient conformes avec nos besoins. [12]
Le tableau suivant résume les indicateurs de la méthode MEHARI choisis

Tableau 5: Indicateurs de la méthode MEHARI

Indicateur Possibilité d’obtention Source d’obtention

Nombre de tentatives ssh refusées par Immédiatement disponible Outil

le firewall

Nombre de tentatives ssh refusées Facile à obtenir Outil

Nombre de tentatives autres outils Impossible de l’obtenir -

refusées

III. Tableaux de bord de sécurité

Dans cette section nous définissons les tableaux de bord de sécurité ainsi que le but
d’élaborer un tel outil. Ensuite, nous présentons les types de tableaux de bord, quelques
terminologies dans ce thème et enfin les méthodologies d’élaboration des tableaux de bord.
[13]

23
 Chapitre2 : Etude de la solution ELK

1. Principe
Le tableau de bord de la sécurité des SI est un outil de synthèse et de visualisation qui
permet d’avoir une vision synthétique sur la situation de la sécurité du SI. Il constitue aussi un
atout pour l’amélioration de la qualité des services de sécurité et la maitrise du niveau de
sécurité global des systèmes d’information. Le tableau de bord permet de suivre les
dimensions fonctionnelles de la sécurité qui se manifestent dans la couverture des risques, la
qualité de la politique de sécurité mais aussi le suivi des audits, des actions et des alertes.
Les tableaux de bord peuvent être construits à partir :
 Des objectifs de sécurité découlant d’une analyse des risques.
 Des règles de sécurité découlant d’une politique de sécurité.
 Des règles de sécurité issues d’un référentiel externe (nouvelle norme SSI, nouvelle
loi...)
Pour construire un tableau de bord, il faut suivre une démarche itérative qui se compose de
deux phases importantes :
 L’élaboration d’une politique de sécurité.
 L’identification des objectifs de sécurité.
Cet outil reste en évolution tout au long de la vie du SI. Nous pouvons l’enrichir en se basant
sur des éléments externes tels que: les résultats d’audit, l’évolution du contexte sécurité,
l’évolution technique du SI, etc.
2. Pourquoi élaborer un tableau de bord de sécurité ?
Le pilotage de la sécurité d’un SI est une action indispensable pour protéger le SI en
question. Ceci se produit en identifiant les risques, les objectifs de sécurité et les mesures de
sécurité, en s’appuyant sur des référentiels internes comme la politique de sécurité de
l’organisme ou externe comme les normes, ainsi qu’en contrôlant le niveau de sécurité et le
niveau de conformité. Le tableau de bord constitue un support de pilotage de la sécurité. C’est
un outil qui aide à contrôler toutes ces actions. Les objectifs principaux des tableaux de bord
peuvent se résumer en ces trois éléments :
 Donner la visibilité : le niveau du risque, la conformité…
 Aider à prendre des décisions : actions, priorités...
 Communiquer : reporting à la direction, les clients, sensibilisation interne…
3. Types de tableaux de bord :
Généralement, les tableaux de bord de la sécurité se construisent par étapes, en
remontant du niveau opérationnel au niveau fonctionnel jusqu’au niveau stratégique. [14]

24
 Chapitre2 : Etude de la solution ELK

Ainsi, on distingue trois types de tableau de bord :

 Opérationnel : ce tableau est destiné pour les RSSI, les équipes opérationnelles. Il se
produit avec une fréquence mensuelle, ou hebdomadaire selon les besoins. Il permet
de décrire d’une manière détaillée l’avancement de la mise en œuvre des mesures de
sécurité et identifier les anomalies.
 De pilotage : ce tableau est destiné pour les RSSI, les DSI et les responsables
d’activités. Il est produit avec une fréquence trimestrielle. Il permet de faire une
synthèse de l’avancement de la mise en œuvre des mesures de sécurité pour chaque
domaine des métiers concernés en récupérant une sélection des indicateurs
opérationnels.
 Stratégique : ce tableau est destiné pour la direction générale, DAF, et les risk
managers. Il est produit avec une fréquence semestrielle. Construit à partir des
indicateurs fonctionnels et opérationnels, il permet d’avoir une vision globale sur l’état
d’avancement de la mise en œuvre de la sécurité ce qui donne à la direction générale
et les responsables de sécurité la possibilité de prendre des décisions en terme du
budget pour contourner les risques.
4. Vocabulaire et terminologies :
Pour construire un tableau de bord, nous devons accéder à des données pour
élaborer enfin les indicateurs. Pour cela, nous devons faire la différence entre ces trois
termes [15] :
 Mesure : c’est la donnée brute. Exemple : nombre de postes, criticité d’une
vulnérabilité, etc.…
 Métrique : c’est une fonction de plusieurs mesures, c'est-à-dire une formule de
calcul. Exemple : La couverture antivirus=nombre de postes avec antivirus/nombre
de postes total
 Indicateur : c’est l’évaluation d’une métrique en fonction d’un seuil.
Exemple : « critique », « alerte », « feu vert »…
 Tableau de bord : c’est une présentation synthétique et organisée d’indicateurs
La figure suivante montre comment les indicateurs sont synthétisés dans un tableau de bord :

