REPUBLIQUE TUNISIENNE

Ministère de l’Enseignement Supérieur et de la Recherche Scientifique

Université de Gabès

Ecole Nationale d’Ingénieurs de Gabès ‫المدرسة الوطنية للمهندسين بقابس‬

Département de Génie des ‫قسم هندسة اإلتصاالت والشبكات‬

Communications & des Réseaux

MEMOIRE DE PROJET DE FIN D’ETUDES

Présenté en vue de l’obtention du

Diplôme National d’Ingénieur en

Génie des Communications & des Réseaux

Réalisé par :
Nosra Trabelsi

Sujet :

Conception et implémentation d'une architecture de sécurité

réseaux basée sur la remédiation automatique

Soutenu le 06/07/2023 devant la commission de jury :

Mme Wiem Abderrahim Présidente

Mme Fatma Belabed Membre
Mme Emna Ben Slimane Encadrant

Année Universitaire : 2022/2023 GCR 2022/2023

Résumé
Le présent document constitue le fruit de notre travail accompli dans le cadre du Projet de Fin
d’Etudes au sein de l’Ecole Nationale d’Ingénieurs de Gabés (ENIG).

Dans la lignée des précédents travaux réalisés dans le domaine de sécurité des réseaux, notre
projet intitulé « Conception et implémentation d’une architecture de sécurité réseaux
basée sur la remédiation automatique des incidents » consiste à appliquer les concepts de
la sécurité réseaux à des scénarios réels.

L'objectif de notre projet est de développer une architecture de sécurité réseau qui permettra
de répondre efficacement aux incidents de sécurité en mettant en place des mécanismes de
remédiation automatique. Nous avons cherché à combler les lacunes de l'existant en matière
de détection, d'analyse et de réponse aux menaces.

Mots clés : Sécurité des réseaux, remédiation, anomalie, Firewall, détection, intrusion

Abstract
This document is the result of our accomplished work in the context of our Project Graduation
within the National Engineers School of Gabes.

In the same context of previous works achieved in the Network Security, our project entitled
"Design and implementation of a network security architecture based on automatic
remediation of incidents" involves applying network security concepts to real-world
scenarios.

The objective of our project is to develop a network security architecture that will effectively
respond to security incidents by implementing automatic remediation mechanisms. We have
sought to fill the gaps in the existing system in terms of detection and response to threats.

Keywords: Network security, remediation, analysis, anomaly, Firewall, detection, intrusion

‫ملخص‬
‫هذه الوثيقة هي ثمرة عملنا المنجز في إطار مشروع نهاية الدراسة بالمدرسة الوطنية للمهندسين بقابس‬.

‫ فإن مشروعنا بعنوان "تصميم وتنفيذ بنية أمان الشبكات القائمة على‬،‫تماشيًا مع األعمال السابقة في مجال السالمة المعلوماتية‬
.‫المعالجة التلقائية للحوادث" تتمثل أهمية مشروعنا في تطبيق مفاهيم أمان الشبكات على حاالت واقعية‬

‫ لقد‬.‫الهدف من مشروعنا هو تطوير بنية أمان للشبكة تستجيب بشكل فعال للحوادث األمنية من خالل تنفيذ آليات المعالجة التلقائية‬
‫سعينا إلى سد الثغرات الموجودة في النظام الحالي من حيث الكشف عن التهديدات واالستجابة لها‬.

‫ الكشف‬،‫ التحليل تدفق مشبوه االختراقات‬،‫ المعالجة‬،‫ أمن الشبكة‬:‫الكلمات المفاتيح‬

 Dédicace
À la mémoire de ma mère
Même si notre temps ensemble a été court, ton impact sur ma vie est immense. Tu m'as donné la vie
et m'as transmis des valeurs qui me guident chaque jour. Ta force et ton dévouement resteront
gravés dans mon cœur à jamais.
Je sais que tu es là, veillant sur moi depuis les cieux. Je sens ta présence dans les moments de
doute, de joie et de succès. Ton énergie bienveillante m'accompagne à chaque pas de ma vie.
À toi, ma mère chérie, je dédie mes succès et mes réalisations en tant qu'ingénieure. Ton amour, ta
force et ta détermination sont les fondations sur lesquelles j'ai construit ma vie et ma carrière.
A ma chère grand-mère
Tu as été bien plus qu'une grand-mère pour moi, tu as été un pilier de force et de stabilité. Ton
amour inconditionnel a été une source d'inspiration pour moi, me donnant la confiance nécessaire
pour poursuivre mes rêves.
A ma chère professeur Emna
Cette merveilleuse femme qui a œuvré pour ma réussite, par son amour, son soutien, ses prières,
tous les sacrifices consentis et ses précieux conseils,
A ma chère professeur Naziha
Qui n'a jamais cessée, de formuler des prières à mon égard, de me soutenir Et de m'épauler pour
que je puisse atteindre mes objectifs.
À ma sœur Syrine,
Sœur du mon cœur, ma sœur de cœur, un lien d'amour indescriptible et de complicité infinie.
À mon âme sœur Omayma,
Pour l’amour dont tu m’as toujours comblé, ainsi que pour le bien être que tu m’as toujours assuré.
Que Dieu te garde et te protège.
A mon cher oncle et à toute ma famille
Je dédie aussi ce travail à tous mes amis, en souvenir des beaux moments qu’on a passés ensemble.
A ma chère Yasmine
Merci d'être là pour moi. Ta présence a fait une différence significative dans ma vie et je suis
honorée de t'avoir comme amie.
A tous ceux que j’aime et ceux qui m’aiment.
 Remerciements

Je suis extrêmement reconnaissant envers Monsieur Ahmed Trifi pour son encadrement
précieux tout au long de la période de stage. Ses conseils avisés, son assistance, ses
compétences techniques ont été un soutien inestimable pour moi.

J'adresse également mes remerciements chaleureux à toute l'équipe "Sécurité" pour leur
accueil bienveillant, leur encouragement constant, leurs conseils avisés et leur aide en toutes
circonstances.

Je tiens à exprimer toute ma reconnaissance et ma gratitude envers Messieurs Bahaeddine

Hsini et Mouhamed Ben Hamida, mes co-encadrants, qui ont eu l'amabilité de répondre à
toutes mes questions, de partager des remarques pertinentes, ainsi que de prodiguer des
conseils et des explications précieuses. Leur guidage et leur encouragement ont joué un rôle
déterminant dans la réussite de ce travail.

Enfin, je souhaite exprimer ma profonde gratitude envers Madame Emna BEN SLIMANE,
mon encadrant à l'ENIG. Ses conseils précieux et son soutien indéfectible m'ont permis de
surmonter de nombreux défis. Je la remercie chaleureusement pour sa pédagogie, sa
disponibilité et son engagement sans faille.

Je souhaite également exprimer mes sincères remerciements aux membres du jury, Mme
Wiem Abderrahim et Mme Fatma Belabed d'avoir accepté d'évaluer ce travail avec attention.
 Table des matières

Introduction générale ............................................................................................................... 1

Chapitre 1 : Contexte général du projet ................................................................................ 2
Introduction .......................................................................................................................... 3
1.1. Présentation de l'organisme d’accueil .................................................................. 3
1.1.1 Historique ............................................................................................................ 3
1.1.2 Mission de OTBS ................................................................................................ 3
1.2 Présentation du projet ............................................................................................... 4
1.2.1 Etude de l’existant .............................................................................................. 4
1.2.2 Critique de l’existant .......................................................................................... 5
1.2.3 Objectifs de projet .............................................................................................. 5
Conclusion ............................................................................................................................. 5
Chapitre 2 : Etat de l’art ......................................................................................................... 7
Introduction .......................................................................................................................... 8
2.1 Cybersécurité ............................................................................................................. 8
2.1.1 Notion de cyber sécurité .................................................................................... 8
2.1.2 Importance de la sécurité .................................................................................. 8
2.1.3 Service de sécurité .............................................................................................. 8
2.1.4 Types de cyber sécurité ...................................................................................... 9
2.2 Menaces et vulnérabilités d’un réseau ................................................................... 10
2.2.1 Terminologie de la sécurité informatique ...................................................... 10
2.2.2 Démarche générale d’une attaque .................................................................. 11
2.2.3 Objectifs généraux d’une attaque ................................................................... 13
2.2.4 Classification des attaques ............................................................................... 14
2.3 Sécurité des réseaux................................................................................................. 18
2.4 Remédiation automatique des incidents ................................................................ 20
2.4.1 Méthode de la remédiation .............................................................................. 20
2.4.2 PxGrid ............................................................................................................... 20
2.5 Protocoles de routage et de sécurité ....................................................................... 21
2.5.1 OSPF .................................................................................................................. 21
2.5.2 EIGRP ............................................................................................................... 21
 2.5.3 AAA ................................................................................................................... 21
2.5.4 RADUIS............................................................................................................. 22
2.5.5 802.1x authentification ..................................................................................... 22
Conclusion ........................................................................................................................... 22
Chapitre 3 : Réalisation ......................................................................................................... 23
Introduction ........................................................................................................................ 24
3.1 Environnement matériel et logiciel ........................................................................ 24
3.1.1 Environnement matériel .................................................................................. 24
3.1.2 Environnement logiciel .................................................................................... 25
3.1.3 Equipements réseaux ....................................................................................... 27
3.2 Architecture de sécurité réseaux et plan d’adressage .......................................... 31
3.3 Implémentation ........................................................................................................ 35
3.3.1 Connectivité VPN AnyConnect et contrôle d'accès à un serveur web ........ 35
3.3.2 Connectivité VPN Clientless et contrôle d'accès à un serveur web ............. 39
3.3.3 VPN IPSEC (site to site ) ................................................................................. 41
3.3.4 Accès sécurisé au serveur web via NGIPS ..................................................... 44
3.3.5 Authentification et contrôle d’accès via ISE .................................................. 47
3.3.6 Connexion au serveur web via Cisco AnyConnect en utilisant AAA .......... 51
3.3.7 Connexion au serveur web distant via un tunnel L2TPv3 over FlexVPN .. 52
3.3.8 Connexion au serveur web distant via un serveur proxy ............................. 55
3.1 Remédiation automatique des incidents ................................................................ 58
3.1.1 Remédiation automatique des téléchargements de malwares ...................... 58
3.1.2 Détection, analyse et réponse efficace aux menaces réseau .......................... 66
Conclusion ........................................................................................................................... 73
Conclusion générale ............................................................................................................... 74
Références ............................................................................................................................... 75
Annexes ................................................................................................................................... 78
Annexe 1 : Attaque déni de services ................................................................................. 78
Annexe 2 : Attaque de l’homme de milieu ....................................................................... 81
Annexe 3 : Installation de StealthWatch et Flow collector............................................. 83
 Liste des acronymes
AAA : Authentication, Authorization, and Accounting

ASA : Adaptive Security Appliance

ASDM : Adaptive Security Device Manager.

