Mise en œuvre d’un

SIEM basé sur l’IA

Encadré par : [Link] Ghazouani

Réalisé par : ABRIL Sanaa

ES-SALEK Ikram

LAADAILI Aya

1
 Contents
Dédicaces ................................................................................................................................................ 3
Remerciements....................................................................................................................................... 4
Chapitre 1 : Introduction ...................................................................................................................... 5
1. Contexte Général ...................................................................................................................... 5
2. Problématique........................................................................................................................... 6
3. Objectifs du projet.................................................................................................................... 7
4. SIEM (Security Information and Event Management) ........................................................ 8
❖ Rôles et Fonctionnalités ....................................................................................................... 8
❖ Limites des SIEM Traditionnels ......................................................................................... 8
❖ Solutions Populaires............................................................................................................. 9
❖ Fonctionnalités Clés ............................................................................................................. 9
❖ Intégration avec les SIEM ................................................................................................... 9
Chapitre 2 : Revue de Littérature ...................................................................................................... 13
3. Analyse des Articles Similaires .............................................................................................. 16
4. Tableau comparatif ................................................................................................................ 43
Chapitre 3 : Conception et Architecture ........................................................................................... 47
1. Architecture ............................................................................................................................ 47
2. Méthodologie........................................................................................................................... 50
Chapitre 5 : Réalisation ...................................................................................................................... 53
1. Présentation du système ......................................................................................................... 53
2. Les tests réalisés ...................................................................................................................... 55
Conclusion ............................................................................................................................................ 63

2
 Dédicaces
Ce rapport, fruit d’un travail acharné et d’un engagement constant, est dédié à
toutes les personnes ayant joué un rôle clé dans sa réalisation et contribué à notre
succès.

À nos parents, source d’inspiration et de motivation. Leur amour inconditionnel,

patience et soutien moral nous ont permis de persévérer et de mener ce projet à
bien avec confiance.

À nos familles, pour leur compréhension et leur encouragement, même lorsque

nos priorités professionnelles prenaient le dessus. Leur soutien a été indispensable
tout au long de cette aventure.

À nos encadrants académiques et professionnels, pour leurs conseils avisés et leur

accompagnement. Leur expertise et leur rigueur ont enrichi ce travail et nous ont
permis de dépasser nos limites.

À nos collègues et amis, pour leur soutien moral et leur collaboration. Leur écoute
et leurs conseils ont créé un environnement propice à notre réussite.

À la communauté académique et professionnelle, dont les échanges et les travaux

ont enrichi notre parcours. Ce projet s’inscrit dans un effort collectif pour
améliorer la sécurité des systèmes d’information.

Enfin, à nous-mêmes, pour notre persévérance et notre engagement. Ce projet

reflète notre volonté de contribuer de manière significative à un domaine en
constante évolution.

Nous espérons que ce travail apportera une contribution utile et ouvrira de

nouvelles perspectives dans le domaine de la sécurité des systèmes d’information
et de l’intelligence artificielle.

3
 Remerciements
Nous souhaitons exprimer notre profonde gratitude à toutes les personnes qui ont
contribué à la réalisation de ce projet. Leur soutien, leurs conseils et leur
accompagnement ont été inestimables tout au long de cette aventure.

À notre encadrant, le Professeur Mohamed Ghazouani, nous adressons nos

sincères remerciements pour son encadrement exceptionnel. Sa disponibilité et
ses conseils avisés ont orienté notre travail et enrichi notre réflexion. Son exigence
académique et sa rigueur scientifique nous ont poussés à donner le meilleur de
nous-mêmes.

À Monsieur Benlahmar Lahbib, coordinateur du Master, nous exprimons notre

profonde reconnaissance pour son soutien et son engagement envers notre
formation. Sa gestion efficace, sa capacité à motiver les étudiants et son
implication personnelle ont créé un environnement propice à l’apprentissage et à
l’épanouissement académique.

À tous ceux qui, de près ou de loin, ont contribué à ce travail, que ce soit par leurs
conseils, leurs encouragements ou leur soutien technique. Leur contribution,
parfois discrète mais précieuse, a joué un rôle clé dans l’aboutissement de ce
projet.

Ce projet représente le fruit d’un travail collaboratif et multidisciplinaire, reflétant

notre engagement personnel et l’appui reçu de notre entourage académique et
personnel. Nous espérons que les résultats obtenus contribueront positivement au
domaine de la sécurité des systèmes d’information et ouvriront la voie à de futures
recherches.

4
 Chapitre 1 : Introduction
1. Contexte Général
Importance de la Cybersécurité dans un Monde Numérique

Dans un monde où la digitalisation occupe une place prépondérante, la

cybersécurité est devenue un enjeu majeur pour les organisations de toutes tailles.
Les données numériques sont au cœur des opérations quotidiennes, des
communications internes aux transactions financières. La protection de ces
données n'est plus une option, mais une nécessité pour préserver la confiance des
clients, la réputation de l'entreprise et pour se conformer aux régulations en
vigueur. Les cyberattaques peuvent entraîner des pertes financières considérables,
des interruptions de service et des atteintes irréparables à l'image de marque.

L'Évolution des Menaces : Attaques Avancées (APT), Ransomwares, etc.

Les menaces cybernétiques ont évolué en complexité et en sophistication. Les

Attaques Persistantes Avancées (APT) sont menées par des acteurs
déterminés qui utilisent des techniques furtives pour infiltrer les systèmes et
extraire des informations sensibles sur une longue période. Les ransomwares,
quant à eux, chiffrent les données critiques des organisations, exigeant une rançon
pour leur restitution. Ces attaques ciblées exploitent souvent des vulnérabilités
inconnues (zero-day) et sont difficiles à détecter avec les méthodes traditionnelles.
La multiplication des appareils connectés et l'essor de l'Internet des Objets (IoT)
élargissent également la surface d'attaque, offrant de nouvelles opportunités aux
cybercriminels.

Besoin de Systèmes Intelligents pour Détecter et Répondre Efficacement

Face à cette escalade des menaces, les méthodes traditionnelles de défense ne

suffisent plus. Il est indispensable de mettre en place des systèmes intelligents
capables de détecter les anomalies en temps réel, d'anticiper les attaques
potentielles et De Réagir rapidement pour minimiser l'impact. L'intégration de
l'intelligence artificielle et du machine learning dans les outils de cybersécurité
permet d'analyser de vastes volumes de données, d'identifier des schémas
inhabituels et de prendre des décisions éclairées. Ces systèmes apportent une
réponse proactive aux menaces, renforçant la résilience des infrastructures
numériques.
5
2. Problématique
L'idée de ce projet part d'un constat simple mais alarmant : il est de plus en plus
difficile pour une organisation de surveiller efficacement son environnement de
sécurité sans un système performant et intelligent. Plusieurs défis majeurs se
posent :

Gestion des Milliers d'Alertes Générées Quotidiennement

Les systèmes de sécurité modernes génèrent des milliers d'alertes chaque jour,
provenant de multiples sources comme les pare-feux, les systèmes de détection
d'intrusion et les antivirus. Cette quantité massive d'informations peut rapidement
conduire à une surcharge cognitive pour les analystes de sécurité. Ils doivent trier,
prioriser et analyser chaque alerte pour déterminer lesquelles représentent de
véritables menaces. Cette tâche est non seulement chronophage mais aussi sujette
à l'erreur humaine, augmentant le risque que des menaces critiques passent
inaperçues.

Réponse Rapide aux Incidents Critiques avec un Impact Minimal sur les
Opérations

Lorsqu'un incident de sécurité survient, le temps de réaction est crucial pour

limiter les dommages potentiels. Les organisations doivent être en mesure de
répondre rapidement aux menaces sans perturber leurs opérations quotidiennes.
Cependant, l'absence de processus automatisés et l'intervention humaine
nécessaire pour analyser et remédier aux incidents peuvent entraîner des délais
significatifs. De plus, une réponse inadéquate ou retardée peut permettre à une
menace de se propager, augmentant ainsi l'impact sur l'organisation.

Développement d'une Solution Efficace, Économique et Adaptable avec des

Technologies Open Source

Les solutions de sécurité commerciales peuvent être coûteuses et ne pas toujours

s'adapter aux besoins spécifiques d'une organisation. Elles peuvent également être
complexes à déployer et à gérer. À l'inverse, les technologies open source offrent
une alternative économique et flexible. Elles permettent aux organisations de
personnaliser les outils en fonction de leurs exigences particulières. Cependant, la
mise en œuvre de solutions open source nécessite une expertise technique pour
assurer leur efficacité et leur intégration harmonieuse avec les systèmes existants.

6
Question Centrale

Face à ces défis, une question fondamentale se pose :

Comment construire un système intelligent et automatisé, basé sur des

technologies accessibles, capable de répondre aux défis des environnements
modernes ?