25
 Chapitre2 : Etude de la solution ELK

Figure 9: Présentation synthétique des indicateurs

Conclusion
Dans ce chapitre, nous avons effectué dans un premier lieu une étude sur la pile ELK,
ainsi le principe de chaque composant et son fonctionnement. Dans un deuxième lieu, nous
avons essayé d’appliquer la méthode d’analyse de risque MEHARI à notre système. Puis,
nous avons identifié les principes, les fonctionnalités, et les types de tableaux de bord. Nous
avons simplifié les taches pour arriver à notre dernière étape qui est la réalisation et la
validation de test pour notre projet.

26
 Chapitre3 : Réalisation et validation de test

Chapitre 3 : Réalisation et validation de test

Introduction
Dans ce chapitre, nous détaillerons l’environnement matériel et logiciel dans lequel nous
avons implémenté notre solution, ainsi les étapes de notre travail.
I. Environnement matériel et logiciel
1. Environnement matériel
Pour la réalisation de notre solution, nous avons utilisé deux machines : les premiers est
physiques dont les caractéristiques sont les suivants :
 Marque : HP
 Processeur Pentium(R) Dual core CPU 2.20 GHz
 Mémoire : 4 Go de RAM
 Système d’exploitation : Windows 10, 64-bits
L’autre machine est virtuelle hébergée dans le Cloud de l’entreprise.
La quantité de CPU, de RAM et de stockage requise par notre serveur ELK dépend du volume
de journaux que nous souhaitons collecter. Nous utiliserons les spécifications suivantes pour
notre serveur ELK :
 OS : Centos7
 RAM : 4 Go
 CPU : 4
2. Environnement logiciel
La réalisation de notre solution a nécessité un serveur CentOS 7 dont l’adresse IP :
196.203.251.40 utilisé par « root».
II. Etapes d’installation d’ELK
Dans la partie ci-dessous nous présentons le processus logiciel que nous avons choisi. [16]
1. Installation Elasticsearch
Tout d’abord, nous allons définir ici quelques mots clé utilisés dans Elasticsearch :
 Cluster : cluster est formé d’un ou plusieurs nodes. Le cluster va accueillir tout nos
nodes et donc toutes nos données. Un cluster est formellement identifié par un nom.
Par défaut ce nom est ‘elasticsearch’ mais nous pouvons le modifier.

27
 Chapitre3 : Réalisation et validation de test

 Node : C’est une instance d’elasticsearch. Il fait partie de notre cluster comme dit plus
haut. Il stocke nos données, participe à l’indexation mais aussi à la recherche. Comme
le cluster, le node est identifié par un nom.
 Index : C’est une collection de documents qui ont tous un point commun. Un index
peut regrouper tous nos utilisateurs, En fait nous pouvons mettre n’importe quoi à
partir du moment où ces données ont un point commun et qu’il est logique de les
classer dans le même index pour une recherche.
 Document : C’est dans le document qu’est représentée la donnée. Elle est organisée
avec des champs. De la même façon qu’une table avec des champs en MySQL.
Cependant ici il s’agit d’une représentation NoSQL en JSON .
Nous avons installé Elasticsearch comme suit :
 Installation de Java8 : Elasticsearch et Logstash nécessitent Java, nous allons donc
l’installer avec une version récente d’Oracle Java 8
 Maintenant que Java8 est installé, installons Elasticsearch en utilisant la commande :
#yum -y install elasticsearch
 Elasticsearch est installé. Puis nous avons édité le fichier de configuration
« elasticsearch.yml » :
#vim elasticsearch.yml
 Dans la section « network », nous avons modifié les lignes « network.host » et
« http.port » :
Network.host :0.0.0.0
http.port :9200
 La configuration d’Elasticsearch est terminée. Elasticsearch s’exécutera sur n’importe
quelle @ IP et sur le port 9200. Enfin nous l’avons ajouté pour le lancer au démarrage
et le démarrer :
#systemctl daemon-reload
#systemctl enable elasticsearch
#systemctl start elasticsearch
 Création d’index Elasticsearch (base de donné sur RDB)
 Définir le mappage et insérer les données de test. Le mappage définit la structure de
l'index. Si nous insérons des données, le mappage sera défini automatiquement, mais il
est bien sûr possible de le définir manuellement
La configure Elasticsearch Cluster ce fait comme suit :