ASAv : Adaptive Security Virtual Appliance

ACL : Access Control List

DHCP : Dynamic Host Configuration Protocol

DMZ: Demilitarized Zone

EAPOL : Extensible Authentication Protocol over LAN

EVE NG : Emulated Virtual Environment – Next Generation

FMC: Firepower Management Center

FTD : Firepower Threat Defence

FTP : File Transfer Protocol

IDs : Intrusion Detection System

IP : Internet Protocol

IPs : Intrusion Prevention System

IPsec : Internet Protocol Security

L2TPv3 : Layer 2 Tunnelling Protocol Version 3

ISE : Identity Services Engine

LAN : Local Area Network

MAB : MAC Authentication Bypass

MAC :Media Access Control

NGIPS : Next-Generation Intrusion Prevention System

OTBS : OneTech Business Solutions

RADIUS : Remote Authentication Dial-In User Service

SCP : Secure Copy Protocol

SFTP : Secure File Transfer Protocol

WSA : Web Security Appliance

WAN : Wide Area Network

 Liste des figures

Figure 1 : Historique de OTBS .................................................................................................. 3

Figure 2:MitM attacks .............................................................................................................. 16
Figure 3: Interface graphique de EVE-NG .............................................................................. 26
Figure 4: Interface WinSCP ..................................................................................................... 27
Figure 5: Cisco ASA ................................................................................................................ 28
Figure 6: Cisco FTD ................................................................................................................. 28
Figure 7: Cisco NGIPS ............................................................................................................. 29
Figure 8: Cisco FMC ................................................................................................................ 29
Figure 9: Cisco ISE .................................................................................................................. 30
Figure 10: Cisco WSA ............................................................................................................. 30
Figure 11: Cisco StealthWatch ................................................................................................. 30
Figure 12 : Architecture sécurité réseaux ................................................................................. 32
Figure 13:Architecture physique de Traffic web vers Datacenter 1 ........................................ 36
Figure 14:Interface graphique de ASDM ................................................................................. 37
Figure 15: Connexion au VPN AnyConnect ............................................................................ 38
Figure 16:Accés au serveur Web à partir de Sales PC ............................................................. 39
Figure 17:Architecture physique de Trafic web vers Datacenter 2 .......................................... 40
Figure 18: Accès au serveur Web à partir de Marketing PC .................................................... 41
Figure 19: Architecture physique de VPN site to site .............................................................. 41
Figure 20:Interface graphique du FDM ................................................................................... 42
Figure 21: VPN site to site ....................................................................................................... 42
Figure 22:Configuration de VPN site to site ............................................................................ 43
Figure 23: Accès au serveur web à partir de Branch PC .......................................................... 44
Figure 24:Architecture physique d’accès au serveur web via NGIPS ..................................... 45
Figure 25:Mangement de NGIPS avec FMC .......................................................................... 45
Figure 26: Configuration des Rules ......................................................................................... 46
Figure 27:Capture des Trafic passer par NGIPS ...................................................................... 46
Figure 28:Acces au serveur web de Tac PC ............................................................................. 47
Figure 29:Architecture d'authentification et le contrôle d'accès via ISE ................................. 48
Figure 30:Interface graphique de ISE ...................................................................................... 48
Figure 31:Ajout de switch au Cisco ISE .................................................................................. 49
Figure 32:Authentification avec succès du user Tac ................................................................ 50
Figure 33: Authentification MAB ............................................................................................ 51
Figure 34: Authentification ASA-ISE ...................................................................................... 52
Figure 35:Architecture physique d'accès au serveur web via L2TPv3 over FlexVPN ............ 53
Figure 36:Configuration de L2TPv3 over FlexVPN sur R5 .................................................... 54
Figure 37:Etablissement de tunnel ........................................................................................... 54
Figure 38:Architecture physique d'accès au serveur web via proxy ........................................ 55
Figure 39: Configuration de WSA ........................................................................................... 56
Figure 40:Interface graphique de WSA ................................................................................... 56
Figure 41:Acces au server web ................................................................................................ 57
Figure 42: Historique d'accès au serveur Web de WSA .......................................................... 58
Figure 43: Intégration FMC et ISE .......................................................................................... 59
Figure 44: Configuration des politiques pour bloquer les malwares ....................................... 60
Figure 45 : Téléchargement du malware bloqué ...................................................................... 61
Figure 46 : Enregistrements de connexion .............................................................................. 61
Figure 47 : Identification de malware ...................................................................................... 62
Figure 48 : Configuration du politique du quarantaine ............................................................ 63
Figure 49: Identification d'un événement anormal ................................................................... 64
Figure 50: Description du l'activité anormal ............................................................................ 65
Figure 51 : Isolation de l 'utilisateur ......................................................................................... 66
Figure 52: Intégration StealthWatch et Cisco ISE ................................................................... 67
Figure 53: Configuration de ISE ANC Policy action ............................................................... 68
Figure 54: Sigle de l'outil Nmap .............................................................................................. 68
Figure 55 : Scan exhaustif ........................................................................................................ 69
Figure 56: Détection de l 'activité à partir de StealthWatch ..................................................... 70
Figure 57 : Mise en quarantaine de machine attaquant ............................................................ 71
Figure 58: Détection d’attaque DDOS ..................................................................................... 72
Figure 59: Enregistrement de table d’alarme de StealthWatch ................................................ 72
Figure 60: Mise en quarantaine de utilisateurs effectuant de tests malveillants ...................... 73
 Liste des tableaux

Tableau 1 : Plan d'adressage Data Centers ............................................................................... 33

Tableau 2: Plan d'adressage de Internet Edge .......................................................................... 34
Tableau 3 : Plan d'adressage de Branch Office ........................................................................ 34
Tableau 4: Plan d'adressage de Campus ................................................................................... 35
Introduction générale

Introduction générale

Au fil des ans, la sécurité des réseaux informatiques est devenue un enjeu majeur pour les
entreprises. Les cyberattaques sont de plus en plus sophistiquées et fréquentes, mettant en
danger les données sensibles et les infrastructures informatiques. Les conséquences de ces
attaques peuvent être désastreuses, allant de la perte de données à la perturbation des
opérations critiques de l'entreprise.

Pour faire face à ces défis, les entreprises cherchent des moyens de renforcer leur sécurité
informatique. L'une des méthodes les plus efficaces consiste à mettre en place une
architecture de sécurité de réseau basée sur la remédiation automatique. Cette approche utilise
des outils et des techniques pour détecter et résoudre automatiquement les problèmes de
sécurité avant qu'ils ne deviennent de plus en plus grave.

C’est dans ce cadre que s’inscrit le présent projet intitulé « Conception et implémentation
d'une architecture sécurité réseaux basée sur la remédiation automatique » au sein de
l’entreprise OneTech Business Solutions. Ce projet consiste à faire une simulation d’une
architecture basée sur la remédiation automatique des incidents. Avec cette implémentation,
nous sommes en mesure d'adresser diverses solutions de sécurité.

Ce rapport est reparti en trois chapitres. Le premier chapitre concerne la présentation de

l’entreprise d’accueil, du cadre du travail et du sujet traité. Nous présentons aussi une étude de
l’existant et nous dégageons les exigences du projet ainsi que les objectifs à atteindre. Le
deuxième chapitre donne plus de détails sur les concepts et les nouvelles notions acquises. Le
troisième chapitre présente les approches utilisées et les différentes phases de la réalisation de
notre.

Enfin, nous clôturons par une conclusion générale sur tout le travail élaboré et quelques
perspectives envisagées pour étendre notre projet.

Nosra Trabelsi 1
Chapitre 1 : Contexte général du projet

Chapitre 1 : Contexte général du projet

Nosra Trabelsi 2
Chapitre 1 : Contexte général du projet

Introduction
Dans ce chapitre, nous présenterons en premier lieu l’organisme d’accueil et nous citons
quelques notions de base du sujet traité. En second lieu, nous citons les problèmes à résoudre
ainsi que la méthode de travail adoptée pour développer et mettre en place notre solution.

1.1. Présentation de l'organisme d’accueil

One Tech Business Solutions (OTBS) est une filiale du Groupe One Tech Holding.

Créée en 2006 sous le nom de "OneTech Development", OTBS intégrait des solutions de
réseau, de télécommunications et de sécurité. Cette société a fusionné avec « TTE » et «
INTELCOM » en 2011, toutes deux spécialisées dans la production et la distribution
d'équipements télécoms pour les entreprises. Aujourd'hui, OTBS se concentre principalement
sur les métiers liés aux télécommunications. L'adoption et la diffusion des technologies
modernes de l'information et de la communication.

1.1.1 Historique
Dès sa fondation, OTBS n’a cessé de se développer comme l’indique la Figure 1.

Figure 1 : Historique de OTBS

1.1.2 Mission de OTBS
OTBS assure la migration de l'architecture client et la mise en œuvre des solutions de sécurité
l'informatique. En gérant la maintenance, OneTech Business Solutions vise à atteindre les
objectifs suivants :

❖ Tirer parti des nouvelles tendances technologiques pour répondre au mieux aux
attentes des clients.

Nosra Trabelsi 3
Chapitre 1 : Contexte général du projet
❖ Soutenir les projets informatiques des clients grâce à la technologie d'intégration
innovant.
❖ Conseiller les clients sur la rationalisation de la stratégie informatique.

1.2 Présentation du projet

Notre projet vise à concevoir et à implémenter une architecture de sécurité réseau basée sur la
remédiation automatique des incidents. L'approche est de comprendre l’analyse et l'étude des
différents cas de sécurité afin de les identifier et de les appliquer de manière appropriée. Nous
nous concentrons sur des aspects clés de la sécurité pour assurer une protection globale du
réseau, puis de développer des mécanismes automatisés pour les résoudre.

Les principaux aspects de notre approche comprennent la sécurité périmétrique, les

connexions sécurisées, la gestion d'identité et le contrôle d'accès, la sécurité de
l'infrastructure, la sécurité du contour et la remédiation des incidents.

En se basant sur cette approche automatisée basée sur la résolution des incidents, nous
cherchons à minimiser le temps de réponse aux incidents, à limiter les dommages potentiels et
à renforcer la résilience du réseau contre les menaces.

1.2.1 Etude de l’existant

L'avènement de la technologie informatique a créé des défis pour les utilisateurs de systèmes
informatiques, notamment l'adoption de politiques de sécurité efficaces et fiable. En fait, il est
essentiel de comprendre les types d'attaques auxquelles les entreprises sont confrontées et les
mesures de sécurité pour identifier et d’y répondre.

Cependant, malgré les mesures de sécurité existantes, les méthodes traditionnelles sont
clairement insuffisantes pour faire face efficacement à des cyberattaques de plus en plus
sophistiquées. Les mécanismes de défense traditionnels, tels que les pares-feux, les systèmes
de détection d'intrusion et les logiciels antivirus, sont souvent insuffisants pour détecter et
contrer les attaques en temps réel.

C'est pourquoi nous avons décidé de poursuivre la conception et la mise en œuvre d'une
architecture de sécurité réseau basée sur la remédiation automatique des incidents. Cette
approche proactive est conçue pour détecter les incidents de sécurité en temps réel, à analyser
les menaces et prendre des mesures de manière automatisée pour contenir, isoler et éliminer
ces incidents.

Nosra Trabelsi 4
Chapitre 1 : Contexte général du projet
1.2.2 Critique de l’existant
Les approches traditionnelles donnent la priorité à la prévention, en se concentrant sur la mise
en place de barrières de sécurité pour empêcher les intrusions. Cependant, il est devenu clair
que les attaquants parviennent souvent à contourner ces défenses et à infiltrer les réseaux,
nécessitant une réponse plus proactive et dynamique.

Un autre défi est la complexité croissante des réseaux et des systèmes d'information, avec des
infrastructures distribuées, des environnements cloud et un grand nombre d'appareils
connectés. Cela rend la détection et la gestion des incidents plus difficiles, parce que les
méthodes traditionnelles ont du mal à fournir une visibilité complète sur l'ensemble de
l'infrastructure.

1.2.3 Objectifs de projet

À mesure que les systèmes informatiques deviennent de plus en plus interconnectés, les
entreprises, les entités industrielles sont venues à s'appuyer davantage sur eux. Cette
dépendance croissante souligne l'importance de cette tendance [1].

Notre projet sert à implémentation d’une architecture réseaux basée sur la remédiation
automatiques des incidents cette approche vise à détecter les incidents de sécurité en temps
réel, à analyser les menaces et à prendre des mesures de manière automatisée pour contenir,
isoler et éliminer ces incidents, tout en suivants les objectifs suivantes :

❖ Sécurité périmétrique le périmètre doit être protégé par des firewall et IPS
❖ Connexion sécurisée
❖ Gestion d'identité et contrôle d’accès
❖ Sécurité d'infrastructure
❖ Sécurité de contour
❖ Remédiation et la gestion des incidents

En mettant en place cette architecture de sécurité réseau, nous pourrons améliorer la visibilité
et la compréhension de l'état de sécurité du réseau, détecter les failles et les vulnérabilités, et
prendre des mesures préventives et correctives proactives.

Conclusion
Ce chapitre a présenté le cadre général de notre projet, pour achever nos fins, nous
commençons par présenter des entreprises. Le problème a été identifié après une étude

Nosra Trabelsi 5
Chapitre 1 : Contexte général du projet
préliminaire de la situation existante. Nous nous concluons ce chapitre en proposant une
solution.