3. Objectifs du projet
Notre objectif principal est clair : concevoir une solution de gestion des
événements de sécurité à la fois efficace, évolutive et économique. Pour atteindre
cela, nous avons défini plusieurs sous-objectifs :

Créer une Plateforme Centralisée pour la Collecte et l'Analyse en Temps Réel

des Données de Sécurité avec la Pile ELK

La pile ELK (Elasticsearch, Logstash, Kibana) est une suite d'outils open source
qui permet de collecter, stocker, analyser et visualiser de grandes quantités de
données en temps réel. En l'utilisant, nous visons à centraliser les logs de sécurité
provenant de diverses sources pour faciliter leur analyse et la détection rapide des
anomalies.

Les logs seront collectés à partir de l'IDS (Intrusion Detection System) situé dans
la passerelle réseau. Cette position stratégique permet de surveiller le trafic entrant
et sortant, offrant une visibilité accrue sur les tentatives d'intrusion et les activités
suspectes au niveau du réseau.

Automatiser la Réponse aux Incidents avec Wazuh en Réduisant les

Interventions Humaines Répétitives

Wazuh est une plateforme open source qui offre des fonctionnalités de détection
des menaces, de réponse aux incidents et de conformité. En intégrant Wazuh, nous
souhaitons automatiser les tâches répétitives liées à la gestion des incidents,
permettant aux analystes de se concentrer sur des problèmes plus complexes
nécessitant une intervention humaine.

Les réponses automatisées seront exécutées via une API refaite, ce qui permettra
une communication efficace entre les différents composants du système. Cette
API améliorée facilitera l'orchestration des actions de remédiation, garantissant
une réponse rapide et cohérente aux incidents détectés.
7
Exploiter l'Intelligence Artificielle pour Prioriser les Menaces et Identifier
des Anomalies Complexes

L'intégration de l'intelligence artificielle, notamment le machine learning, nous

permettra de développer des modèles capables de détecter des schémas de
menaces avancées et de prioriser les alertes en fonction de leur criticité. Cela
contribuera à réduire le nombre de faux positifs et à focaliser les efforts sur les
menaces les plus importantes.

Tester la Solution avec des Scénarios Réels en Simulant des Attaques pour
Évaluer les Performances et Ajuster les Configurations

Pour assurer l'efficacité de la solution, il est essentiel de la tester dans des

conditions proches de la réalité. En simulant des attaques, nous pourrons évaluer
les performances du système, identifier les points faibles et ajuster les
configurations pour optimiser la détection et la réponse aux incidents.

4. SIEM (Security Information and Event Management)

❖ Rôles et Fonctionnalités

Les solutions SIEM jouent un rôle crucial dans la gestion de la sécurité d'une
organisation. Leurs principales fonctionnalités incluent :

➔ Collecte et Corrélation des Logs : Agrégation des logs provenant de

diverses sources (pare-feux, serveurs, applications) pour une analyse
centralisée.
➔ Corrélation des Événements : Identification de relations entre différents
événements pour détecter des schémas d'attaques complexes.
➔ Analyse en Temps Réel pour Détecter les Anomalies : Surveillance
continue des activités pour repérer les comportements anormaux.
➔ Génération d'Alertes et Production de Rapports : Notification des
incidents de sécurité et fourniture de rapports pour la conformité et la prise
de décision.

❖ Limites des SIEM Traditionnels

Malgré leur importance, les SIEM traditionnels présentent certaines limites :

➔ Réactions Souvent Réactives, Peu Prédictives : Ils détectent les menaces

après qu'elles se soient produites, limitant la capacité à prévenir les attaques.
8
 ➔ Complexité dans la Gestion des Faux Positifs : Le volume élevé d'alertes
peut submerger les analystes, avec un taux significatif de fausses alertes
nécessitant une vérification manuelle.

❖ Solutions Populaires

Plusieurs solutions SIEM sont disponibles sur le marché :

Exemples Commerciaux :

➔ Splunk : Offre une plateforme robuste pour la recherche, la surveillance et

l'analyse des données machine.
➔ IBM QRadar: Fournit des capacités avancées de détection des menaces et de
gestion des incidents.

Solutions Open Source :

➔ ELK Stack (Elasticsearch, Logstash, Kibana) : Une suite d'outils pour la

collecte, le stockage, l'analyse et la visualisation des logs.
➔ Graylog : Une plateforme de gestion des logs qui facilite la collecte et
l'analyse des données en temps réel.
5. SOAR (Security Orchestration, Automation, and
Response)
❖ Fonctionnalités Clés

Les solutions SOAR visent à améliorer la réponse aux incidents en

automatisant et en orchestrant les processus de sécurité :

➔ Orchestration et Intégration de Multiples Outils : Coordination des

différents systèmes et outils de sécurité pour une action cohérente.
➔ Automatisation des Tâches Répétitives : Réduction du temps et des efforts
nécessaires pour gérer les incidents courants.
➔ Réponse Guidée par des Playbooks : Mise en œuvre de procédures
standardisées pour une réponse efficace aux incidents.

❖ Intégration avec les SIEM

L'intégration des SIEM avec les SOAR permet une amélioration significative de
la posture de sécurité :

9
 ➔ Coordination entre SIEM et SOAR : Les SIEM détectent les incidents,
tandis que les SOAR orchestrent la réponse automatisée.

Cas Pratiques :

Wazuh + ELK Stack : Wazuh ajoute des capacités de réponse et de conformité à

la pile ELK, créant une solution intégrée pour la gestion des incidents.

❖ Exemples de Solutions

Outils Open Source :

➔ Wazuh : Fournit des fonctionnalités de détection des menaces, de réponse aux

incidents et de conformité.
➔ TheHive : Une plateforme collaborative pour la gestion des incidents de
sécurité.

Plateformes Commerciales :

➔ Palo Alto Cortex XSOAR : Offre une plateforme complète pour

l'orchestration de la sécurité, l'automatisation et la réponse.
6. Intelligence Artificielle et Cybersécurité
❖ Applications de l'IA dans les SIEM et SOAR

L'IA apporte des améliorations significatives dans les domaines suivants :

➔ Analyse des Anomalies Comportementales : Identification des

comportements inhabituels des utilisateurs ou des systèmes.
➔ Détection Prédictive des Menaces : Anticipation des attaques potentielles en
se basant sur des modèles prédictifs.
➔ Automatisation Intelligente des Réponses : Adaptation des actions de
remédiation en fonction du contexte et de la nature de la menace.
❖ Techniques Utilisées
➔ Machine Learning Supervisé et Non Supervisé : Apprentissage à partir de
données étiquetées ou non pour détecter des anomalies ou classer des
menaces.
➔ Traitement du Langage Naturel (NLP) pour l'Analyse des Logs : Extraction
d'informations pertinentes à partir de données textuelles non structurées.

10
 ➔ Réseaux Neuronaux pour la Détection d'Anomalies Complexes :
Modélisation de schémas complexes pour identifier des menaces
sophistiquées.
❖ Limites et Défis
➔ Besoin de Données Fiables et Actualisées : La qualité des modèles dépend de
la qualité des données d'entraînement.
➔ Biais dans les Modèles d'Apprentissage : Les modèles peuvent hériter de biais
présents dans les données, conduisant à des résultats erronés.
➔ Complexité dans l'Intégration des Algorithmes : L'implémentation de l'IA
nécessite une expertise technique avancée et peut être difficile à intégrer dans
les systèmes existants.
7. Comparaison et Synthèse
❖ Comparaison SIEM, SOAR, et SIEM avec IA

Forces et Faiblesses

• SIEM Classique :

Forces : Robustesse, centralisation des données, conformité réglementaire.

Faiblesses : Limité face aux nouvelles menaces, gestion difficile des faux positifs,
absence d'automatisation.

• SOAR :

Forces : Puissance d'automatisation, réduction du temps de réponse,

orchestration efficace.

11
Faiblesses : Nécessite des flux de travail bien définis, complexité de mise en
œuvre, coût potentiellement élevé.

• IA dans les SIEM/SOAR :

Forces : Détection avancée des menaces, réduction des faux positifs, adaptation
aux menaces émergentes.

Faiblesses : Technologie encore en maturation, besoins importants en données de

qualité, intégration complexe.

12
 Chapitre 2 : Revue de Littérature
1. Objectifs de la Revue de Littérature
Identifier les Solutions Existantes et Leurs Contributions

L'objectif principal de cette revue de littérature est de recenser et d'examiner les

solutions actuelles dans le domaine de la sécurité informatique, plus
spécifiquement les technologies SIEM (Security Information and Event
Management) et SOAR (Security Orchestration, Automation, and Response).

En identifiant ces solutions, nous visons à comprendre leurs fonctionnalités clés,

leurs mécanismes de détection des menaces, leurs capacités d'automatisation, et
comment elles contribuent à renforcer la posture de sécurité des organisations.
Cette analyse permettra de mettre en lumière les avancées technologiques
actuelles et les meilleures pratiques dans le domaine.