28
 Chapitre3 : Réalisation et validation de test

 Configurer le Cluster d’elasticsearch

 Installer et exécuter Elasticsearch sur tous les nœuds.
 Modifier les paramètres sur tous les nœuds (cluster name, node name, network host,
number node…)
 Vérifier le statut du cluster (vert)
2. Installation et configuration Logstash
Pour installer Logstash nous avons utilisé la commander suivante :
#yum -y install logstash
L’ensemble des fichiers sont agrégés par Logstash vue du paramétrage des trois sections :
 Input {…}
 Filter {…}
 Output {…}
Suivant la figure ci-dessous, Logstash écoute l’ensemble des messages émis par le serveur
Nginx et collectés par Filebeat. La configuration réalisée en quelques lignes. Au démarrage,
Logstash démarre un serveur qui écoute sur toutes les adresses IP disponibles sur le port 5044.

Figure 10: Paramétrage de fichier log

3. Installation et configuration Filebeat
Pour installer filebeat nous avons utilisé la commande suivante :
#yum -y install filebeat

29
 Chapitre3 : Réalisation et validation de test

Filebeat a été installé, la configuration se fait dans le fichier « filebeat.yml » dans le répertoire
de configuration « /etc/filebeat/ ».
#vim filebeat.yml
Ensuite, nous avons commenté la section de « Elasticsearch output ».

Figure 11:Output Logstash

Enfin, nous avons ajouté Filebeat pour le lancer au démarrage et le démarrer :
# enable filebeat
#start filebeat
4. Installation et configuration kibana
Comme auparavant, nous avons utilisé une simple commande pour installer Kibana :
#yum -y install kibana
Kibana est installé. Puis nous avons modifié les lignes de configuration «server.port»,
«server.host» et «elasticsearch.url» dans le fichier de configuration «kibana.yml» :
Server.port :5601
Server.host :0.0.0.0
Elasticsearch.url :http://localhost :9200
Enfin nous avons ajouté kibana pour le lancer au démarrage et le démarrer :
#systemctl enable kibana
#systemctl start kibana
Afin de vérifier que tous les outils de la suite ELK sont bien installés y compris Filebeat, nous
avons testé les états de chaque service «filebeat.service», «elasticsearch.service»,
«logstash.service» et «kibana.service» à l’aide de ces lignes de commandes
#systemctl status filebeat

30
 Chapitre3 : Réalisation et validation de test

Figure 12: Filebeat Status

#systemctl status elasticsearch

Figure 13:Elasticsearch Status

#systemctl status logstash

Figure 14:Logstash Status

#systemctl status kibana

31
 Chapitre3 : Réalisation et validation de test

Figure 15:Kibana Status

5. Installation Nginix
Nous avons installé Nginix security sur tous les nœuds Elasticsearch et nous avons
défini un nom d’utilisateur et un mot de passe sur un nœud principal Elasticsearch.
Ensuite, nous avons copié l’autorité de certification et le certificat que nous avons générés sur
tous les nœuds Elasticsearch du cluster
Nous avons défini les paramètres SSL utilisés sur la connexion entre les serveurs et les
clients.
Pour accéder à Kibana, nous avons défini un nom utilisateur « ameni » et un mot de passe .
III. L’interface Kibana
Kibana joue un rôle très important dans l’extraction des détails exacts sur notre journée
de transaction commerciale, que ce soit par heure, par heure ou toutes les minutes, pour que la
société sache à quel point le progrès progresse.
1. Accédé à Kibana
Une fois que Kibana a bien été lancé, nous avons accédé à son interface graphique en ouvrant
un navigateur à l’URL elk.topnet.tn. Une page qui nous invite à s’authentifier est affichée
comme la montre la figure suivante.

Figure 16: Authentification Kibana

32
 Chapitre3 : Réalisation et validation de test

Ensuite, dans le menu « Discover » nous avons défini « filebeat* » comme l’ensemble des
indices qui seront visualisés dans Kibana, et nous avons sélectionné quelques filtres « Time»,
«beat.name », « source » que l’on veut afficher.