Dans le chapitre suivant, nous allons introduire les concepts de base qui permettent la
découverte du notre projet et détailler l'architecture du réseau.

Nosra Trabelsi 6
Chapitre 2 : Etat de l’art

Chapitre 2 : Etat de l’art

Nosra Trabelsi 7
Chapitre 2 : Etat de l’art
Introduction
Afin de donner une vue claire sur notre projet, ce chapitre fait l’objet d’une présentation des
notions de base de la sécurité et la remédiation automatique ainsi que les intrusions et attaques
réseaux.

2.1 Cybersécurité
Quant à l'ampleur et à la gravité des attaques, les entreprises se retrouvent de plus en plus
vulnérables. Par conséquent, il est crucial pour protéger leurs systèmes d'information, il est
impératif que ces organisations prennent les mesures et assurent leur protection.

L'étape essentiel pour minimiser l'impact des cyberattaques est de les identifier très tôt. Des
mesures de protection efficaces peuvent alors être mises en place la cause première du
problème.

2.1.1 Notion de cyber sécurité

La cybersécurité, définit la protection de des données, du matériel et des logiciels sensibles.
Les particuliers et les entreprises mettent en œuvre cette pratique pour empêcher tout accès
non autorisé à leurs systèmes informatisés et à leurs centres de données [2].

2.1.2 Importance de la sécurité

Alors que la société devient de plus en plus dépendante de la technologie, la cybersécurité est
devenue de plus en plus critique. Cette tendance ne montre aucun signe de ralentissement, ce
qui indique l'importance continue de protéger notre infrastructure numérique. Une partie
importante de ces données peut être des informations sensibles, qu'il s'agisse de propriété
intellectuelle, de données financières, d'informations personnelles ou d'autres types de
données, où l'accès ou l'exposition non autorisés peuvent entraîner des répercussions
négatives.

La cybercriminalité présente une menace exige une mise en œuvre efficace pour la défendre.

2.1.3 Service de sécurité

Un service de sécurité informatique vise essentiellement garantir la sécurité d'un système en
se basant sur cinq objectifs :
❖ La confidentialité : C’est le fait de rendre l’information inintelligible aux personnes
non autorisés.

Nosra Trabelsi 8
Chapitre 2 : Etat de l’art
❖ L’intégrité : Il s’agit d’assurer que les données n’ont pas été altérées durant la
communication.
❖ La disponibilité : c’est la garantie d'accessibilité à un service ou à une ressource,
parallèlement à sa durée ininterrompue, est primordiale.
❖ La non-répudiation : la confirmation que les deux parties impliquées dans une
correspondance ne peuvent pas nier ou désavouer leur participation à la
communication.
❖ L’authentification : Il s’agit confirmer l’identité d’un utilisateur, c’est-à-dire que
seules les personnes autorisées ont le droit d’accès.
2.1.4 Types de cyber sécurité
Il existe quatre catégories distinctes qui peuvent être utilisées pour classer la cybersécurité.

❖ Sécurité des infrastructures critiques

Le terme « sécurité des infrastructures critiques » signifie la protection des réseaux et des
systèmes qui sont essentiels au fonctionnement d'une société ou d'une économie. Cela
comprend, mais sans s'y limiter, l'énergie, l'eau, les transports, les communications et les
finances. On ne saurait trop insister sur l'importance cruciale de sécuriser les infrastructures
critiques, parce qu’une violation pourrait provoquer un chaos et des perturbations extrêmes
[3].

❖ Sécurité du réseau

Les attaques ont tendance à se produire sur les réseaux et les solutions de sécurité réseau sont
conçus pour empêcher tout accès non autorisé et les bloquer, ils agissent comme un isolant
entre le réseau et les activités malveillantes.

Parmi les meilleures pratiques à prendre en compte, effectuer régulièrement des audits pour
vérifier l'efficacité des contrôles de sécurité. De plus, il est essentiel de revoir et de
communiquer efficacement les politiques de sécurité. Par ailleurs, la sauvegarde des données
nécessite leur chiffrement. Ainsi, il est impératif de maintenir à jour tous les logiciels anti-
malware du réseau et d'établir des contrôles d'accès appropriés, y compris une authentification
multi facteurs si possible et une mise en œuvre de la stratégie de sécurité pour améliorer la
cybersécurité du réseau.

Nosra Trabelsi 9
Chapitre 2 : Etat de l’art

❖ Sécurité en nuage

La sécurité des données et des réseaux dans le cloud est un autre aspect important de la
cybersécurité. Bien que les infrastructures critiques et les protections du réseau soient déjà en
place, il existe un autre risque à prendre en compte lorsque les réseaux migrent vers le cloud.

La sécurité cloud est le processus de sécurisation des données, des applications ou des
services hébergés sur des plateformes cloud. Il existe trois types de sécurité cloud : la sécurité
physique, la sécurité logique et la sécurité opérationnelle. La sécurité du cloud de toutes sortes
est importante pour protéger les données et les applications.

❖ Sécurité des applications

Il est important de prendre en compte la sécurité des applications comme l'une des mesures de
sécurité essentielles à mettre en place. La sécurité des applications utilise des méthodes
logicielles et matérielles pour lutter contre les menaces externes qui peuvent survenir pendant
la phase de développement des applications.

Les applications sont plus facilement accessibles sur le Web, ce qui fait de l'utilisation de
mesures de sécurité pendant la phase de développement une phase nécessaire du projet.

Type de sécurité des applications :

✓ Programme antivirus
✓ Pare-feu

✓ Programme de cryptage
Ceux-ci contribuent à assurer la protection contre les accès non autorisés. Les organisations
peuvent également détecter les actifs de données sensibles et les protéger avec des processus
de sécurité d'application spécifiques attachés à ces ensembles de données.

2.2 Menaces et vulnérabilités d’un réseau

2.2.1 Terminologie de la sécurité informatique
❖ Vulnérabilité

C’est une faiblesse qui pourrait être exploitée par les pirates. Chaque système a un certain
nombre de vulnérabilités, le système doit donc détecter les défauts qui existent sur le système.

Nosra Trabelsi 10
Chapitre 2 : Etat de l’art
❖ Attaque

Toute tentative de vol, de modification ou de destruction de données ou de systèmes

informatiques, qu'elle soit dirigée vers l'infrastructure, les réseaux, les ordinateurs personnels
ou les systèmes informatiques en général, est qualifiée de cyberattaque.

❖ Menace

Toute information de situation ou d'incident susceptible d'affecter négativement les opérations

de l'organisation (y compris la mission, les fonctions, l'image ou la réputation), les actifs de
l'organisation, les individus, d'autres organisations ou pays par un accès non autorisé, la
destruction, la divulgation, la modification des systèmes d'information et/ou le déni de
services.

❖ Contre-mesure
Dispositifs ou technologies conçus pour réduire l'efficacité opérationnelle d'activités
indésirables ou nuisibles, ou pour empêcher l'espionnage, le sabotage, le vol, l'accès ou
l'utilisation non autorisés d'informations ou d'informations sensibles d'un système
d'information [4].

❖ Zones de sécurité réseau

Une zone de sécurité est un groupe d'interfaces créées pour contrôler le trafic. Chaque zone
est associée à un niveau de sécurité. Le niveau de sécurité représente le niveau de confiance,
de faible (0) à élever (100). Tout le trafic est autorisé de la zone LAN (avec un niveau de
sécurité approuvé) vers la zone WAN ou Internet (avec un niveau de sécurité non approuvé),
mais le trafic de la zone WAN ou Internet (non approuvé) vers la zone LAN (approuvé) est
autorisé et bloqué. Le pare-feu a une fonctionnalité où nous pouvons spécifier autoriser ou
bloquer des actions pour des services spécifiés [5].

2.2.2 Démarche générale d’une attaque

L'étude de l'anatomie d'une attaque contre un système informatique vise à comprendre les
méthodes générales suivies par les attaquants (ou hackers) afin de pouvoir ensuite déterminer
les stratégies de détection et de prévention appropriées pour construire un système.
"Immunisé contre nos systèmes informatiques" [6].

Les attaques informatiques suivent généralement cinq phases séquentielles (5 P), définies
comme suit :

Nosra Trabelsi 11
Chapitre 2 : Etat de l’art
❖ Probe (Analyser)

Au cours de cette phase, l'attaquant recueille des informations sur la cible potentielle.
L'objectif de cette phase est de cartographier le réseau et de déterminer les détails des
systèmes sur le réseau, permettant à un attaquant de personnaliser une attaque pour exploiter
les vulnérabilités connues dans la version logicielle exécutée sur le système, ou
éventuellement une mauvaise configuration.

❖ Penetrate (Pénétrer)

Dès que la vulnérabilité est identifiée, l'étape suivante consiste à attaquer. Les attaques
peuvent prendre plusieurs formes. Une attaque peut inciter un système à exécuter le code
choisi par l'attaquant. Si un attaquant parvient à accéder en tant qu'utilisateur non privilégié,
une attaque pourrait faire passer un compte d'utilisateur à un accès de niveau administrateur.
Une attaque peut planter un service ou un système entier.

❖ Persist (Pérenniser)

Une fois infiltré au sein du système, l’attaquant localise ou lance l’attaque. Alors, en
réussissant à attaquer la machine, il n’a pas besoin de répéter le processus à chaque fois qu'il
veut accéder au système. Il est possible que le système ait attiré l'attention de l'administrateur
et ne soit plus vulnérable. Plusieurs attaques sur un système augmentent les chances de la
détection.

❖ Propagate (Propager)

Après avoir pénétré dans un système, l'objectif suivant de l'attaquant est d'examiner les
ressources disponibles. Le système compromis devient le point de départ des prochaines
étapes de l'attaque. L'intrus tentera de cartographier le réseau interne ou le réseau dans lequel
réside le système compromis. Toutes les machines nouvellement découvertes qui intéressent
l'attaquant seront alors ciblées. Dans le cas d'un ver, cette étape peut être particulièrement
dévastatrice. Le ver tentera de se propager à d'autres systèmes du réseau local, voire à ceux de
l'internet public, en tentant de les infiltrer et de les compromettre.

❖ Paralyse (Paralyser)

L'objectif ultime d'une agression ciblée est lorsque l'agresseur cible délibérément
l'environnement avec une intention précise en tête. Ce but pourrait être d'obtenir ou d'effacer

Nosra Trabelsi 12
Chapitre 2 : Etat de l’art
des données, de paralyser les systèmes ou de lancer une attaque contre une autre entité à partir
de l'un des systèmes.

2.2.3 Objectifs généraux d’une attaque

L'objectif principal d'une attaque est d'exploiter les vulnérabilités d'un ou de plusieurs services
de sécurité présents dans un réseau informatique. Par conséquent, les objectifs de tout
attaquant peuvent être séparés en fonction des services qu'il vise à cibler lors de l'attaque.
Nous avons identifié quatre principaux objectifs.

❖ Attaque visant la confidentialité

Le but de cette attaque est de générer une confiance mutuelle entre l'attaquant et la cible.
Sinon, les pirates n'auraient plus besoin d'utiliser des mots de passe ou d'autres identifiants
confidentiels pour s'authentifier auprès du système en question. De nos jours, les pirates de
réseau sévissent et la tâche de supervision de la sécurité du réseau est compliquée. Cela rend
beaucoup plus difficile la détection des « abus de confiance » qui se développent sur les
systèmes. Les intrus peuvent également avoir recours à l'installation d'une porte dérobée qui
consiste à laisser ouvert un port bien défini pour pouvoir accéder au système une seconde fois
sans nécessiter d'authentification [7].

❖ Attaque visant l’intégrité

Lorsque l'intégrité des données du système est remise en cause, il existe une menace de perdre
définitivement des informations personnelles dans leur version originale. Dans ce type
d'attaque, l'intrus tente de modifier des fichiers système ou de configuration importants à son
avantage, en remplaçant le binaire par le sien.

Souvent, les binaires (par exemple /bin/login) sont remplacés par des versions "personnelles".
Ensuite, il doit fournir un mot de passe défini (dans le code source) et obtenir essentiellement
les privilèges root. Cette attaque sert à augmenter les autorisations de l'utilisateur.