Analyser les Limites des Travaux Antérieurs

Il est essentiel d'examiner les limitations et les défis associés aux solutions
existantes pour identifier les domaines nécessitant des améliorations. Parmi les
problèmes couramment rencontrés figurent :

▪ Réactivité plutôt que Proactivité : Les SIEM traditionnels sont souvent

réactifs, détectant les menaces après qu'elles se sont produites, ce qui limite
la capacité à prévenir les attaques.
▪ Gestion des Faux Positifs : Le volume élevé d'alertes générées peut
entraîner une surcharge pour les analystes, avec un nombre significatif de
faux positifs qui compliquent la détection des menaces réelles.
▪ Complexité d'Intégration : L'intégration de nouvelles technologies,
notamment l'intelligence artificielle, peut être complexe en raison de
l'incompatibilité avec les systèmes existants ou du manque de ressources
techniques.
▪ Coûts Élevés : Les solutions commerciales peuvent représenter un
investissement financier important, ce qui n'est pas toujours viable pour
toutes les organisations.

13
En analysant ces limites, nous pourrons orienter notre projet pour qu'il réponde
spécifiquement à ces défis, en proposant des solutions innovantes et adaptées aux
besoins actuels.

2. Méthodologie de Sélection des Articles

Pour réaliser une revue de littérature pertinente et exhaustive, une
méthodologie structurée a été adoptée pour la sélection des articles.
Cette approche vise à identifier les travaux les plus significatifs dans le
domaine des SIEM, SOAR et de l'intégration de l'intelligence
artificielle dans ces systèmes, afin de positionner notre projet dans le
contexte actuel de la cybersécurité.

❖ Critères de Sélection

Les articles ont été sélectionnés en fonction des critères suivants :

• Implémentation des SIEM et SOAR : Nous avons ciblé des

articles portant sur la mise en œuvre pratique des solutions SIEM
et SOAR. L'objectif est de comprendre leur fonctionnement
technique, les défis associés à leur déploiement et leur rôle dans
la protection des infrastructures numériques. Ces travaux
fournissent des insights sur les architectures système, les
protocoles de communication, et les mécanismes de corrélation
des événements.

• Intégration de l'IA dans les SIEM et SOAR : Des articles

explorant l'apport de l'intelligence artificielle dans ces systèmes
ont été sélectionnés. Ils analysent comment l'IA améliore les
processus de détection des menaces, de réponse aux incidents et
d'automatisation des tâches. Ces publications abordent des
techniques telles que le machine learning, le deep learning, et le
traitement du langage naturel appliquées aux logs et aux alertes
de sécurité.

• Implémentation concrète de l'IA avec les SIEM et SOAR :

Nous avons inclus des études de cas et des recherches dédiées à
l'application pratique de l'IA dans les SIEM et SOAR. Ces
articles évaluent l'efficacité des algorithmes d'apprentissage

14
 automatique, les défis liés à l'intégration technologique, et les
résultats obtenus en termes de performance et de réduction des
faux positifs.

❖ Sources de Recherche

Pour garantir la qualité et la pertinence des articles sélectionnés, les

sources suivantes ont été utilisées :

• Bases de données académiques : IEEE Xplore, ACM Digital

Library, ScienceDirect, et SpringerLink pour accéder aux articles
de revues scientifiques et aux actes de conférences.
• Moteurs de recherche spécialisés : Google Scholar et
ResearchGate pour élargir la recherche et identifier des travaux
supplémentaires.
• Publications professionnelles : Livres blancs, rapports
techniques et blogs d'experts provenant d'entreprises et
d'organisations reconnues dans le domaine de la cybersécurité.

❖ Processus de Sélection
Le processus de sélection s'est déroulé en plusieurs étapes :
• Recherche initiale : Collecte d'un large éventail d'articles en
utilisant les mots-clés et les sources définies.
• Filtrage par pertinence : Analyse des titres et des résumés pour
éliminer les articles non pertinents ou hors sujet.
• Évaluation approfondie : Lecture complète des articles retenus
pour vérifier leur contribution réelle au sujet étudié.
• Sélection finale : Conservation des articles répondant
pleinement aux critères définis, assurant une couverture
complète des aspects techniques et pratiques.
❖ Justification de la Méthodologie

Cette méthodologie rigoureuse garantit que la revue de littérature est fondée sur
des sources fiables et pertinentes, offrant une compréhension approfondie des
technologies SIEM et SOAR, ainsi que de l'impact de l'intelligence artificielle sur
ces systèmes. En se concentrant sur l'implémentation pratique et l'intégration de

15
l'IA, nous positionnons notre projet au cœur des développements actuels et des
défis futurs en cybersécurité.

3. Analyse des Articles Similaires

Article 1: SIEM and Threat Intelligence: Protecting Applications with
Wazuh and TheHive 2024
La sécurité des systèmes et applications est essentielle face à la montée des
cyberattaques comme les attaques DDoS, les injections SQL et les attaques par
force brute. Ces menaces mettent en péril la disponibilité, l'intégrité et la
confidentialité des données. Dans ce contexte, l’article “SIEM and Threat
Intelligence : Protecting Applications with Wazuh and TheHive” explore
l’utilisation de solutions open source pour la détection et la gestion des menaces
en temps réel.
Contribution principale
L'étude propose une intégration innovante de Wazuh (outil de gestion des
événements et informations de sécurité - SIEM) et TheHive (plateforme de
réponse aux incidents de sécurité). Cette combinaison permet :
• La détection en temps réel des menaces via Wazuh, capable d'analyser des
logs de diverses applications.
• La gestion automatisée des incidents avec TheHive, qui classe les alertes
en cas et les distribue aux équipes responsables.
• L'envoi d'alertes instantanées aux administrateurs via Telegram, réduisant
le délai entre détection et réaction.

16
Méthodologie
L’intégration repose sur les étapes suivantes :
• Installation de Wazuh et TheHive sur des serveurs distincts connectés via
ZeroTier pour créer un réseau virtuel.
• Configuration des règles Wazuh pour classifier les menaces selon leur
niveau (de 0 à 15).
• Transmission des logs avec un score de menace supérieur à 5 à TheHive,
qui crée des cas à analyser.
• Notification des administrateurs via un bot Telegram configuré.

Résultats
L’étude a identifié 11 catégories de menaces critiques, notamment : Les
tentatives d'injection SQL.
• Les changements suspects dans les ports ouverts/fermés.
• Les échecs de connexion multiples (attaque par force brute). Les résultats
montrent une détection rapide avec un délai moyen d’une minute pour
l’envoi des notifications après l’identification des menaces.
Limites
• Intégration complexe (réseaux distincts) : L’intégration de Wazuh et
TheHive nécessite la création d’un réseau virtuel via des outils comme
ZeroTier, ce qui complique la configuration initiale.
• Synchronisation temporelle nécessaire : Les différences dans les
paramètres de date et d’heure entre les serveurs peuvent fausser l’analyse
des logs et rendre difficile la corrélation des événements en temps réel.
• Gestion des faux positifs : L’approche peut générer un volume élevé de faux
positifs, ce qui alourdit le travail des administrateurs pour identifier les
menaces réelles.
• Problèmes de configuration réseau internes : Des erreurs de configuration
réseau peuvent entraîner des anomalies dans la détection des attaques,
comme une mauvaise attribution des adresses IP, affectant la fiabilité des
logs.
17
Ces limites soulignent la nécessité de configurations précises et de processus
d’optimisation pour garantir l’efficacité de l’intégration entre Wazuh et TheHive.
Conclusion
En conclusion, l’intégration de Wazuh et TheHive constitue une solution robuste
pour la détection des menaces et la gestion des incidents en temps réel. Cette
combinaison permet non seulement de renforcer la sécurité des applications et des
systèmes, mais aussi d’améliorer la réactivité grâce à des notifications
instantanées et des analyses approfondies. Malgré les défis d’intégration initiale,
cette approche se distingue par sa flexibilité et son potentiel d’extension, en
offrant une protection adaptée aux besoins des organisations face aux menaces
évolutives.
Article 2: AI4SOAR: A Security Intelligence Tool for Automated Incident
Response (2024)
L’augmentation du volume et de la complexité des alertes de sécurité pose des
défis importants pour les organisations. Les méthodes manuelles ou semi-
automatisées utilisées par les analystes de sécurité entraînent des retards dans
l’identification et la gestion des menaces. Dans ce contexte, l’article intitulé
"AI4SOAR : A Security Intelligence Tool for Automated Incident Response"
propose une solution innovante basée sur l’intelligence artificielle pour
automatiser les réponses aux incidents et améliorer l’efficacité des systèmes
SOAR (Security Orchestration, Automation, and Response).
Contribution principale
L'étude introduit AI4SOAR, un outil d'intelligence de sécurité reposant sur des
algorithmes d'apprentissage par similarité et intégré au SOAR open-source
Shuffle. Cet outil permet :
• La sélection rapide de playbooks adaptés grâce à des algorithmes de
similarité entre alertes nouvelles et historiques.
• L’orchestration intelligente des playbooks, incluant la personnalisation et
l’optimisation des workflows existants.
• L’automatisation des réponses à des attaques comme les attaques par force
brute SSH.
• L’intégration avec des outils de sécurité tels que TheHive et Cortex pour
une gestion centralisée des incidents.
Méthodologie
18
L’approche repose sur une architecture modulaire comprenant :
• Playbook Consumer : "Les journaux et playbooks proviennent des outils
SIEM et sont collectés par le module Playbook Consumer."
• Orchestration Intelligente : "Le module Intelligent Playbook Orchestration
optimise les playbooks en s'appuyant sur des algorithmes d'IA. Il peut
modifier ou créer des branches dynamiquement pour s'adapter aux
nouvelles menaces."
• Moteur d'orchestration : "Une fois les playbooks prêts, le moteur
d'orchestration basé sur Shuffle les exécute en interagissant avec d'autres
outils de sécurité via des APIs REST."
• Analyse et Reporting : "Le module d'analyse collecte les résultats, génère
des rapports et les partage avec les outils de renseignement sur les menaces.
Cela permet d'améliorer continuellement les réponses futures."
• Collaboration avec l'analyste : "L'analyste de sécurité joue un rôle clé en
définissant, révisant et validant les playbooks pour des réponses adaptées."