Figure 17: Menu Discover de Kibana

Dans le menu « Dashboard », nous avons crées nos tableaux de bord dynamiquement.
Nous pouvons accéder à la page Tableau de bord et sélectionner le tableau de bord spécifique
à un type d’attaque, une notification, une information ou bien une donnée que nous souhaitons
ouvrir.
2. Création d’un tableau de bord

Dans cette étape nous allons créer notre tableau de bord , nous avons choisi « Dashboard »
ensuite « create new Dashboard » de l’interface Kibana.

33
 Chapitre3 : Réalisation et validation de test

Figure 18: Création d'un tableau de bord

Notre tableau de bord est ajouté dans la liste « Dashboards »

Figure 19: Dashboards

Nous pouvons choisir la date et la période d’analyse des données qui sera affiché dans notre
tableau de bord

34
 Chapitre3 : Réalisation et validation de test

Figure 20: Modification de plage horaire

Différents choix de graphiques sont possibles :

 Graphique en barre

Figure 21: Graphique en barre

35
 Chapitre3 : Réalisation et validation de test

 Graphique en lignes

Figure 22: Graphique en ligne

 Placés sur une carte (Géo location)

Figure 23: Graphique Géo location

 Histogrammes

Figure 24: Graphique Histogramme

36
 Chapitre3 : Réalisation et validation de test

Dans le monde réel, il devient très facile de suivre les détails de notre entreprise. Par
exemple, nous avons un site Web qui reçoit des millions de visites chaque mois ou tous les
jours, nous souhaitons garder une trace des ventes. Chaque jour, heure, minute, seconde et si
nous avons notre pile ELK en place, Kibana peut nous montrer la visualisation de nos ventes
sous nos yeux toutes les heures, minutes et secondes que nous souhaitons voir. Il affiche les
données en temps réel telles qu'elles se produisent dans le monde réel.
IV. Surveillance des attaques et des événements
Avec la Suite Elastic, nous sommes armé pour rester dans la course et faire face à tous les
événements de notre entreprise ainsi aux attaques d'aujourd'hui et de demain qui peuvent
l’attaquée.

1. Attaque de force brute SSH

1.1 Principe d’attaque
Les attaques dites « brute force SSH » sont des tentatives de connexions SSH effectuant une
succession d'essais pour découvrir un couple utilisateur/mot de passe valide afin de prendre le
contrôle de la machine. Il s'agit d'une attaque très répandue et toute machine exposée sur
Internet se verra attaquer plusieurs fois par jour. En se focalisant sur une IP donnée, nous
obtenons le profil de l'attaque SSH (login attempts [Filebeat System]).

1.2 Résultat d’attaque

La capture suivante présente les données reçues en temps réel dans l'ordre
chronologique pour une attaque brute force SSH. Nous pouvons connaitre l’addresse IP de
l’attaquant, la date de l’attaque ainsi l’origine.

Figure 25: Tableau de surveillance d'attaque force brute SSH

37
 Chapitre3 : Réalisation et validation de test

La visualisation dans notre tableau de bord spécifique à une attaque est en temps réel. Comme
nous avons remarqué qu’il y a une attaque brute force SSH au serveur de TOPNET, nous
pouvons connaitre son localisation dans un map. La figure suivante nous montre que l’attaque
est effectuée en China.

Figure 26: Géo Location de l'attaque force brute SSH

2. Logs d’authentification
2.1 Principe
Les logs d’authentification sont envoyés vers Elasticsearch via le module système Filebeat,
nous utilisons Kibana pour visualiser les tentatives de connexion SSH et autres activités
d’authentification.
2.2 Résultat
Les graphiques suivant présentent quelques tentatives de connexion SSH :

38
 Chapitre3 : Réalisation et validation de test

Figure 27 : Histogramme de tentative de connexion SSH

Figure 28: Source d'authentification

3. Les événements qui ont surveillés

Kibana nous permet de collecter les données et les événements à partir de fichier log de
notre serveur client puis les visualiser dans notre tableau de bord.
3.1 Qu’est ce qu’un log ?
Chaque action d'un système informatique produit un fichier log. Ces fichiers textes
listent chronologiquement les évènements exécutés par un serveur ou une application
informatique. Ils s'avèrent utiles pour comprendre la provenance d'une erreur en cas de bug.
S'agissant d'un serveur Web, un fichier log va enregistrer la date et l'heure de la tentative
d'accès, l'adresse IP du client, le fichier cible, le système d'exploitation utilisé, le navigateur,
la réponse du serveur à cette requête, éventuellement le type d'erreur rencontré, etc. C’est
39
 Chapitre3 : Réalisation et validation de test

facile d’accéder à un fichier log, généralement sont localisés dans le fameux dossier «
/var/log/... » Sous linux. La capture suivante présente un exemple d’un fichier de log de notre
société TOPNET.