❖ Attaque visant la disponibilité

Une fois infiltré dans le système en se débarrassant toutes les contraintes d'authentification,
Un intrus authentifié en tant que super utilisateur vise à empêcher d'autres utilisateurs
d'accéder à certaines données du système inhibent temporairement ou définitivement l'objectif
général de surveillance du système en question, ou en d'autres termes, d'apporter des
modifications sans être perturbé ou détecté.

Nosra Trabelsi 13
Chapitre 2 : Etat de l’art
❖ Attaque visant la prise de contrôle

Il s'agit de contrôler le système cible, donc dans ce cas l'attaquant peut bénéficier des trois
possibilités listées précédemment. Cette attaque fournit à l'intrus tous les privilèges sur le
système à partir desquels il peut ajouter ou supprimer des fichiers ou des programmes,
modifier des paramètres et changer la configuration et les privilèges définis sur le système.

2.2.4 Classification des attaques

[Link] Risques et menaces
Parmi les risques qui menacent un système, on cite :

❖ Attaque physique

Dans ce cas, l'attaquant a un accès aux locaux et éventuellement même à la machine :

✓ Accidents physiques
✓ Malveillance physique
✓ Panne du système informatique
✓ Carence de personnel
✓ Interruption de fonctionnement du réseau
✓ Erreur de saisie
❖ Attaque informatique
✓ Erreur de transmission
✓ Erreur d’exploitation
✓ Erreur de conception/ de développement
✓ Copie illicite de logiciels
✓ Indiscrétion/ d´détournement d’information
✓ Attaque logique du réseau
✓ Ecoute du trafic sur le réseau
✓ Détournement ou altération de messages

[Link] Attaques réseau

❖ IP Spoofing

L'usurpation d'identité du protocole Internet (IP) est une attaque malveillante dans laquelle les
acteurs de la menace cachent la véritable origine des paquets IP, ce qui rend difficile de savoir
d'où ils viennent. Les attaquants créent des paquets qui modifient l'adresse IP source pour
usurper l'identité d'un système informatique différent, déguiser l'identité de l'expéditeur, ou les

Nosra Trabelsi 14
Chapitre 2 : Etat de l’art
deux. Le champ d'en-tête usurpé pour l'adresse IP source contient une adresse différente de
l'adresse IP source réelle [8].

❖ ARP Spoofing

L'usurpation d'ARP décrit une attaque de type "man-in-the-middle" sur la table ARP d'un
réseau local. Cette forme d'attaque fait que les pirates envoient de faux paquets ARP qui se
glissent inaperçus entre deux systèmes communicants afin qu'ils puissent écouter ou
manipuler leur trafic de données [9].

❖ DNS Spoofing
L'usurpation de DNS, également connue sous le nom d'empoisonnement du cache DNS,
implique la manipulation d'enregistrements DNS pour rediriger le trafic en ligne vers un faux
site Web qui semble être la destination légitime.

À leur arrivée sur le site, les personnes sont invitées à saisir leurs informations de connexion,
pensant qu'il s'agit de leur compte personnel. Cela permet à l'auteur d'obtenir des données
sensibles et d'accéder aux informations d'identification. En outre, ces sites Web frauduleux
sont couramment utilisés pour déployer des vers ou des virus sur l'appareil de l'utilisateur,
accordant à l'auteur un accès continu à la fois à l'ordinateur et à ses informations stockées
[10].

[Link] Attaques applicatives

Les vulnérabilités des logiciels et programmes informatiques sont exploitées dans ce type
d'attaque, qui peut cibler un système informatique et, parfois, même plus.

Les erreurs de configuration peuvent être considérées comme des vulnérabilités dont les
pirates peuvent profiter.

❖ Injection SQL
L'injection SQL (SQLi) est une vulnérabilité de sécurité Web qui permet à un attaquant
d'interférer avec les requêtes qu'une application adresse à sa base de données. Cela permet
généralement à un attaquant d'afficher des données qu'il n'est normalement pas en mesure de
récupérer. Cela peut inclure des données appartenant à d'autres utilisateurs ou toute autre
donnée à laquelle l'application elle-même peut accéder. Dans de nombreux cas, un attaquant
peut modifier ou supprimer ces données, provoquant des modifications persistantes du
contenu ou du comportement de l'application [11].

Nosra Trabelsi 15
Chapitre 2 : Etat de l’art

❖ Homme de milieu
Une attaque de l'homme du milieu (MITM) comme indiqué à la Figure 2 est une attaque de
réseau dans laquelle un attaquant intercepte une conversation ou une transmission de données
existante en écoutant ou en se faisant passer pour un participant légitime. Pour la victime, il
apparaît qu'un échange standard d'informations à lieu, mais en s'insérant "au milieu" de la
conversation ou du transfert de données, l'attaquant peut discrètement détourner l'information
[12].

Figure 2:MitM attacks

[Link] Déni de service (DoS)

Une attaque DoS (déni de service) est une attaque hostile qui vise à rendre une machine ou un
réseau inutilisable, rendant ainsi impossible l'accès de ses utilisateurs prévus. Pour ce faire,
l'attaquant peut inonder la cible d'un trafic excessif ou lui envoyer des informations
provoquant un dysfonctionnement du système. Il en résulte que les utilisateurs légitimes tels
que les employés sont privés du service ou de la ressource attendus.

Le principe de cette attaque est d’envoyer un très grand nombre des paquets IP vers une
machine cible pour y provoquer une saturation et par la suite empêcher son fonctionnement
normal (accès des utilisateurs, requêtes et réponses…) [5].

[Link] Déni de service distribué (DDoS)

Une attaque par déni de service distribué est une arme de cybersécurité conçue pour perturber
les opérations de service ou extorquer de l'argent à une organisation ciblée.

En outre, c’est une version distribuée d'une attaque par déni de service (DoS) dont le but est
de perturber les opérations commerciales d'une cible. De telles attaques envoient des quantités

Nosra Trabelsi 16
Chapitre 2 : Etat de l’art
massives de trafic qui surchargent le fonctionnement normal des services, des serveurs ou des
interconnexions réseau, les rendant indisponibles. Alors qu'une attaque DoS perturbe les
services, DDOS est beaucoup plus importante, entraînant l'arrêt de l'ensemble de
l'infrastructure et des services évolutifs (cloud) [13].

[Link] Virus et spam

Les virus, les spams et tout autre type d'infection informatique ne sont généralement pas
conçus pour perturber les systèmes informatiques par lesquels ils se propagent, mais plutôt
d'exploiter et de consommer les ressources du système infecté, ce qui peut causer
occasionnellement de sérieux désagréments qui affectent le fonctionnement du logiciel et le
même matériel informatique.

❖ Les virus et vers (Worms) informatiques

Les virus sont souvent attachés à des fichiers. Ils se propagent généralement par le biais du
partage de fichiers P2P, de sites Web infectés et de téléchargements de pièces jointes. Une
fois qu'un virus pénètre dans le système, il reste inactif jusqu'à ce qu'un programme ou un
fichier hôte infecté soit activé, ce qui active à son tour le virus et lui permet de s'exécuter et de
se répliquer sur le système.

Contrairement aux virus, les vers sont capables de s'initier et de se propager sans avoir besoin
d'un programme hôte. Après s'être infiltré dans un système, le ver peut s'auto-répliquer et
conquérir le réseau ou la connexion Internet, attaquant tous les serveurs et ordinateurs
insuffisamment protégés. Étant donné que chaque instance d'un ver de réseau est capable de
s'auto-répliquer, les infections peuvent se propager à une vitesse alarmante sur les réseaux
informatiques et sur Internet [14].

❖ Spam et Phishing

Les spam électronique ou courrier indésirable sont des communications électroniques

indésirables à des fins commerciales, publicitaires ou malveillantes.

Le phishing consiste en des pratiques frauduleuses qui visent à tromper les internautes en se
faisant passer pour des tiers de confiance. Ceci est fait pour inciter l'individu à partager des
données personnelles sensibles telles que les identifiants de connexion, les mots de passe, les
informations bancaires, etc. [15].

Nosra Trabelsi 17
Chapitre 2 : Etat de l’art
2.3 Sécurité des réseaux
La cybersécurité comprend toutes les activités visant à protéger la fonctionnalité et l'intégrité
des réseaux et des données.

Il comprend la technologie matérielle et la technologie logicielle, cible un grand nombre de

menaces et les empêche d'entrer ou de se propager à travers le réseau.

❖ Pare-feu (Firewall)

Un pare-feu est la discipline matérielle ou logicielle, ou les deux, utilisée pour protéger un
réseau contre les intrusions d'étrangers. Il régule le trafic pouvant transiter par les routeurs
connectés à l'infrastructure réseau. Il empêche les utilisateurs non autorisés d'accéder au
réseau, que ce soit de l'extérieur via Internet ou au sein d'un réseau local (LAN). Il existe de
nombreuses méthodes et techniques pour les systèmes de pare-feu, et chacun de leurs types ou
techniques est couvert et décrit. Cet article explique comment toutes les approches
fonctionnent dans les types de pare-feu et donne les avantages et les inconvénients des
décisions de politique de sécurité réseau, en particulier en ce qui concerne l'utilisation de
systèmes de pare-feu [16].

On peut classer les pares-feux en des catégories :

✓ Pare-feu sans état ou stateless firewall
Il s’agit d’un ancien équipement de filtrage de réseaux installé sur les routeurs.
Il examine chaque paquet indépendamment d’autres et le compare à une liste
des règles.

✓ Pare-feu à état ou stateful firewall

Les pares-feux examinent l’accordance des paquets à une connexion en cours.
Ils s’assurent que chaque paquet d’une connexion est bien la suite du précédent
paquet la réponse à un paquet dans l’autre sens. Ils savent aussi filtrer les
paquet ICMP qui servent la signalisation des flux.

✓ Pare-feu applicatif
On parle de la conformité vis-à-vis des protocoles des paquets.

❖ Proxy
Un serveur proxy est un système ou un routeur qui fournit une passerelle entre un utilisateur
et Internet. Par conséquent, cela aide à empêcher les cyberattaquants d'entrer dans le réseau

Nosra Trabelsi 18
Chapitre 2 : Etat de l’art
privé. Il s'agit d'un serveur, connu sous le nom "Homme du Milieu", parce qu’il se situe entre
les utilisateurs finaux et les pages Web qu'ils visitent en ligne [17].

❖ Réseaux Virtuels Privé

Un VPN est un réseau logique qui permet une connexion entre deux appareils. Ces appareils
peuvent appartenir au même réseau ou être connectés via un WAN. Le mot "Virtuel" désigne
ici le lien logique entre deux appareils, parce que le lien VPN n'existe pas seul, il utilise
Internet comme mécanisme de transmission. Le mot "Privé" fait ici référence à la sécurité
qu'un VPN fournit pour une connexion entre deux appareils,
Le support de transmission étant Internet, il n'est pas sécurisé, alors qu'un VPN augmente la
confidentialité et l'intégrité des données. Il crypte les données et empêche les personnes non
autorisées de falsifier ou de manipuler les données en cours de route.

Il existe deux types de VPN :

✓ Remote Access VPN

VPN d'accès à distance permet à un terminal de se connecter au réseau LAN
sécurisé d'une organisation. Ces terminaux incluent les smartphones, les
tablettes, les ordinateurs portables, etc.

Les VPN d'accès à distance utilisent la technologie IPsec ou Secure Sockets

Layer (SSL) pour sécuriser les tunnels de communication. De nombreuses
organisations utilisent le client AnyConnect de Cisco pour accéder à distance
aux VPN SSL [5].

✓ Site to Site VPN

Un VPN de site à site connecte en toute sécurité deux sites ou plus qui
souhaitent se connecter via Internet [5] .

❖ Système de détection des intrusions

Un système de détection d'intrusion, ou IDS, est un appareil ou une application qui alerte les
administrateurs des failles de sécurité, des violations de règles ou d'autres problèmes
susceptibles de compromettre leur réseau informatique [5].

Les systèmes de détection d'intrusion surveillent et analysent l'activité du réseau, la

configuration et les vulnérabilités du réseau. Ils vérifient également l'intégrité des fichiers. Ils
peuvent identifier les schémas d'attaque classiques. Il analyse les comportements anormaux et

Nosra Trabelsi 19
Chapitre 2 : Etat de l’art
suit les violations des utilisateurs. Certains systèmes de détection d'intrusion industriels
peuvent également réagir aux menaces détectées [18].