Résultats
L’outil a été évalué sur un cas d’utilisation spécifique : les attaques par
force brute SSH. Les résultats incluent :
• Détection efficace des menaces grâce à des alertes enrichies issues de
Wazuh.
• Réduction des délais de réponse avec des suggestions de
playbooks atteignant une similarité de 99 %.
• Automatisation des actions telles que la génération d’alertes dans TheHive,
l’analyse d’IP via VirusTotal, et la notification des équipes via Discord.
Limites

19
 • Playbooks rigides : Les playbooks prédéfinis sont difficiles à
adapter aux menaces inconnues ou émergentes, nécessitant des
ajustements manuels fréquents pour rester pertinents.
• Exigences en ressources : L’intégration de composants comme
Shuffle et TheHive, combinée aux calculs intensifs des algorithmes
de similarité, demande une infrastructure robuste et performante.
• Environnement en développement : La dépendance à des outils
open-source en cours de développement, tels que Shuffle, expose
le système aux bugs, limitations, et instabilités qui peuvent affecter
son efficacité.
Ces limites mettent en lumière la nécessité d’améliorations continues et
d’une infrastructure adaptée pour maximiser les bénéfices d’AI4SOAR.
Conclusion
AI4SOAR propose une approche innovante pour la réponse automatisée
aux incidents en s’appuyant sur des technologies d’intelligence
artificielle. Malgré certaines limites, son efficacité dans la gestion des
menaces complexes en fait un outil prometteur pour renforcer la résilience
des systèmes de sécurité.
Article 3: Ai-Driven Soar in Finance: Revolutionizing Incident
Response and Pci Data Security with Cloud Innovations (2024)
L’article intitulé "AI-Driven SOAR in Finance : Revolutionizing Incident
Response and PCI Data Security with Cloud Innovations" explore
l’application des technologies SOAR basées sur l’intelligence artificielle
dans le secteur financier. Il met en lumière l’impact de l’IA et des solutions
cloud sur l’amélioration de la réponse aux incidents et la protection des
données sensibles, comme les informations de paiement (PCI).
Contribution principale
L’étude propose l’utilisation de SOAR basé sur l’IA pour :
• Améliorer l’efficacité de la réponse aux menaces grâce à des
systèmes automatisés capables de détecter et de gérer les menaces
en temps réel.
• Protéger les données sensibles PCI en utilisant des algorithmes
avancés d’apprentissage automatique pour analyser les
comportements et prévenir les violations.
• Tirer parti des innovations cloud pour des solutions de sécurité
évolutives et flexibles répondant aux besoins dynamiques des
20
 institutions financières.
• Garantir la conformité réglementaire avec des standards tels que
PCI-DSS, tout en intégrant des pratiques de sécurité robustes.
Méthodologie
L’approche repose sur des simulations et des scénarios réels :
o Simulations :
▪ Fuites de données : Détection et blocage rapide des tentatives de transfert de
données non autorisé.
▪ Attaques de phishing : Identification et isolation des emails malveillants pour
protéger les employés.
▪ Accès non autorisés : Surveillance continue des connexions et application de
l’authentification multi-facteurs.
o Scénarios réels :
▪ Réponse rapide aux attaques par ransomware avec isolation des réseaux
affectés.
▪ Prévention des intrusions dans les systèmes de paiement en exploitant des
politiques de contrôle d’accès renforcées.
Résultats
Les résultats obtenus montrent une amélioration significative par rapport aux
méthodes traditionnelles :
▪ Temps de détection et de réponse réduit (exemple : de 120 minutes à 30
minutes pour les fuites de données).

21
 ▪ Précision accrue dans la détection des menaces (exemple : 95 % pour les
fuites de données avec SOAR contre 75 % avec les méthodes classiques).

▪ Renforcement de la posture de sécurité globale, évaluée à 9/10 en termes

d’efficacité, contre 6/10 pour les méthodes traditionnelles.

Limites

22
 • Complexité d’intégration : L’intégration des systèmes SOAR basés sur l’IA
dans les infrastructures existantes des institutions financières est complexe.
Les systèmes traditionnels isolés rendent l’adoption coûteuse et
chronophage, nécessitant des ajustements spécifiques pour assurer la
compatibilité.
• Problèmes de confidentialité des données : Les SOAR basés sur l’IA
traitent de vastes quantités de données sensibles (ex. : PCI), exposant les
organisations aux risques de conformité et de violations. Une gestion
rigoureuse des données et des mécanismes comme le chiffrement sont
indispensables.
• Pénurie de compétences : La mise en œuvre et la gestion de systèmes
SOAR basés sur l’IA nécessitent des experts combinant des compétences
en IA, apprentissage automatique et sécurité. La pénurie de professionnels
qualifiés constitue un obstacle à l’optimisation de ces solutions.
• Dépendance aux infrastructures cloud : Le recours aux technologies cloud
pour l’automatisation et l’évolutivité des solutions de sécurité introduit une
dépendance importante aux fournisseurs tiers, augmentant les risques liés
aux failles de sécurité des clouds et à leur disponibilité.
Ces limites soulignent la nécessité de stratégies adaptées pour maximiser
l’efficacité des SOAR basés sur l’IA tout en minimisant les risques liés à leur
déploiement.
Conclusion
L’utilisation du SOAR basé sur l’IA dans la finance offre des avantages
significatifs en matière de sécurité, de réponse aux incidents et de conformité.
Bien que des défis comme l’intégration et la confidentialité des données
persistent, ces systèmes, renforcés par l’IA et le cloud, permettent de relever
efficacement les menaces nouvelles et complexes. À l’avenir, l’évolution des
capacités d’apprentissage automatique et des technologies cloud continuera de
transformer les pratiques de sécurité dans le secteur financier.
Article 4: Adaptable Plug and Play Security Operations Center Leveraging
a Novel Programmable Plugin-based Intrusion Detection and Prevention
System (2022)
L'article propose un cadre adaptable pour les Centres d'Opérations de Sécurité
(SOC) afin de répondre aux cyberattaques croissantes. Ce système "plug-and-
play" intègre un mécanisme programmable basé sur des plugins (PPIDPS) pour

23
détecter et prévenir les intrusions, tout en automatisant les tâches pour libérer les
analystes. L'architecture est modulable, évolutive et s'adapte aux différents profils
de risques des organisations. Testé dans des environnements simulés, il a
démontré son efficacité en détectant les attaques en temps réel et en intégrant des
outils externes comme VirusTotal. Ce cadre offre une solution SOC peu coûteuse,
personnalisable et collaborative, avec des plans futurs pour une plateforme
centralisée de partage de plugins.
Contribution principale
La solution proposée apporte plusieurs contributions majeures pour améliorer
l'efficacité et la flexibilité des Security Operations Centers (SOC):
• Architecture modulable et scalable pour un SOC rapide à déployer.
• Système basé sur des plugins personnalisables pour détecter et prévenir les
menaces.
• Automatisation complète pour simplifier la configuration et réduire les
efforts manuels.
• Adaptation aux besoins et risques spécifiques des organisations.
• Conformité avec les normes comme GDPR et PCI DSS.
• Collaboration et partage de plugins entre ingénieurs en sécurité.
• Amélioration des capacités des SIEM, comme Wazuh.
Méthodologie
La méthodologie adoptée dans cette solution repose sur les étapes suivantes :
• Concevoir une architecture modulaire et scalable pour s'adapter aux
différents environnements organisationnels.
• Automatiser le déploiement et la configuration du SOC en utilisant Ansible
et des playbooks personnalisés.
• Intégrer des outils open-source comme Wazuh, Elasticsearch et Kibana
pour la gestion des journaux et la visualisation.
• Développer un système de plugins programmables (PPIDPS) pour détecter
et prévenir les menaces en temps réel.
• Garantir la conformité aux normes réglementaires (e.g., GDPR, PCI DSS)
et sécuriser les communications via des canaux encryptés.