Figure 29: Exemple d'un fichier log

3.2 Résultat
Les deux graphiques suivant tracent un évènement de type panne et un événement d'audit
exécutés par notre serveur.

40
 Chapitre3 : Réalisation et validation de test

Figure 30: Evenement de type panne

Figure 31: Evènement d'audit

Conclusion
Dans ce chapitre, nous avons cité les différentes étapes d’installation et de configuration
d’ELK, ensuite nous avons décrit l’interface Kibana et les tableaux de bord qui ont affichés
enfin, nous avons tracé des attaques et des événements qui ont surveillés par notre solution
ELK durant la période du temps souhaitée.

41
 Conclusion générale

Conclusion générale

Durant quelques années, le monitoring est devenu une activité indispensable dans le
monde de l’IT. Qu’il soit technique ou fonctionnel, qu’il fournisse des métriques, charts, ou
autres, le monitoring de son système est devenu un besoin intense.

En outre, les technologies évoquées dans ce projet sont encore jeunes et bénéficient
de nombreuses innovations. Le déploiement de la plateforme d’analyse de logs est modulaire
en fonction de la volumétrie que l’on souhaite analyser. L’ensemble des composants qui
forment la chaine d’analyse est scalable horizontalement. De plus, celle-ci est composée
uniquement de solutions Open Source. Il n’y a donc aucun coût de Licence à prévoir. Enfin, la
plupart des services et/ou protocoles actuels sont supportés.

Sans doute, une solution ELK est recommandée pour toute entreprise qui souhaite
garder les choses simples et accroitre de manière exponentielle leurs besoins de traitement de
journaux.

A l’issu de ce travail, nous avons eu l’occasion de découvrir le métier d’un fournisseur

de services internet qui est un leader dans le marché tunisien. En outre, nous avons appris la
notion et les processus de gestion de risques dans la sécurité de l’information qui est un
domaine très vaste.

Cette expérience nous a été bénéfique puisque notre stage nous a permis de nous
familiariser à la vie professionnelle, d’exploiter des notions fondamentales dans l’analyse de
données, et d’approfondir nos connaissances théoriques acquises à l’Institut Supérieur des
Etudes Technologiques de Gabès.

Enfin, l’outil qu’on a réalisé reste une plateforme de départ qui laisse des grandes
possibilités d’extension et d’améliorations surtout pour intégrer l’aspect de sécurité. C’est une
étape qui prépare pour l’établissement d’un SOC dans TOPNET, qui est un centre de
supervision et d’administration, et une plateforme qui fournit des services de détection et
gestion des incidents de sécurité contenant une base de connaissance de vulnérabilités riche et
complète.

42
 Références

[1] : https://www.netacad.com/fr/courses/security/ccna-cybersecurity-operations

[2] : https://www.lemagit.fr/conseil/Les-nouveaux-usages-de-Splunk-de-lanalytique-predictif-
au-SIEM-nouvelle-generation

[3] : https://www.supinfo.com/articles/single/3881-graylog-centralisation-logs-donnees-
messages

[4] : https://www.elastic.co/fr/elk-stack

[5] : https://www.itgovernance.eu/fr-fr/benefices-iso-27001-fr

[6] : https://www2.deloitte.com/fr/fr/pages/risque-compliance-et-controle-
interne/articles/cyber-academy.html/ressources/presentations/eurosec06-indic/.html#

[7] : https://www.ansi.tn/fr/documents/guides/guides/comparatif_methodes_Audit_AR.pdf

[8] : https://www.monitoring-fr.org/2016/04/ne-dites-plus-elk-mais-the-elastic-stack/

[9] : https://www.elastic.co/fr/elk-stack

[10] : http://mehari.info/forum/viewtopic.php?f=9&t=79

[11] : http://sharesnets.net/file-shares/1wXL/

[12] : https://www.clusif.fr/fr/production/ouvrages/pdf/

[13] : http://www.ssi.gouv.fr/uploads/IMG/pdf/

[14] : http://securite.intrinsec.com/wp-content/uploads/2012/02/

[15] : http://securite.intrinsec.com/wp-content/uploads/2012/02/

[16] : https://www.server-
world.info/en/note?os=CentOS_7&p=elasticstack6&f=1&fbclid=IwAR13xDYlhmkq_zaQeab
VF8vgR7BWXbmbRswfYLt_a1YcaDmc_zGATEPCDmk

43