❖ Système de prévention des intrusions

Le système de prévention des intrusions (IPS) permet de détecter et prévenir les menaces
identifiées. Le réseau est surveillé en permanence par des systèmes de prévention des
intrusions, qui détectent les activités malveillantes et collectent les données pertinentes. De
tels événements sont immédiatement signalés aux administrateurs système et IPS prend des
mesures proactives pour empêcher de futures attaques, ce qui peut impliquer la fermeture des
points d'accès et la reconfiguration des pares-feux. Les solutions IPS peuvent également être
utilisées pour identifier les problèmes liés aux politiques de sécurité de l'entreprise afin
d'empêcher les employés et les visiteurs du réseau de violer les règles contenues dans ces
politiques [19].

2.4 Remédiation automatique des incidents

La remédiation [20] comprend le remplissage ou la correction d'erreurs ou de vulnérabilités
informatiques. En franchissant cette étape, nous sommes en mesure d'améliorer le niveau de
sécurité de notre SI.

C'est une réponse à un incident de sécurité, qu'il s'agisse de corriger une vulnérabilité ou de
combler une faille dans le SI.

2.4.1 Méthode de la remédiation

Les méthodes de remédiation les plus couramment utilisées comprennent plusieurs options
parmi lesquelles choisir, telles que :
❖ Mise en quarantaine (malware)
❖ Suppression (malware)
❖ Correctif logiciel (vulnérabilité applicative)
❖ Blocage d’accès (réseau, malware, vulnérabilité applicative)

2.4.2 PxGrid
Cisco Platform Exchange Grid (pxGrid) facilite la collaboration entre différents systèmes de
réseau provenant de différents fournisseurs et plates-formes au sein de l'infrastructure
informatique. Il facilite la coopération entre divers éléments tels que les systèmes de
surveillance et de détection de la sécurité, les plates-formes de politique réseau, la gestion des

Nosra Trabelsi 20
Chapitre 2 : Etat de l’art
ressources et de la configuration, les plates-formes de gestion des identités et des accès, et
pratiquement toute autre technologie de l'information.

Les partenaires de l'écosystème utilisent pxGrid pour échanger des informations contextuelles
avec les produits Cisco compatibles pxGrid lorsque des besoins commerciaux ou
opérationnels surviennent [21].

2.5 Protocoles de routage et de sécurité

Dans le cadre d’une telle architecture de sécurité réseau, il est nécessaire de mettre en œuvre
différents protocoles essentiels pour assurer des communications fiables, de gérer les accès
utilisateur de manière sécurisée et d’optimiser le routage des données au sein du réseau.

2.5.1 OSPF
OSPF est un protocole de routage dynamique interne TCP/IP de l'IETF. Il fonctionne comme
un protocole à état de liens utilisant l'algorithme de Dijkstra. Contrairement aux protocoles de
routage à vecteur de distance, OSPF collecte l'état de tous les liens dans une zone et calcule
les routes de son point de vue vers toutes les destinations de la zone [22].

2.5.2 EIGRP
Le protocole EIGRP est la solution privilégiée dans les infrastructures Cisco Systèmes. Il
s’agit d’un puissant protocole de routage dynamique interne. La vitesse de convergence est
très rapide et il s'agit d'un IPv4/IPv6 multi protocole. Il permet un contrôle précis des
métriques pour affecter les entrées de la table de routage. EIGRP est alors capable de répartir
la charge de trafic sur les liaisons à coût inégal [23].

2.5.3 AAA
AAA signifie Authentification, Autorisation, Comptabilité. Ces termes ont les significations
suivantes :

❖ Authentification : sert à reconnaître une entité pour l’autoriser ou non à accéder à des
ressources, en autre mot est bien celui qu'il prétend être.

Le serveur AAA vérifie les données fournies avec les données enregistrées dans sa
base d’utilisateurs afin d’accepter ou non les droits d’utilisateur qui veut rentrer dans
le système

Nosra Trabelsi 21
Chapitre 2 : Etat de l’art
❖ Autorisation : Consiste à définir quels sont les droits et services que l’utilisateur va
recevoir, une fois son authentification effectuée. Le serveur AAA autorisera ou
bloquera la demande.
❖ Compte : AAA offre des méthodes de collectes et rapporter des informations sur
l'utilisation des ressources. Ceci permettra de facturer l'utilisateur en fonction de sa
consommation [24].

2.5.4 RADUIS
Le service RADIUS est un serveur d'accès utilisant le protocole AAA qui protège l'accès à
distance aux réseaux et aux services réseau des utilisateurs non autorisés. Les transactions de
données entre RADIUS et les clients sont authentifiés à l'aide d'un secret partagé, et tous les
mots de passe sont envoyés cryptés, ce qui réduit la possibilité que des utilisateurs non
autorisés devinent les mots de passe, même sur des réseaux non sécurisés [5].

2.5.5 802.1x authentification

L'authentification IEEE 802.1X est une spécification IEEE pour garantir un contrôle d'accès
au réseau basé sur les ports (PNAC) pour les utilisateurs. Cette spécification est utilisée pour
empêcher les hôtes non autorisés de se connecter à un LAN ou à un WLAN. Chaque hôte qui
souhaite se connecter au LAN doit être authentifié pour accéder au réseau.

Il fait partie de la suite de protocoles réseau IEEE 802.1X

Le protocole EAPOL est utilisé pour assurer que la communication initiale entre l'utilisateur
final câblé et le commutateur est sécurisée. Dans 802.1X, un hôte ne peut utiliser initialement
DHCP, ARP et EAPOL que jusqu'à ce qu'il soit authentifié. Une fois l'utilisateur authentifié,
le port autorisera le trafic réseau normal à partir de l'hôte [5].

Conclusion
Dans ce chapitre, nous avons défini plusieurs notions théoriques dans la thématique de notre
projet de fin d’études, afin de comprendre son contexte général

Nous allons entamer le dernier chapitre qui sera consacré à la mise en place de la solution et
son expérimentation.

Nosra Trabelsi 22
Chapitre 3 : Réalisation

Chapitre 3 : Réalisation

Nosra Trabelsi 23
Chapitre 3 : Réalisation
Introduction
Après avoir présenté les notions théoriques dans le précédent chapitre, nous nous intéressons
à la conception et la mise en place de notre architecture. Au cours de ce chapitre, nous
présenterons les différentes configurations requises pour assurer la sécurité, la disponibilité et
le bon fonctionnement de notre projet.

3.1 Environnement matériel et logiciel

Cette section a pour objectif de révéler les divers choix effectués en matière d'infrastructure
matérielle et logicielle pour concrétiser notre projet.

3.1.1 Environnement matériel

❖ Cisco Unified Computing System avec stockage EMC

Storage UCS est une architecture de centre de données convergée qui intègre des ressources
de calcul, de réseau et de stockage pour une efficacité et une gestion centralisée.

Ses produits sont conçus et configurés pour fonctionner efficacement ensemble. L'objectif de
la gamme de produits UCS est de simplifier le nombre d'appareils qui doivent être connectés,
configurés, refroidis et sécurisés, et de fournir aux administrateurs la possibilité de tout gérer
via une interface graphique unique.

Le terme Unified Computing System est souvent associé à Cisco. Les produits Cisco UCS
sont capables de prendre en charge les systèmes d'exploitation (SE) traditionnels et les piles
d'applications dans les environnements physiques, mais sont optimisés pour les
environnements virtualisés [25].

Les systèmes de stockage de la série EMC VNX représentent la nouvelle génération de

stockage unifié d'EMC, optimisée pour les environnements virtualisés.

Les tendances de la virtualisation à grande échelle et de la consolidation des serveurs

nécessitent de nouvelles technologies de stockage dynamiques et évolutives. La série EMC
VNX offre une variété de fonctionnalités logicielles et matérielles pour optimiser les
déploiements d'applications d'entreprise [26].

❖ Machine physique

Pour mener à bien notre projet, on a utilisé un ordinateur HP dont les caractéristiques
techniques sont les suivantes :

Nosra Trabelsi 24
Chapitre 3 : Réalisation
- Mémoire : 16 GB
- Système d’exploitation : Windows 11.
- Processeur : 11th Gen Intel(R) Core(TM) i7-1165G7
- Disque dur : 512 ssd

❖ Active Directory
Un répertoire est une structure hiérarchique utilisée pour stocker des informations sur les
objets du réseau. Les services d'annuaire tels que les services de domaine Active Directory
(AD DS) permettent le stockage des informations dans le répertoire et leur mise à disposition
aux utilisateurs et administrateurs du réseau. Par exemple, AD DS stocke les informations de
compte d'utilisateur telles que les noms, les mots de passe, les numéros de téléphone, etc., et
assurer à d'autres utilisateurs autorisés sur le même réseau d'accéder à ces informations [27].

Notre AD est mis sur une machine (Windows server 2022) dont les caractéristiques sont les
suivantes :
✓ Processeur : Intel Xeon Processor (Cascadelake) 2.10 GHz (2 processeurs)
✓ Ram : 4 Go
✓ Disque : 14.3 Go

3.1.2 Environnement logiciel

Pour l’implémentation de notre solution, nous avons installé un ensemble des logiciels tels
que :

❖ Open stack

Red Hat OpenStack Platform est une plate-forme de cloud computing qui virtualise les
ressources matérielles standard de l'industrie, les organise dans le cloud et les gère afin que les
utilisateurs puissent accéder à ce dont ils ont besoin, quand ils en ont besoin [28].

❖ EVE-NG

EVE-NG assure les outils pour contourner les appareils virtuels et les interconnecter avec
d'autres appareils virtuels ou physiques. Plusieurs de ses fonctionnalités simplifient
grandement l'utilisabilité, la réutilisabilité, l’interconnectivité, la distribution, et simplifient
ainsi comprendre et partager des topologies, des compositions, des idées, des concepts ou
simplement des "labs" [29].

Nosra Trabelsi 25
Chapitre 3 : Réalisation
- CPU : 8
- RAM : 64 Go
- DISQUE : 717 Go

Figure 3: Interface graphique de EVE-NG

❖ PuTTY

PuTTY remplace très avantageusement le client telnet livré avec Windows en apportant
beaucoup plus de fonctions mais surtout en permettant l'accès SSH. SSH est un protocole de
connexion à distance beaucoup plus sécurisé que Telnet et c'est désormais lui qui est le plus
utilisé [30].

❖ WinSCP

WinSCP est un client SFTP gratuit open source, un client FTP, un client WebDAV, un client
S3 et un client SCP et un gestionnaire de fichiers Windows. Son rôle principal est de
transférer des fichiers entre un ordinateur local et un ordinateur distant [31].

Nosra Trabelsi 26
Chapitre 3 : Réalisation

Figure 4: Interface WinSCP

❖ UltraVNC Viewer

UltraVNC est un programme informatique facile à utiliser qui permet de contrôler à distance
d'autres PC [32].

3.1.3 Equipements réseaux

Etant donné que notre projet est basé sur un environnement virtuel (EVE-NG), il est
nécessaire de définir les différents équipements virtualisés utilisés.

[Link] Cisco IOL

IOL ou IOS sous Linux, IOL est un émulateur à usage interne Cisco uniquement. IOL fait
référence à la version Linux, compilée pour l'architecture i386. IOU fait référence à la version
d'Unix (Solaris) compilée pour l'architecture Sparc. Le terme IOU est également couramment
utilisé pour désigner IOL [33].

[Link] Cisco ASA

Cisco ASA est un système de sécurité qui combine plusieurs fonctionnalités tel que Pare-feu.
Il est équipé de mesures proactives qui visent à se défendre contre les menaces et les empêche
de propager.

La valeur et la flexibilité de l'ASA résident dans le fait qu'elle peut être utilisée comme
solution de sécurité pour les petits et les grands réseaux [34].