24
 • Tester le système sur divers scénarios pour valider son efficacité, sa
scalabilité et sa facilité de déploiement.

Résultats
L'implémentation de notre solution a permis d'obtenir plusieurs améliorations
notables :
➔ Réduction significative du temps de configuration : L'automatisation des
processus a considérablement diminué le temps requis pour la mise en place
des systèmes, réduisant ainsi les coûts et les efforts opérationnels.
➔ Amélioration de l’efficacité opérationnelle des SOC : Grâce à des outils
optimisés, les centres opérationnels de sécurité (SOC) bénéficient d'une
meilleure visibilité sur les incidents et d'une réponse plus rapide aux
menaces.
➔ Création d’un écosystème collaboratif : La mise en place d’un cadre
structuré pour le partage de plugins favorise la coopération entre différentes
équipes et organisations, améliorant ainsi l’innovation et la réactivité.
➔ Adaptabilité et conformité : La solution s’adapte aux besoins spécifiques
des organisations tout en garantissant le respect des normes et
réglementations en vigueur, telles que le GDPR et le PCI DSS.
Conclusion
La solution met en avant une architecture SOC automatisée, modulable et
adaptable, facilitant la détection et la prévention des menaces grâce au système
programmable basé sur des plugins (PPIDPS). L’automatisation via Autoconfig
Tool réduit les tâches manuelles et améliore l’efficacité. La solution renforce la

25
sécurité, assure la conformité réglementaire et encourage la collaboration via un
écosystème d’échange de plugins. Les auteurs concluent que leur framework
propose un SOC flexible et évolutif, répondant aux défis croissants de la
cybersécurité
Article 5: Security Information and Event Management (SIEM): Analysis,
Trends, and Usage in Critical Infrastructures (2021)
L'article explore l'évolution des systèmes SIEM, essentiels pour détecter et
répondre aux cyberattaques, notamment dans les infrastructures critiques. Bien
que performants, ces systèmes présentent des limites, telles que des capacités de
corrélation limitées, une dépendance humaine et des outils de visualisation
insuffisants. Pour y remédier, il propose l'intégration de l'IA et du machine
learning, l'amélioration des visualisations, l'utilisation du cloud pour l'archivage
sécurisé, et une meilleure automatisation via les systèmes SOAR. Ces
améliorations visent à rendre les SIEM plus efficaces, autonomes et adaptés aux
défis croissants de la cybersécurité.
Contribution principale
Cet article explore et propose des contributions clés pour renforcer l'efficacité et
l'évolution des systèmes SIEM :
• Évaluation des SIEM actuels : Analyse des forces et faiblesses des
principales solutions SIEM disponibles.
• Suggestions d’intégration de l’IA, du machine learning et de meilleures
visualisations.
• Intégration avec des systèmes SOAR pour automatiser les réponses aux
incidents.
• Etude de l’utilisation des SIEM dans des secteurs sensibles comme
l’énergie et l’eau.
• Propositions pour un archivage sécurisé et flexible des données via le cloud.
• Analyse des tendances futures : Impact des facteurs technologiques, légaux
et sociétaux sur l’évolution des SIEM.
• Recommandations pour intégrer des outils d’analyse comportementale et
des réponses automatisées.
Méthodologie
La méthodologie suivie dans cet article repose sur les étapes suivantes :

26
 • Analyse des solutions SIEM existantes : Une étude approfondie des outils
SIEM commerciaux et open-source a été réalisée pour évaluer leurs
caractéristiques, avantages et limitations.
• Classification des solutions SIEM : Les outils ont été catégorisés en fonction
de leur positionnement sur le marché (leaders, challengers, visionnaires et
acteurs de niche) selon des rapports comme le Gartner Magic Quadrant.
• Identification des lacunes : Une évaluation critique des limitations actuelles
des SIEM a été effectuée, incluant des faiblesses en corrélation, stockage,
visualisation et automatisation.
• Propositions d’améliorations : Basée sur l’analyse des lacunes, des pistes
d’améliorations spécifiques ont été suggérées, telles que l’intégration de
l’IA, du machine learning, et des solutions SOAR.
• Étude des tendances externes : Une analyse PESTLE (politique,
économique, sociétale, technologique, légale et environnementale) a été
menée pour identifier les facteurs influençant l’évolution des SIEM.
• Application aux infrastructures critiques : Une mise en contexte a été faite
pour démontrer l’importance des SIEM dans des secteurs comme l’énergie
et l’eau.
➢ Analyse des solutions SIEM

Caractéristiques communes des SIEM :

• Collecte, corrélation et analyse en temps réel des événements provenant de
diverses sources (pare-feu, antivirus, IDS, etc.).
• Centralisation des données pour une meilleure visibilité des incidents de
sécurité.
• Génération de rapports et d'alertes pour aider à la prise de décision.
➢ Classement des SIEM
L'article s'appuie sur le Gartner Magic Quadrant, qui divise les solutions en quatre
catégories :

27
 • Leaders : Solutions offrant des fonctionnalités avancées et une vision claire
du marché.
• Challengers : Solutions performantes mais avec une vision limitée du futur.
• Visionnaires : Solutions innovantes mais pas encore bien exécutées.
• Acteurs de niche : Solutions ciblant des segments spécifiques sans dominer
le marché.

➢ Critères d'évaluation des SIEM

28
L'article analyse les SIEM selon plusieurs critères clés, avec une évaluation allant
de basique à avancer :

Limites
L'article met en évidence plusieurs faiblesses des systèmes SIEM actuels qui
réduisent leur efficacité face aux cybermenaces modernes :
• Corrélation basique : Les règles de corrélation sont simples et limitées,
incapables de détecter des attaques complexes ou des menaces persistantes
avancées.
• Capacités de stockage insuffisantes : Les données archivées ne sont pas
réutilisées efficacement, et leur gestion est souvent manuelle et coûteuse.
• Visualisation rudimentaire : Les outils de visualisation ne permettent pas
d’explorer efficacement les données collectées ou de présenter des
informations exploitables.
• Dépendance humaine : Une intervention humaine est nécessaire pour
analyser les menaces et déployer des contre-mesures, ce qui ralentit la
réponse aux incidents.
• Données incomplètes : Les SIEM actuels ne capturent pas toutes les
données critiques (DNS, endpoints, logs d’e-mails), ce qui entraîne des
lacunes dans les corrélations.
• Réactions limitées : Les capacités de réponse se limitent souvent à des
actions simples comme l’envoi de notifications ou l’exécution de scripts.

29
 • Manque d'évolutivité : Les SIEM peinent à gérer les volumes de données
massifs générés par des environnements modernes comme l’IoT et le Big
Data.
Impact sur les infrastructures critiques
1. Secteur de l’Énergie

Les systèmes SIEM jouent un rôle crucial dans la protection des réseaux
électriques et des systèmes de production et distribution d’énergie.

▪ Bénéfices :
• Surveillance des réseaux SCADA : Les SIEM permettent de détecter les
anomalies dans les systèmes SCADA, qui contrôlent les équipements critiques
comme les centrales électriques.
• Détection des cyberattaques ciblées : Ils identifient des comportements
anormaux, comme des tentatives de prise de contrôle à distance des
infrastructures.
• Gestion proactive : Ils aident à prévenir les pannes d’électricité causées par des
attaques ou des dysfonctionnements techniques.
▪ Défis spécifiques :
• Technologies hétérogènes : Les systèmes SCADA sont souvent anciens et
utilisent des protocoles propriétaires, rendant leur intégration avec les SIEM
complexe.
• Volume de données élevé : Les SIEM doivent traiter un grand nombre de logs
provenant de capteurs et de dispositifs IoT connectés.
▪ Améliorations proposées :
• Développer des connecteurs spécifiques pour les protocoles SCADA.
• Intégrer des algorithmes prédictifs pour anticiper les pannes et les intrusions.
2. Secteur de l’Eau
Les systèmes de traitement et de distribution de l’eau dépendent de technologies
automatisées, rendant leur sécurité essentielle pour éviter les perturbations.
▪ Bénéfices :
• Protection contre les intrusions : Les SIEM détectent les accès non autorisés
aux systèmes de commande.
• Gestion des incidents : Ils facilitent une réponse rapide pour limiter les
impacts des attaques sur l’approvisionnement en eau.

30
 • Analyse des données environnementales : Les SIEM surveillent les
capteurs environnementaux pour prévenir les contaminations ou les
interruptions.
▪ Défis spécifiques :
• Accès physique vulnérable : Certaines installations restent accessibles
physiquement, ce qui complique la corrélation entre les données
numériques et les événements réels.
• Manque de standardisation : Les dispositifs utilisés dans ce secteur
manquent d’uniformité, compliquant leur surveillance.
▪ Améliorations proposées :
• Déployer des capteurs IoT interopérables pour améliorer la collecte de
données.
• Automatiser les réponses aux incidents, comme l’isolement des sections
contaminées.
3. Secteur des Transports

Les réseaux de transport, incluant les chemins de fer, les aéroports et les ports,
reposent sur des systèmes numériques pour leur fonctionnement quotidien.
▪ Bénéfices :
• Surveillance centralisée : Les SIEM permettent de corréler les données
provenant des systèmes de billetterie, des réseaux de communication, et des
dispositifs de contrôle.
• Réduction des perturbations : Ils aident à prévenir les interruptions causées par
des cyberattaques, comme les attaques DDoS.
• Conformité réglementaire : Ils garantissent le respect des normes
internationales, comme celles de l’aviation civile.
▪ Défis spécifiques :
• Multiplicité des systèmes : Chaque mode de transport utilise des technologies
et des systèmes variés, rendant leur surveillance complexe.
• Temps de réponse critique : Les perturbations dans ce secteur ont des impacts
immédiats sur la vie quotidienne et l’économie.
▪ Améliorations proposées :
• Adopter des solutions SIEM multi-couches capables de surveiller plusieurs
systèmes simultanément.
• Intégrer des outils de simulation pour tester les réponses aux incidents avant
leur application en temps réel.
4. Secteur de la Santé
31
Les hôpitaux et centres de santé dépendent fortement des systèmes numériques
pour gérer les dossiers médicaux et les équipements.

▪ Bénéfices :
• Protection des données sensibles : Les SIEM aident à prévenir les fuites de
données personnelles des patients.
• Détection des ransomwares : Ils surveillent les comportements suspects
pouvant indiquer des attaques par ransomware.
• Assurance de disponibilité : Ils réduisent les risques d’interruption des
systèmes critiques, comme les équipements de monitoring des patients.
▪ Défis spécifiques :
• Les dossiers médicaux nécessitent un traitement conforme aux
réglementations comme le RGPD, ce qui complique leur surveillance.
• Toute interruption des services médicaux peut avoir des conséquences graves
pour les patients.
▪ Améliorations proposées :
• Déployer des mécanismes de chiffrement renforcé et une détection proactive
des menaces.
• Renforcer la segmentation des réseaux pour limiter les impacts d’une
éventuelle intrusion.
Conclusion
Les systèmes SIEM sont essentiels pour protéger les infrastructures critiques,
mais leurs limites actuelles, comme la corrélation insuffisante et le manque
d’automatisation, réduisent leur efficacité. L'article propose des améliorations,
notamment l'intégration de l'IA, des solutions SOAR et des technologies cloud,
pour renforcer leur performance et leur adaptabilité. Enfin, il souligne
l'importance d’évoluer pour répondre aux défis technologiques et réglementaires
tout en protégeant efficacement contre les menaces émergentes.
Article 6: Secure Mechanism Applied to Big Data for IIoT by Using Security
Event and Information Management System (SIEM) (2022)
Cet article propose une solution de sécurité pour l’Internet Industriel des Objets
(IIoT) en combinant Elastic Stack et Wazuh dans une architecture SIEM. Elle
collecte, analyse et visualise en temps réel les logs pour détecter les anomalies et
répondre automatiquement aux incidents comme les attaques DDoS ou brute
force. Testée dans un environnement simulé, cette solution a prouvé son efficacité

32
pour sécuriser les réseaux industriels en automatisant la détection et la réponse
aux menaces.
Contribution principale
➔ Proposition d’une solution de sécurité basée sur l’architecture SIEM,
combinant Elastic Stack et Wazuh, pour la détection des anomalies et des
intrusions dans les environnements IIoT.
➔ Automatisation des réponses aux incidents de sécurité, notamment avec le
blocage automatique des adresses IP malveillantes pour réduire le temps de
réponse.
➔ Validation expérimentale de la solution dans un environnement simulé avec
des scénarios d'attaques courantes (DDoS, brute force, modifications de
fichiers, etc.).
➔ Amélioration de la gestion de la sécurité grâce à la centralisation des logs et à
des outils de visualisation interactifs comme Kibana.
➔ Fourniture d’une solution flexible et adaptée aux environnements industriels,
capable de répondre aux menaces complexes liées à l'IIoT.
Méthodologie

33
L'étude suit une méthodologie exploratoire en s'appuyant sur les connaissances
d'experts en sécurité de l'information et analyse de données pour concevoir une
architecture technologique.
➔ Scénario contrôlé : Une infrastructure simulée imitant un centre d’opérations
et de surveillance de la sécurité a été mise en place pour tester les outils dans
un environnement contrôlé.
➔ Phases du processus :
• Acquisition et enregistrement des données :
Collecte des données à partir de diverses sources telles que des serveurs,
équipements de communication, terminaux utilisateurs, etc.
• Extraction, nettoyage et annotation :
Transformation des données brutes en un format structuré pour l'analyse.
Intégration de Wazuh pour détecter les intrusions et analyser les logs, incluant la
détection des rootkits et des vulnérabilités.
• Intégration, agrégation et représentation :
Utilisation d'Elasticsearch pour centraliser et indexer les données, et de Kibana
pour créer des visualisations interactives et des tableaux de bord.
• Analyse et modélisation :

34
Analyse des événements de sécurité en temps réel via Kibana, avec détection des
anomalies et création de tableaux de bord interactifs.
➔ Validation expérimentale :
Des scénarios d'attaques simulées (DDoS, brute force, modifications de fichiers,
détection de rootkits) ont été appliqués pour tester l'efficacité de la solution
proposée.
Résultats
L'article décrit les performances du système dans divers cas, notamment :
• La détection réussie des attaques simulées (DDoS, brute force, modifications
de fichiers, etc.).
• La capacité à répondre automatiquement aux menaces via Wazuh et Elastic
Stack.
• L'utilisation de Kibana pour visualiser et analyser les données en temps réel.
• L'efficacité de l'architecture pour gérer les besoins de sécurité dans un
environnement industriel.
Limites
• Nécessité de maintenir Wazuh à jour : La solution dépend fortement de la mise
à jour régulière de Wazuh, ce qui peut potentiellement affecter son
fonctionnement conjoint avec Elastic Stack si cela n'est pas soigneusement
géré.
• Limitation dans la gestion des requêtes HTTP partielles lors des attaques DoS
: Bien que Wazuh détecte ces attaques, elles génèrent plusieurs erreurs qui
doivent être gérées efficacement.
• Dépendance à la rapidité des réponses actives : Les réponses actives de la
solution (comme le blocage des IP) sont efficaces, mais elles reposent sur la
capacité du système à détecter rapidement l'origine des attaques. Dans des env.
Conclusion
L'article conclut que la solution proposée, intégrant Wazuh et Elastic Stack, est
efficace pour détecter et répondre rapidement aux menaces de sécurité dans les
environnements IIoT. Elle permet d’automatiser la réponse aux attaques comme
les DDoS et les injections SQL, tout en offrant une surveillance centralisée et une
visualisation claire des données. Bien qu’adaptée aux petites et moyennes

35
infrastructures, la solution nécessite un maintien régulier à jour et une
personnalisation pour des environnements plus complexes.
Article 7: Collaborative Intrusion Detection System with Snort Machine
Learning Plugin (2024)
L'article présente un système collaboratif de détection d'intrusions (Collaborative
IDS) combinant les capacités des systèmes de détection d'intrusion basés sur le
réseau (NIDS) et sur l'hôte (HIDS). L'objectif est d'améliorer la précision et
l'efficacité dans la détection des cyberattaques, en intégrant des algorithmes
d'apprentissage machine sous forme de plugins pour Snort. Les résultats montrent
que cette approche augmente significativement la précision pour la détection des
attaques de type Denial of Service (DoS) et Probe, avec des taux de réussite de 99
% et 98 %, respectivement. Une interface en temps réel basée sur Flask et une
intégration avec Elastic Stack permettent une visualisation centralisée des alertes.
Contribution principale
➔ Développement d’un système IDS collaboratif : Combinaison des systèmes
NIDS et HIDS pour une meilleure couverture et précision dans la détection des
menaces.
➔ Intégration de l’apprentissage machine dans Snort : Utilisation d'un modèle de
machine à vecteurs de support (SVM) pour améliorer les capacités de
détection, en dépassant les performances des règles communautaires de Snort.
➔ Précision élevée dans la détection des attaques
➔ Approche en temps réel : Détection dynamique et visualisation des attaques
via une interface Flask connectée à Elastic Stack.
➔ Approfondissement des logs d’attaques : Différenciation et classification des
attaques pour aider les analystes dans leur réponse.
Méthodologie
L'article suit une méthodologie structurée pour développer et évaluer le système
collaboratif de détection d’intrusions :
• Dataset Utilisé :
o Le dataset NSL-KDD a été choisi pour ses données labellisées et sa
complexité. Il contient des données pour les attaques DoS et Probe.
• Étapes de Traitement :
o Prétraitement des Données :

36
 ▪ Conversion des attributs catégoriels en variables binaires avec
l’encodage One-Hot.
▪ Normalisation des données pour les rendre comparables.
o Analyse de Corrélation : Identification des caractéristiques les plus
influentes sur la détection.
• Comparaison des Modèles :
o Trois algorithmes sont comparés : Support Vector Machine (SVM),
K-Means et Réseaux de Neurones.
o SVM a été sélectionné pour sa précision supérieure.
• Validation Croisée :
o Évaluation avec des métriques comme la précision, le rappel, et la F-
mesure.
• Intégration dans Snort :
o Création d’un plugin utilisant les résultats du modèle SVM pour
traiter les paquets réseau en temps réel.
• Tests Dynamiques et Statistiques :
o Validation des performances sur des données statiques et simulation
d'attaques en temps réel.