Nosra Trabelsi 27
Chapitre 3 : Réalisation

Figure 5: Cisco ASA

[Link] Cisco Fire Power Threat Defense

Cisco FTD est une solution Cisco de pare-feu et IPS de nouvelle génération pour protéger les
réseaux et les applications, c'est une combinaison de Cisco ASA et IDS.
Cet équipement réseau assure les fonctionnalités suivantes : le contrôle, le filtrage, l’analyse
du trafic entrant et sortant entre chaque paire de zones conformément à la politique
préconfigurer et également le blocage les malwares. Ceci autorise uniquement l'utilisation des
adresses IP, des numéros de port, des applications et des micro-applications dont l'entreprise a
besoin, en boquant tout autre trafic [35].

Figure 6: Cisco FTD

[Link] Cisco Next-Generation Intrusion Prevention System (NGIPS)

Cisco Secure IPS ou NGIPS agit comme un mécanisme d'application de la sécurité,

fournissant un aperçu et une visibilité du réseau pour protéger le réseau contre les
cyberattaques et les menaces.

Il offre des différentes fonctionnalités telles que la visibilité, l’intégration et la protection

contre les vulnérabilités [36]...

Nosra Trabelsi 28
Chapitre 3 : Réalisation

Figure 7: Cisco NGIPS

[Link] Cisco Secure Firewall Management Center

Cisco Secure Firewall Management Center (FMC) est le centre de gestion pour la gestion des
solutions de sécurité réseau critiques de Cisco. Il offre une gestion unifiée complète et une
visibilité globale sur les pares-feux, le contrôle des applications, la prévention des intrusions,
le filtrage des URL et la protection avancée contre les logiciels malveillants, et la supervision
en permanence de l'évolution de ce qui s'exécute sur le réseau [37].

Figure 8: Cisco FMC

[Link] Cisco Identity Services Engine
Cisco ISE est un système leader de contrôle d'accès au réseau basé sur l'identité et
d'application des politiques.

ISE permet aux administrateurs de contrôler de manière centralisée les politiques d'accès pour
les terminaux câblés, sans fil et VPN du réseau. ISE réduit la complexité de l'administration
des périphériques réseau, qu'ils soient de marque Cisco ou autre, grâce à des flux de travail
intuitifs permettant aux administrateurs réseau de gérer les différents composants de
l'administration des périphériques.

ISE collecte des informations contextuelles sur les terminaux, y compris les utilisateurs et les
groupes, le type d’appareil, le temps d'accès, l'emplacement d'accès, le type d'accès
(Câblé/Sans fil/VPN). Ce contexte est utilisé pour créer des politiques pour l'accès et la
gestion des appareils dans toute l'entreprise [38].

Nosra Trabelsi 29
Chapitre 3 : Réalisation

Figure 9: Cisco ISE

[Link] Cisco Web Security Appliance (WSA)

C’est un Web proxy qui permet aux utilisateurs de naviguer sur Internet en toute sécurité.
C’est une passerelle Web tout-en-un qui combine une protection avancée contre les logiciels
malveillants, la visibilité et le contrôle des applications, des rapports perspicaces, une mobilité
sécurisée et des contrôles de politique d'utilisation acceptable pour protéger les organisations
contre les attaques malveillantes et les menaces Internet [39].

Figure 10: Cisco WSA

[Link] Cisco StealthWatch
Cisco Stealthwatch améliore considérablement les défenses contre les menaces en fournissant
une visibilité détaillée du réseau et des analyses de sécurité. Il permet d'obtenir une
connaissance approfondie de chaque hôte, enregistre chaque conversation, de détecter les
comportements anormaux, avertit les changements et permet de réagir rapidement aux
menaces. Stealthwatch applique l'apprentissage automatique et la modélisation statistique à la
télémétrie réseau collectée sur le WAN, y compris le centre de données, la succursale, le
terminal et le cloud [37].

Figure 11: Cisco StealthWatch

Nosra Trabelsi 30
Chapitre 3 : Réalisation
[Link] Kali linux

Kali Linux est une distribution Linux open source basée sur Debian adaptée à diverses tâches
de sécurité de l'information telles que les tests d'intrusion, la recherche en sécurité, la
criminalistique informatique et l'ingénierie inverse [40].

3.2 Architecture de sécurité réseaux et plan d’adressage

L'architecture totale de notre système de sécurité, comme montre la Figure 12 réseau
comprend plusieurs zones distinctes. Commençant par les Data Centers, qui abritent nos
serveurs. Ensuite, les campus, les zone de l'Internet Edge qui constituent la frontière entre
notre réseau interne et Internet. C'est là où se trouvent nos dispositifs de sécurité tels que les
pares-feux, et finalement les Branch Office.

Nosra Trabelsi 31
Chapitre 3 : Réalisation

Figure 12 : Architecture sécurité réseaux

Nosra Trabelsi 32
Chapitre 3 : Réalisation

Les tableaux suivants présentent les plans d’adressage adoptés pour les data centers, Internet
Edge et Branch office. En fait, le réseau de routage, avec une adresse privée 172.30.x.0/24 de
classe B, est dédié à la gestion du routage des paquets au sein de l'infrastructure interne.

Le réseau de gestion, avec une adresse [Link]/24, permet d'accéder aux interfaces
graphiques des équipements du réseau pour faciliter leur configuration et leur gestion. Pour
les réseaux de serveurs, on utilise des adresses de classe C 192.168.x.0/24

Tableau 1 : Plan d'adressage Data Centers

Zones Equipement Interface Adresse IP Masque sous-
réseaux

Data Routeur 14 E0/0 [Link] [Link]

Center 1

Marketing [Link] [Link]

server

Data Routeur 13 E0/0 [Link] [Link]

Center 2

E0/1 [Link] [Link]

E0/2 [Link] [Link]

Engineering [Link] [Link]

server

FTP server [Link] [Link]

Data Routeur 4 E0/0 [Link] [Link]

Center 3

E0/1 [Link] [Link]

Intranet-SGT [Link] [Link]

Data R7 E0/0 [Link] [Link]

Center 4

Nosra Trabelsi 33
Chapitre 3 : Réalisation
Sales server [Link] [Link]

Tableau 2: Plan d'adressage de Internet Edge

Zones Equipement Interface Adresse IP Masque sous-
réseaux

Internet Edge ASA1v G0/1 [Link] [Link]

1

G0/0 [Link] [Link]

Mangement [Link] [Link]

Internet Edge ASA2v G0/0 [Link] [Link]

2

G0/1 [Link] [Link]

Mangement [Link] [Link]

Internet Edge FTD1 G0/0 [Link] [Link]

3

G0/1 [Link] [Link]

Mangement [Link] [Link]

Internet Edge Routeur 5 Gi1 [Link] [Link]

4

Mangement [Link] [Link]

Tableau 3 : Plan d'adressage de Branch Office

Zones Equipement Interface Adresse IP Masque

RTP Branch Branch2 PC Vlan 308 172.30.35.x [Link]

office

Eth0/0 [Link] [Link]

Switch7 Mangement [Link] [Link]

Nosra Trabelsi 34
Chapitre 3 : Réalisation
Branch Office Branch PC [Link] [Link]

FTD2 Gi0/1 [Link] [Link]

Mangement [Link] [Link]

Tableau 4: Plan d'adressage de Campus

Zone Equipement Interface Adresse IP Masque

Campus NGIPS Mangement [Link] [Link]

FMC Mangement [Link] [Link]

WSA Mangement [Link] [Link]

3.3 Implémentation
3.3.1 Connectivité VPN AnyConnect et contrôle d'accès à un serveur web

Cette section s’intéresse à l’implémentation de VPN AnyConnect et Cisco ASA avec ACL
pour une sécurité optimale, comme l’indique la Figure 13. Dans un premier lieu, Sales PC
souhaite accéder à un serveur web distant via une connexion VPN AnyConnect. Pour établir
cette connexion sécurisée, le trafic du PC est acheminé vers Cisco ASAv, qui agit en tant que
passerelle VPN.

Nosra Trabelsi 35
Chapitre 3 : Réalisation

Figure 13:Architecture physique de Traffic web vers Datacenter 1

Le Cisco ASAv assure l'authentification et le chiffrement du trafic, garantissant ainsi la

confidentialité et l'intégrité des données lorsqu'elles traversent Internet, comme expliquer dans
la Figure 14 .

Nosra Trabelsi 36
Chapitre 3 : Réalisation

Figure 14:Interface graphique de ASDM

Une fois la connexion VPN établie, comme indique Figure 15, le trafic est acheminé vers un
autre équipement ASA.

Nosra Trabelsi 37
Chapitre 3 : Réalisation

Figure 15: Connexion au VPN AnyConnect

Dans ce cas, le deuxième ASA est configuré avec des zones « Inside » (intérieur), « Outside »
(extérieur) et « DMZ » (zone démilitarisée) à travers ASDM qui permet de gérer Cisco ASA
via une interface Web locale.

La zone interne est dédiée aux ressources internes du notre réseau, la zone externe représente
l'interface connectée à Internet, tandis que la zone "DMZ" sert à isoler les serveurs accessibles
publiquement.

Cette configuration permet à Cisco ASA d'utiliser EIGRP pour déterminer les meilleures
routes vers différentes zones du réseau. Le routage EIGRP permet au trafic autorisé de passer
de la zone « interne » à la zone « DMZ » où réside le serveur Web, tout en empêchant les
connexions non autorisées.

Ainsi, grâce à cette infrastructure bien conçue, le trafic est sécurisé dès le départ via la
connexion VPN, puis filtré et routé selon les règles définies dans les ACL. Cette architecture
garantit un haut niveau de sécurité et permet un contrôle précis du trafic, garantissant que

Nosra Trabelsi 38
Chapitre 3 : Réalisation
seules les connexions légitimes et autorisées atteignent le serveur Web distant. La Figure 16
montre l’accès avec succès au serveur Web.

Figure 16:Accés au serveur Web à partir de Sales PC

3.3.2 Connectivité VPN Clientless et contrôle d'accès à un serveur web
Dans cette deuxième partie, le PC Marketing essaie d'accéder à un serveur Web distant
comme expliqué par Figure 17.

Nosra Trabelsi 39
Chapitre 3 : Réalisation

Figure 17:Architecture physique de Trafic web vers Datacenter 2

Pour établir cette connexion, il se connecte d'abord au Cisco ASAv à l'aide d'un Clientles à
partir d'un navigateur Web sans installer de logiciel client VPN dédié.

Une fois connecté au Cisco ASAv via le VPN clientless, le trafic est dirigé vers un autre
périphérique ASA qui utilise le protocole de routage OSPF. En plus de l'OSPF, la
configuration du réseau inclut également le partitionnement en différentes zones, qui sont
utilisées pour définir des domaines de sécurité distincts dans le réseau.

En combinant les techniques VPN clientless, OSPF et la segmentation en zones, le PC

Marketing peut accéder en toute sécurité à des serveurs Web distants. Le VPN clientless
garantit une connexion cryptée, tandis que le protocole OSPF assure un routage optimal du
trafic. De plus, les zones aident à maintenir une isolation sécurisée entre les différents
segments du réseau. La Figure 18 met en évidence la réussite de l'accès au serveur Web,
confirmant ainsi le bon fonctionnement de la configuration.

Nosra Trabelsi 40
Chapitre 3 : Réalisation

Figure 18: Accès au serveur Web à partir de Marketing PC

3.3.3 VPN IPSEC (site to site )
Dans ce scénario, un VPN de site à site est configuré entre deux périphériques Firepower
Threat Defense (FTD) pour fournir une connexion sécurisée entre deux réseaux distincts à
travers un réseau public comme expliqué dans la Figure 19. Un VPN de site à site établit un
tunnel sécurisé à travers lequel le trafic passe en toute confidentialité et protection.

Figure 19: Architecture physique de VPN site to site

Nosra Trabelsi 41
Chapitre 3 : Réalisation
Lorsque Branch PC de filiale souhaite accéder au serveur Web, les FTD sont manger par
FDM comme expliquer dans la Figure 20, le trafic est acheminé via le tunnel VPN de site à
site, on configure tout d’abord les règles comme l’indique la Figure 21.

Figure 20:Interface graphique du FDM

Figure 21: VPN site to site

Nosra Trabelsi 42
Chapitre 3 : Réalisation

Le premier FTD côté PC crypte le paquet de données, l'envoie via le tunnel VPN et le
transmet au deuxième FTD. Une fois la configuration du VPN site-to-site terminée, comme
indiqué Figure 22, les deux sites peuvent communiquer de manière sécurisée.