Résultats
Les performances des modèles d’apprentissage machine sur le dataset NSL-KDD
sont résumées dans le tableau ci-dessous :

37
Observations :
➔ Le Support Vector Machine (SVM) est le modèle le plus performant, avec
une précision remarquable pour les attaques DoS (99.3 %) et Probe (98.4 %).
➔ Le modèle K-Means affiche une très haute précision pour les attaques Probe
(99.9 %), mais sa performance globale reste inférieure (76.1 % en test).
➔ Les Réseaux de Neurones sont performants en entraînement (96.7 %), mais
leur précision baisse considérablement sur les données test et pour la
détection des attaques Probe.
Limites
➔ Dépendance au dataset NSL-KDD : Les performances sont optimisées pour ce
dataset spécifique, ce qui peut limiter la généralisation à d'autres types
d'attaques ou environnements.
➔ Charge computationnelle : Les algorithmes d’apprentissage machine, en
particulier SVM et les réseaux de neurones, nécessitent des ressources élevées,
ce qui peut poser problème sur des systèmes limités.
➔ Faux négatifs : Bien que la détection des attaques DoS soit très précise, le
modèle montre encore des lacunes pour certains faux négatifs lors de la
détection des attaques Probe.
➔ Complexité d’intégration : L'intégration des plugins de machine learning dans
Snort nécessite une expertise technique élevée, ce qui peut compliquer
l’adoption par des organisations moins expérimentées.
Conclusion
Cet article a exploré l'intégration de l'apprentissage automatique dans un système
de détection d'intrusion collaboratif (Collaborative IDS) combinant NIDS (Snort)
et HIDS (Wazuh). Les résultats démontrent une avancée notable dans
38
l'amélioration de la précision et de la robustesse des systèmes IDS,
particulièrement face aux attaques complexes telles que les DoS et Probe. Le
modèle Support Vector Machine (SVM) s'est révélé être l'algorithme le plus
performant, atteignant une précision remarquable de 99.3 % pour les attaques DoS
et 98.4 % pour les attaques Probe. Ces résultats surpassent les capacités des règles
communautaires de Snort, confirmant la pertinence de l'intégration de
l'intelligence artificielle dans les environnements de détection d'intrusions.
En outre, l'utilisation d'une interface Flask et l'intégration avec Elastic Stack
permettent de simplifier la visualisation et la gestion centralisée des journaux,
renforçant ainsi l'efficacité opérationnelle du système. Cependant, certaines
limites demeurent, notamment la dépendance au dataset NSL-KDD, la charge
computationnelle induite par les modèles d'apprentissage, et les défis d'intégration
technique.
Ces résultats ouvrent des perspectives prometteuses pour le domaine, notamment
:
• L’extension à d’autres datasets ou environnements pour améliorer la
généralisation des modèles.
• L’optimisation des performances pour réduire les faux négatifs, notamment
pour les attaques Probe.
• La simplification de l'intégration via des solutions conteneurisées ou des
plateformes centralisées comme ELK.
Article 8: Artificial Intelligence based Security Orchestration, Automation
and Response System (2021)
L'article propose un système de type SOAR (Security Orchestration, Automation,
and Response) basé sur l'intelligence artificielle (IA) pour automatiser la gestion
des processus de cybersécurité. Le système combine les technologies de défense
périmétrique (firewalls, IDS/IPS) et l'analyse des données en temps réel pour
détecter les menaces, réduire les faux positifs, et fournir des alertes pertinentes.
En intégrant des mécanismes de profilage des événements, de traduction
multilingue de l'intelligence sur les menaces, et de préservation de la
confidentialité, ce système vise à accélérer la réponse aux cyberattaques tout en
allégeant le travail manuel des analystes.
Contribution principale

39
• Intégration de SOAR avec IA : Amélioration de l'efficacité des processus
SOAR en intégrant des algorithmes d'intelligence artificielle, comme les
réseaux neuronaux et le traitement du langage naturel.
• Standardisation et préservation de la confidentialité : Automatisation du
formatage des données en STIX (Structured Threat Information Expression),
un standard de partage de l'intelligence sur les menaces, tout en protégeant les
informations sensibles.
• Multilinguisme pour l'intelligence des menaces : Traduction automatique des
données sur les menaces en plusieurs langues (anglais, russe, allemand) pour
élargir la portée du partage d'informations.
• Détection et analyse avancées : Utilisation de Suricata et Honeypots pour
identifier les tendances des attaques, couplées à des outils comme Spiderfoot
pour enrichir l'analyse avec des données ouvertes.
• Automatisation de bout en bout : Détection, classification, génération d'alertes,
et réponse à des menaces complexes (DDoS, attaques SQL, attaques par mot
de passe) basées sur des playbooks prédéfinis.
Méthodologie
• Collecte des données :
o Intégration de multiples sources de données (firewalls, IDS/IPS,
honeypots) à travers des outils comme Suricata et TPOT.
• Prétraitement des données :
o Normalisation des données en format STIX via un moteur de
standardisation pour faciliter leur traitement.
• Analyse et enrichissement :
o Utilisation de techniques de deep learning (FCNN, CNN, LSTM)
pour la détection des menaces.
o Enrichissement des données avec des outils comme Spiderfoot et
traduction via des modèles NLP pour multilinguisme.
• Gestion des menaces :
o Profilage des événements et analyse des schémas d’attaque via un
moteur basé sur SIEM.
• Génération de rapports et réponse :

40
 o Création de rapports d’indicateurs de compromission (IOC) et
gestion des réponses automatisées via des playbooks et runbooks.

Résultats
• Performance du système SOAR proposé :
o Le système détecte efficacement les menaces en combinant des données
issues de multiples sources (firewalls, IDS, honeypots).
o La classification des alertes (faux positifs vs vrais positifs) est améliorée
grâce aux modèles de deep learning (FCNN, CNN, LSTM).
o Réduction significative des faux positifs, permettant aux analystes de se
concentrer sur les alertes critiques.
o Automatisation de la réponse aux attaques complexes comme les DDoS, les
injections SQL et les attaques par mot de passe.
• Gestion multilingue des menaces :
o Traduction réussie des données d’intelligence sur les menaces dans trois
langues principales (anglais, russe, allemand).
o Accès simplifié aux informations critiques grâce à une normalisation
automatique (format STIX).
• Réduction de la charge humaine :
o Automatisation des tâches répétitives, comme le tri des alertes et
l’identification des schémas d’attaque.
o Génération automatisée de rapports d'indicateurs de compromission (IOC) et
de niveaux de gravité pour les menaces.
• Enrichissement des analyses :
o Intégration avec Spiderfoot pour extraire des données open source sur les
menaces.
o Utilisation de playbooks pour accélérer la réponse aux incidents, avec une
amélioration notable des délais de réponse.

41
Limites
• Dépendance aux données collectées :
o Les performances du système dépendent de la qualité et de la diversité
des données issues des honeypots et autres sources.
• Langues limitées :
o La traduction des menaces est actuellement limitée à l’anglais, au russe
et à l’allemand. Un support pour d’autres langues (ex. : français,
japonais) est nécessaire pour une portée globale.
• Exigences en matière de ressources :
o Le système nécessite une infrastructure importante (GPU pour les
calculs parallèles, stockage pour les données massives) pour fonctionner
efficacement.
• Failles dans la détection des menaces émergentes :
o Bien que performant sur les menaces connues, le système doit être
enrichi pour faire face à des attaques complexes comme les exploits
zero-day.
• Complexité d’intégration :
o L’intégration avec des systèmes existants (SIEM, ELK Stack) peut
nécessiter une expertise technique avancée.
Conclusion
Le système SOAR basé sur l’intelligence artificielle présenté dans cet article
constitue une avancée significative dans le domaine de la cybersécurité. En
automatisant la détection, l’analyse et la réponse aux menaces, il améliore
l’efficacité des équipes de sécurité tout en réduisant la charge de travail associée
aux tâches répétitives. L’utilisation d’algorithmes avancés (FCNN, CNN, LSTM)
et d’outils comme Spiderfoot et Suricata garantit une détection précise et une
gestion efficace des incidents.
Cependant, certaines limitations, comme la dépendance à la qualité des données,
les exigences matérielles élevées et le support multilingue limité, nécessitent des
améliorations pour renforcer la portée et la généralisation du système. Les
perspectives futures incluent :

42
 • Le support pour d’autres langues (japonais, français) pour élargir la
couverture linguistique.
• L’amélioration des capacités de détection des menaces émergentes comme
les zero-day exploits.
• L’optimisation de l’infrastructure pour réduire les coûts et simplifier
l’intégration avec les systèmes existants.
En conclusion, ce travail pose une base solide pour l’évolution des systèmes
SOAR, en intégrant intelligence artificielle et automatisation pour mieux répondre
aux besoins croissants en matière de cybersécurité.