Figure 22:Configuration de VPN site to site

Le deuxième FTD décrypte les paquets reçus et les achemine vers le serveur Web situé sur le
réseau privé du réseau central. Les réponses du serveur Web suivent le même chemin inverse,
à travers le deuxième FTD, puis le premier FTD, et enfin de retour au PC.

Nosra Trabelsi 43
Chapitre 3 : Réalisation

Figure 23: Accès au serveur web à partir de Branch PC

3.3.4 Accès sécurisé au serveur web via NGIPS
Dans ce scénario, Tac PC souhaite accéder au serveur web via un réseau sécurisé qui utilise
un dispositif Cisco Next-Generation Intrusion Prevention System en mode transparent,
comme indiqué au Figure 24. Le NGIPS est configuré pour surveiller le trafic réseau à l'aide
de politiques (policies) spécifiques.

Nosra Trabelsi 44
Chapitre 3 : Réalisation
Figure 24:Architecture physique d’accès au serveur web via NGIPS
En premier lieu, le PC envoie une demande de connexion au serveur Web. Le trafic du PC est
dirigé vers NGIPS, qui est en mode transparent sur le réseau. Le mode transparent signifie que
NGIPS s'intègre dans la topologie du réseau sans changer les adresses IP, il permet donc de
surveiller et de contrôler le trafic réseau sans modifier la configuration de l'infrastructure
existante.

Figure 25:Mangement de NGIPS avec FMC

Cela offre une couche supplémentaire de sécurité en détectant et en prévenant les intrusions
potentielles tout en laissant passer le trafic légitime.

La Figure 26 illustre la configuration de la politique permettant le passage du trafic. Cette

configuration consiste à définir des règles de filtrage et de contrôle du trafic afin d’autoriser le
flux des données autorisées à sur le réseau.

Nosra Trabelsi 45
Chapitre 3 : Réalisation

Figure 26: Configuration des Rules

Figure 27:Capture des Trafic passer par NGIPS

Nosra Trabelsi 46
Chapitre 3 : Réalisation
NGIPS analyse ensuite le trafic entrant du PC par rapport aux politiques de sécurité
prédéfinies. Ces stratégies déterminent les règles et les actions à appliquer au trafic, telles que
la détection des intrusions, la prévention des attaques et le filtrage des paquets indésirables.

Figure 28:Acces au serveur web de Tac PC

3.3.5 Authentification et contrôle d’accès via ISE

[Link] L'authentification 802.1X
L'authentification 802.1X est une méthode d'authentification basée sur les normes IEEE
802.1X comme expliqué dans la Figure 29.

Nosra Trabelsi 47
Chapitre 3 : Réalisation

Figure 29:Architecture d'authentification et le contrôle d'accès via ISE

Dans ce cas, nous avons ajouté Cisco Identity Services Engine (ISE) à notre infrastructure
pour gérer les identités et renforcer la sécurité. Le PC doit s'authentifier auprès d'ISE via le
protocole RADIUS, ISE est intégré à Active Directory pour la gestion des identités. L'accès
au réseau n'est accordé que si l'authentification est réussie, sinon l'accès est bloqué.

Figure 30:Interface graphique de ISE

Nosra Trabelsi 48
Chapitre 3 : Réalisation
Lorsque Tac PC veut accéder au serveur Web, il doit d'abord s'authentifier auprès d'ISE via le
protocole 802.1X. Ce dernier envoie ses identifiants (nom d'utilisateur et mot de passe) au
serveur ISE via le protocole RADIUS.

L'ISE vérifie les informations d'identification auprès de l'Active Directory pour s'assurer de
l'identité de l'utilisateur en utilisant des politiques d'accès basées sur les rôles et les attributs
de l'utilisateur pour déterminer les ressources accessibles.

Ainsi, une fois que TAC PC est authentifié avec succès, il obtient une adresse IP provenant
du pool DHCP et est placé dans un VLAN 207. Cela lui permet d'accéder aux ressources
réseau autorisées pour ce VLAN, tout en maintenant une isolation du trafic avec les autres
utilisateurs du réseau.

Figure 31:Ajout de switch au Cisco ISE

Nosra Trabelsi 49
Chapitre 3 : Réalisation

Figure 32:Authentification avec succès du user Tac

[Link] MAB (MAC Authentification Bypass)
L'authentification MAB permet de vérifier l'adresse MAC d'un périphérique pour
l'authentifier et lui accorder l'accès au réseau.

Dans ce cas, Contractor PC tente à s’authentifier auprès de Cisco ISE à l'aide de MAB. Le
processus d'authentification MAB permet aux appareils de s'authentifier à l'aide de leur
adresse MAC au lieu des informations d'identification de l'utilisateur.

Cisco ISE reçoit l'adresse MAC de l'appareil. ISE vérifie ensuite si cette adresse MAC est
autorisée dans sa base de données. Si c’est le cas, l'appareil est considéré comme un
utilisateur authentifié et obtient l'accès au réseau.

Nosra Trabelsi 50
Chapitre 3 : Réalisation

Figure 33: Authentification MAB

Si l'adresse MAC n'est pas présente dans la base de données autorisée, ISE bloque l’accès au
réseau.

3.3.6 Connexion au serveur web via Cisco AnyConnect en utilisant AAA

Tout comme la partie précédente, on établit une connexion sécurisée afin qu’un PC accède au
serveur web distant, alors que cette fois l'utilisateur sera identifié à partir du serveur AAA.

Lorsqu'un utilisateur souhaite se connecter à un serveur Web distant, il démarre le client

Cisco AnyConnect sur son PC.

Au lieu d'utiliser les informations d'identification locales, le client AnyConnect envoie les
informations d'identification de l'utilisateur au serveur AAA Cisco ISE pour l'authentification,
comme indiqué dans la Figure 34. Le serveur ISE vérifie ces informations à l'aide d'Active
Directory pour confirmer l'identité de l'utilisateur.

Nosra Trabelsi 51
Chapitre 3 : Réalisation

Figure 34: Authentification ASA-ISE

Après une authentification réussie, le serveur AAA ISE envoie un message d'autorisation au
client AnyConnect pour lui permettre d'accéder au réseau distant. Le client AnyConnect
établit alors une connexion sécurisée avec le serveur Web distant via le tunnel VPN établi.

3.3.7 Connexion au serveur web distant via un tunnel L2TPv3 over FlexVPN
Dans ce cas, Branch 2 souhaite accéder à un serveur Web distant en utilisant L2TPv3 via
FlexVPN. Pour cela, deux routeurs sont configurés pour établir une connexion VPN sécurisée
entre eux. FlexVPN est utilisé comme couche de sécurité pour créer des tunnels VPN, tandis
que L2TPv3 est utilisé pour encapsuler le trafic de couche 2, comme la montre la Figure 35.

Nosra Trabelsi 52
Chapitre 3 : Réalisation

Figure 35:Architecture physique d'accès au serveur web via L2TPv3 over FlexVPN

Lors de l'envoi de trafic vers le serveur Web distant, le routeur local encapsule ce trafic à
l'aide de L2TPv3 et l'envoie au routeur distant via le tunnel FlexVPN. Le routeur distant
désencapsule ensuite le trafic et le transmet au serveur Web distant. Avec cette configuration,
Branch2 PC peut communiquer avec le serveur Web distant comme s'ils étaient directement
connectés, même s'ils se trouvent sur des réseaux différents.

Nosra Trabelsi 53
Chapitre 3 : Réalisation

Figure 36:Configuration de L2TPv3 over FlexVPN sur R5

La Figure 36 vérifie que le tunnel L2TPv3 s'est correctement établit sur le routeur R5.

Figure 37:Etablissement de tunnel

Nosra Trabelsi 54
Chapitre 3 : Réalisation
En utilisant L2TPv3 sur FlexVPN on fournit une extension de réseau sécurisée entre deux
routeurs. Les mécanismes de sécurité tels que le cryptage et l'authentification fournis par
FlexVPN garantissent la confidentialité et l'intégrité des données transmises. Cette méthode
permet aux PC d'accéder de manière transparente et sécurisée aux serveurs Web distants.

3.3.8 Connexion au serveur web distant via un serveur proxy

Dans ce scénario, Contractor PC veut accéder à un serveur web distant via une architecture de
réseau comprenant un proxy en mode explicite, comme la montre la Figure 38. Le trafic
généré par le PC est redirigé vers un routeur qui est connecté au Cisco WSA (Web Security
Appliance). Le routeur contient des listes d'accès (ACL) pour diriger le trafic provenant du
PC vers le WSA.

Figure 38:Architecture physique d'accès au serveur web via proxy

Tout d'abord, nous entamons la configuration du WSA, conformément à ce qui est illustré
dans la Figure 39 et la Figure 40.

Nosra Trabelsi 55
Chapitre 3 : Réalisation

Figure 39: Configuration de WSA

Figure 40:Interface graphique de WSA

Nosra Trabelsi 56
Chapitre 3 : Réalisation
Les ACL configurées sur le routeur redirigent spécifiquement le trafic provenant du PC vers
le Cisco WSA. Le WSA agit comme un proxy, inspecte en profondeur le trafic réseau pour
vérifier que le contenu est sûr et conforme aux politiques de l'entreprise. Si le trafic est
conforme aux politiques établies, le WSA autorise la communication avec le serveur Web,
comme illustre la Figure 41, et renvoie une réponse appropriée au PC. Sinon, il bloque le
trafic non autorisé.

Figure 41:Acces au server web

En outre, nous pouvons vérifier les tentatives d'accès en utilisant l'historique du site WSA
comme décrit la Figure 42.

Nosra Trabelsi 57
Chapitre 3 : Réalisation

Figure 42: Historique d'accès au serveur Web de WSA

3.1 Remédiation automatique des incidents

Notre solution de remédiation automatique des incidents comprend deux composants clés qui
sont : Cisco StealthWatch et FMC. Nous avons utilisé la technologie PxGrid pour faciliter
l'intégration et la communication transparentes entre ces composants.

3.1.1 Remédiation automatique des téléchargements de malwares

L'objectif principal de cette partie est de protéger notre réseau contre les téléchargements de
logiciels malveillants à partir de serveurs FTP.

Tout d’abord, nous commençons par l’intégration de FMC avec ISE en utilisons PxGrid,
comme la montre la Figure 43. Une connexion sécurisée est établie entre les deux plates-
formes pour faciliter ainsi la transmission d'informations essentielles pour la remédiation
automatique.

Nosra Trabelsi 58
Chapitre 3 : Réalisation

Figure 43: Intégration FMC et ISE

TAC PC qui est déjà authentifier par ISE essaie de télécharger un fichier spécifique, le fichier
de test EICAR, à partir d'un serveur FTP. Dès que Tac PC essaie de télécharger le fichier
depuis le serveur, c'est le FMC qui entre en action, Pour détecter et empêcher les
téléchargements de logiciels malveillants, nous nous appuyons sur les politiques de sécurité.

Nosra Trabelsi 59
Chapitre 3 : Réalisation

Figure 44: Configuration des politiques pour bloquer les malwares

Grâce à l'analyse en temps réel du trafic, la Figure 45 explique comment FMC identifie le
fichier comme étant un malware et prend immédiatement des mesures de protection. Une fois
identifié, le téléchargement est bloqué, Tac PC reçoit une notification indiquant que le
téléchargement a été bloqué pour des raisons de sécurité.

Nosra Trabelsi 60
Chapitre 3 : Réalisation

Figure 45 : Téléchargement du malware bloqué

Figure 46 : Enregistrements de connexion

Nosra Trabelsi 61
Chapitre 3 : Réalisation

Figure 47 : Identification de malware

En plus du blocage du téléchargement, FMC peut également appliquer des mesures

supplémentaires pour isoler l'appareil de l'utilisateur du reste du réseau, on configure alors des
règles pour l'isolement, tel qu'indiqué dans la Figure 48.

Nosra Trabelsi 62
Chapitre 3 : Réalisation

Figure 48 : Configuration du politique du quarantaine

Cela peut inclure la mise en quarantaine de l'appareil pour empêcher toute propagation du
malware potentiel.

Dès que le malware est identifié et authentifié, le FMC réagit en isolant immédiatement la
machine comme décrit la Figure 50 et ainsi la Figure 51.

Nosra Trabelsi 63
Chapitre 3 : Réalisation

Figure 49: Identification d'un événement anormal

Nosra Trabelsi 64
Chapitre 3 : Réalisation

Figure 50: Description du l'activité anormal

Nosra Trabelsi 65
Chapitre 3 : Réalisation

Figure 51 : Isolation de l 'utilisateur

3.1.2 Détection, analyse et réponse efficace aux menaces réseau

Les solutions Cisco StealthWatch jouent un rôle essentiel dans notre stratégie de sécurité,
nous permettant de détecter, d'analyser et de répondre aux menaces potentielles susceptibles
de compromettre notre réseau. StealthWatch utilise une approche basée sur l'analyse
comportementale pour identifier les activités inhabituelles et les comportements malveillants.

Tout d’abord on commence par intégrer StealthWatch au Cisco ISE, comme décrit la Figure
52, ceci lui permis de prendre en charge les données d'identité des utilisateurs et même
exploiter pxGrid afin de mettre en quarantaine les utilisateurs. Les données d'identité sont
utilisées pour corréler le trafic réseau avec l'identité de l'utilisateur et afficher des données
détaillées sur les terminaux.

Nosra Trabelsi 66
Chapitre 3 : Réalisation

Figure 52: Intégration StealthWatch et Cisco ISE

La Figure 53 explique la configuration l'action de politique de réponse de gestion dans Cisco
ISE avec la quarantaine comme action. Cette action de mise en quarantaine est déclenchée
automatiquement lorsqu'une menace est détectée ou qu'un comportement suspect est identifié.
Cela signifie que les utilisateurs ou appareils concernés sont isolés du reste du réseau, ce qui
limite la propagation potentielle des menaces et protège l'environnement global.

Nosra Trabelsi 67
Chapitre 3 : Réalisation

Figure 53: Configuration de ISE ANC Policy action

[Link] Détection de l'activité de reconnaissance
Dans cette partie, nous nous intéressons à l’activité de reconnaissance (RECON) dans le but
de tester la détection du cette tentatives d’attaque.

C’est pour cette raison, nous avons utilisé l'outil de scan de ports Nmap afin d'analyser le
réseau à la recherche de vulnérabilités ou de points d'accès potentiels, conformément à ce qui
est illustré dans la Figure 55.

Nmap est un outil de ligne de commande Linux pour la découverte de réseau et l'audit de
sécurité. Cet outil est couramment utilisé par les pirates et les passionnés de cybersécurité et
même les administrateurs réseau et système [41].

Figure 54: Sigle de l'outil Nmap

Nosra Trabelsi 68
Chapitre 3 : Réalisation

Figure 55 : Scan exhaustif

Dès que cette activité de reconnaissance a été détectée comme l’indication de la Figure 56
par notre solution de sécurité, des mesures de contention ont été immédiatement mises en
place et la machine responsable de l'activité de scan a été identifiée et isolée en quarantaine.

Nosra Trabelsi 69
Chapitre 3 : Réalisation

Figure 56: Détection de l 'activité à partir de StealthWatch

Ce qui implique que la machine est isolée du reste du réseau, l'empêchant ainsi de
communiquer avec d'autres dispositifs et limitant ainsi son impact potentiel sur la sécurité
globale du réseau comme décrit la Figure 57.

Nosra Trabelsi 70
Chapitre 3 : Réalisation

Figure 57 : Mise en quarantaine de machine attaquant

[Link] Détection de DDOS

En poursuivant notre test, explorons maintenant une autre dimension des attaques : les
attaques DDoS, comme la montre la Figure 58. Lorsqu'une telle attaque est détectée, SMC
applique des politiques de sécurité prédéfinies pour mettre automatiquement en quarantaine
l'appareil infecté. Cela minimise l'impact de l'attaque sur les autres périphériques et services
du réseau, cela réduit au minimum l'impact de l'attaque sur les autres équipements et services
du réseau.

Nosra Trabelsi 71
Chapitre 3 : Réalisation

Figure 58: Détection d’attaque DDOS

Figure 59: Enregistrement de table d’alarme de StealthWatch

Nosra Trabelsi 72
Chapitre 3 : Réalisation

Grâce à cette capacité à détecter et à isoler les attaques DDoS, nos solutions de sécurité
augmentent la résilience du réseau et offrent une protection proactive contre ce type de
menace de plus en plus courant.

La Figure 60 illustre le processus de mise en quarantaine des utilisateurs malveillants.

Figure 60: Mise en quarantaine de utilisateurs effectuant de tests malveillants

Conclusion
Au cours de chapitre, nous avons implémenté une architecture de sécurité réseau basée sur la
remédiation automatique des incidents. Nous avons pu mettre en place un système dynamique
et réactif qui nous a permis de détecter et de répondre efficacement à plusieurs attaques. Pour
évaluer la résilience de notre solution, nous avons effectué des simulations de diverses
attaques et évalué sa capacité à réagir rapidement et efficacement en neutralisant les menaces
potentielles.

Nosra Trabelsi 73
Conclusion générale

Conclusion générale

L’objectif de notre projet était de mettre en œuvre une architecture de sécurité réseau basée
sur la remédiation automatique des incidents. En intégrant des solutions telles que Cisco
StealthWatch, Cisco ISE et d'autres outils de détection et de remédiation, nous avons pu
détecter et contenir rapidement les attaques, identifier les utilisateurs malveillants, d'isoler les
systèmes et de prendre des mesures pour prévenir de futures attaques.

On a également inclus des tests de différents scénarios pour évaluer l'efficacité de nos
mesures de sécurité. Ces scénarios comprenaient des attaques simulées, telles que des
tentatives d'intrusion dans notre infrastructure, DDOS, et des autres situations afin de mettre à
l'épreuve nos systèmes de défense et de vérifier leur capacité à détecter et à contrer les
menaces.

Les résultats de ces scénarios de test ont montré l'efficacité de notre architecture de sécurité
réseau basée sur la remédiation automatisée des incidents. Nous avons constaté une détection
rapide et précise des attaques, suivie mise en quarantaine efficace des systèmes malveillant et
d'une réduction significative de leur impact sur le réseau. L’intégration entre les différents
composants de notre architecture, tels que Cisco StealthWatch, Cisco ISE, FTD et les autres
périphériques de gestion des politiques de sécurité, permet des réponses automatiques, rapide
et cohérentes aux incidents de sécurité.

À l'avenir, nous prévoyons d'explorer des scénarios plus complexes, tels que des attaques
avancées basées sur des vulnérabilités zero-day, des attaques à grande échelle utilisant des
botnets et même des attaques basées sur l'intelligence artificielle et l'apprentissage
automatique. Nous continuerons également à investir dans la formation et le développement
de notre équipe de sécurité pour rester au courant des derniers développements.

Nosra Trabelsi 74
Références

Références

[1] R. BENABIDALLAH, «Identification automatique des vulnérabilités de sécurité dans les

systèmes logiciels».

[2] [Link] «Qu'est-ce que la

cybersécurité ?».

[3] [Link]

[4] [Link]
informatique.

[5] CCNA Security Version 2, IPSpecialist, 10/02/2019.

[6] [Link]

[7] l. a. i. e. l. m. d. s. p. comment, Cyrille Duret Nathalie Gaillard, 2002.

[8] [Link]

[9] [Link]
network/.

[10] [Link] «DNS SPOOFING».

[11] [Link]

[12] [Link]/learn/application-security/man-in-the-middle-attack-mitm/, «MITM».

[13] [Link] «DDOS attaque».

[14] [Link]

[15] [Link] «Spam

e phishing».

[16] [Link] «A study of technology in firewall system,»

IEEE, Ali Bin Hamid Ali, Firkhan.

Nosra Trabelsi 75
Références

[17] [Link] «Proxy».

[18] [Link]

[19] [Link] «IPS».

[20] [Link] «La remédiation automatique des

incidents,» NUSSBAUMER, Tanguy .

[21] [Link] «PxGrid».

[22] [Link] «OSPF».

[23] [Link] «EIGRP».

[24] [Link]
-Duchemin/[Link], «protcole AAA».

[25] [Link]

[26] [Link]
713329_v4.pdf.

[27] [Link]
directory-domain-services-overview, «Active Directory».

[28] [Link] «Openstack».

[29] U. Dzerkals, EVE-NG Professional COOK-BOOK.

[30] [Link] «PuTTY».

[31] [Link], «WinSCP».

[32] [Link] «UltraVNC Viewer».

[33] [Link] «Cisco IOL».

[34] [Link] «Cisco-ASA-security-

Appliance».

[35] [Link] «Cisco FTD».

[36] [Link] «CISCO

NGIPS».

Nosra Trabelsi 76
Références

[37] [Link] «isco FMC».

[38] [Link]
«Cisco ISE».

[39] [Link] «WSA».

[40] [Link] «Kali linux».

[41] [Link] «Nmap».

Nosra Trabelsi 77
Annexes

Annexes
Annexe 1 : Attaque déni de services

Hping3 est un outil réseau capable d'envoyer des paquets TCP/IP sur commande et d'afficher
les réponses de la cible comme le programme ping le fait avec les réponses ICMP. hping3
traite la fragmentation, les contenus de paquets et les tailles arbitraires, et peut être utilisé dans
le but de transférer des fichiers encapsulés dans les protocoles supportés. En utilisant hping3
vous êtes capable d'effectuer au moins les tâches suivantes :

- Tester les règles d'un firewall

- Scanner des ports de façon avancée

- Tester les performances réseau en utilisant différents protocoles, tailles de paquets,

TOS (type de service) et fragmentation.

- Découverte de "Path MTU"

En tapant la commande « hping 3 -S –flood -p [Link] »

❖ "hping3" est le nom du programme qui est utilisé pour générer des paquets réseau
personnalisés.

❖ "-S" spécifie l'utilisation du drapeau SYN (synchronisation) dans les paquets TCP. Ce
drapeau est généralement utilisé lors de l'établissement d'une connexion TCP.

❖ "--flood" indique à hping3 d'envoyer les paquets aussi rapidement que possible, sans
attendre de réponse ou de confirmation.

❖ "-p [Link]" spécifie le port de destination vers lequel les paquets seront
envoyés. Dans cet exemple, le port [Link] est utilisé, mais vous pouvez le
remplacer par le port cible souhaité.

Nosra Trabelsi 78
Annexes

L'utilisation de Wireshark est une excellente façon de visualiser le trafic réseau et d'analyser
les paquets qui circulent sur un réseau.

Et finalement ,suite à l'attaque par déni de service (DDoS) mentionnée précédemment, le

serveur est devenu inaccessible.

Nosra Trabelsi 79
Annexes

Nosra Trabelsi 80
Annexes

Annexe 2 : Attaque de l’homme de milieu

L'attaquant aura absolument besoin d'Ettercap et de Wireshark pour lancer l'attaque. Tout
d’abord on lance l'interface graphique Ettercap avec la commande :

$ ettercap -G

Sélectionnez Sniff > Unified Sniffing dans le menu.

Nosra Trabelsi 81
Annexes
choisir une cible, puis lancer l’attaque

Cliquez sur Mitm > Arp Poisoning pour sélectionner l'attaque Arp Poisoning.

Nosra Trabelsi 82
Annexes

Annexe 3 : Installation de StealthWatch et Flow collector

Connectez-vous au périphérique à l'aide du nom d'utilisateur par défaut de StealthWatch
admin et du mot de passe par défaut de lan411cope. Cliquer Sign In pour continuer.

L'écran Modifier le mot de passe par défaut s'affiche maintenant. À partir de version 7.x,il est
nécessaire de modifier la valeur par défaut mots de passe pour : sysadmin, admin, root.

Nosra Trabelsi 83
Annexes

Cliquer Next pour continuer. On refaire les étapes pour FlowCollector

Maintenant pour finaliser les paramètres, cliquer sur Restart .

Nosra Trabelsi 84
Annexes
Ensuite on assure l’intégration entre SMC et SFC

Nosra Trabelsi 85