4. Tableau comparatif
Articles Objectif Les outils Source de Avantages Limites
données
SIEM and Identifier Wazuh, Journaux Détection Processus
Threat les TheHive, d’événeme en temps d’intégratio
Intelligenc vulnérabili Telegram nts réel des n complexe
e: tés des collectés menaces et entre
Protecting application par Wazuh gestion Wazuh et
Applicatio s et des sur des intégrée TheHive,
ns with serveurs serveurs et des besoin de
Wazuh grâce à des incidents personnalis
and l’intégratio application ation selon
TheHive n de s les
Wazuh et infrastructu
TheHive res des
entreprises
AI4SOAR Automatis AI4SOAR, Alertes Réduction Les
: A er la SOAR générées des délais playbooks
Security réponse Shuffle par des de réponse peuvent
Intelligenc aux systèmes et devenir
e Tool for incidents SIEM et amélioratio rigides pour
Automate et proposer enrichies n des de
d Incident des avec des processus nouvelles
Response playbooks flux de gestion menaces, et
adaptés d’intellige des les outils
basés sur incidents sont encore

43
 l’apprentis nce de en
sage par menaces développe
similarité ment,
entraînant
des
instabilités
Ai-Driven Protéger SOAR Journaux Efficacité Complexité
Soar in les basé sur de trafic accrue d’intégratio
Finance: données l’IA réseau, pour n avec les
Revolution PCI et alertes de détecter et systèmes
izing améliorer sécurité, et répondre existants,
Incident la réponse flux aux besoin de
Response aux d'intelligen menaces personnel
and Pci incidents ce de grâce à qualifié en
Data dans le menaces l’IA IA et
Security secteur dans des cybersécuri
with Cloud financier environne té pour
Innovation grâce à ments l’implémen
s l’IA financiers tation
simulés
Adaptable Proposer Ansible Journaux Automatis Nécessite
Plug and une (Inventory, des ation des
Play solution Playbooks, systèmes complète, compétence
Security SOC Modules), d’extrémit architectur s
Operation modulaire, Autoconfig é, e flexible et techniques
s Center automatisé Tool, API dispositifs scalable, avancées,
Leveragin e, et RESTful, réseau, personnalis dépendance
g a Novel adaptable SIEM pare-feux, ation via aux outils
Programm pour une (Wazuh, et logs plugins, open-
able détection Elasticsear centralisés conformité source,
Plugin- et ch, dans le réglementa gestion
based prévention Kibana), SIEM. ire (GDPR, complexe
Intrusion des Plugins PCI DSS), des
Detection menaces programm intégration performanc
and en temps ables en avec des es dans les
Prevention réel, Python. outils tiers. grands
conforme environnem

44
System aux ents,
(2022) normes risques liés
comme aux plugins
GDPR et malveillant
PCI DSS s ou mal
conçus.
Security Analyser Splunk, Logs issus Centralisat Corrélation
Informatio les SIEM IBM des pare- ion des basique,
n and existants, QRadar, feu, IDS, données, dépendance
Event identifier ArcSight, endpoints, détection humaine,
Manageme leurs AlienVault, systèmes avancée visualisatio
nt (SIEM): lacunes, et LogRhyth SCADA, des n limitée,
Analysis, proposer m, dispositifs menaces, faible
Trends, des systèmes IoT, automatisa évolutivité,
and Usage améliorati SOAR, IA, réseaux tion, traitement
in Critical ons machine cloud, et meilleure complexe
Infrastruct adaptées learning. Big Data. gestion des des grands
ures (2021) aux incidents, volumes de
infrastruct conformité données.
ures RGPD
critiques.
Collaborat Améliorer Snort, NSL-KDD Précision Dépendanc
ive la Wazuh, Dataset, élevée e aux
Intrusion détection ELK, simulation (99.3% données,
Detection des Flask, s DoS, consommat
System intrusions SVM, d’attaques 98.4% ion de
with Snort avec l'IA et NSL-KDD (DoS, Probe), ressources,
Machine réduire les Dataset. Probe). réduction complexité
Learning faux des faux d’intégratio
Plugin positifs/fa positifs, n, règles
(2024) ux approche statiques de
négatifs. collaborati Snort.
ve
NIDS/HID
S.
Artificial Développe SIEM, Journaux Automatis Dépendanc
Intelligenc r un SOAR, de pare- ation des e à la

45
e based système Suricata, feu, logs processus qualité des
Security SOAR Honeypot IDS/IPS, de sécurité, données,
Orchestrat basé sur TPOT, honeypots, traduction traduction
ion, l'IA pour Spiderfoot, et bases de multilingu limitée à
Automatio automatise ELK Stack données e des certaines
n and r la (Elasticsea d'intelligen menaces, langues
Response détection rch, ce sur les détection (anglais,
System et la Logstash, menaces. en temps russe,
(2021) réponse Kibana). réel. allemand).
aux
menaces.
Secure Détecter et Wazuh, Logs Détection Dépendanc
Mechanis répondre Elastic générés rapide des e aux mises
m Applied aux Stack par les anomalies, à jour de
to Big Data menaces (Elasticsea firewalls, réponses Wazuh,
for IIoT by de sécurité rch, IDS/IPS, actives gestion
Using dans l'IIoT, Logstash, routeurs, automatisé limitée des
Security centraliser Kibana), serveurs es, attaques
Event and et analyser Filebeat, applicatifs visualisatio avancées,
Informatio les logs en Authentific et de base n claire, tests en
n temps réel, ation à de surveillanc environnem
Manageme simplifier deux données, e ent simulé,
nt System la gestion facteurs appareils centralisée, complexité
(SIEM) de la (2FA). IoT, via solution d’intégratio
(2022) sécurité Syslog, flexible et n et
dans les EventLog, personnalis maintenanc
environne AuditLog able. e.
ments
industriels.

46
Chapitre 3 : Conception et Architecture
1. Architecture

L’architecture de notre projet représente une solution innovante et avancée de

gestion des incidents de sécurité (SIEM), reposant sur une approche distribuée,
modulaire et intelligente. Elle intègre les technologies modernes les plus
performantes, telles que Docker pour la conteneurisation, ainsi que des outils
avancés de détection et d’analyse des menaces.
L’objectif principal de cette architecture est de fournir un cadre robuste
permettant de détecter, analyser et répondre aux cybermenaces avec une
efficacité accrue. Elle vise à combler les lacunes des systèmes traditionnels de
gestion des incidents en apportant les avantages suivants :
• Une rapidité accrue grâce à l’automatisation des tâches répétitives et
critiques.
• Une précision améliorée grâce à des outils capables d’analyser
d’importants volumes de données en temps réel.
• Une adaptabilité maximale grâce à une conception modulaire, évolutive et
facilement déployable.
Description détaillée de l'architecture et de ses principaux composants :
❖ Simulation d’attaques réseau et systèmes (Kali Linux)
• Kali Linux, un système d’exploitation dédié aux tests d’intrusion, est
utilisé pour simuler des attaques contre des serveurs vulnérables.

47
 • Ces attaques peuvent inclure des scans de ports, des attaques par force
brute, des injections SQL, des attaques DDoS, etc.
• Cette phase permet de tester la robustesse des systèmes de détection et
d’analyse des menaces.
❖ Systèmes vulnérables et génération de logs
• Plusieurs serveurs contiennent des applications, bases de données et
services vulnérables.
• Lors des attaques, ces serveurs enregistrent des logs détaillant les
événements de sécurité et les tentatives d’intrusion.
• Ces logs sont essentiels pour détecter les anomalies et les comportements
suspects.
❖ Snort (IDS – Intrusion Detection System)
Snort est un système de détection d'intrusions qui surveille le trafic réseau en
temps réel, identifiant les comportements suspects ou malveillants. Il utilise des
règles spécifiques pour détecter des motifs d'attaques connus, ce qui permet de
générer des alertes de sécurité lorsqu'une menace est identifiée.
Les alertes et logs générés par Snort sont envoyés à un autre système comme
Wazuh Agent. Wazuh analyse ces logs en profondeur pour fournir des
informations détaillées et aider à la gestion des incidents.
Analyse Initiale avec l'IA
Pour améliorer la détection des menaces, un modèle Random Forest peut être
utilisé pour effectuer une analyse initiale du trafic réseau en temps réel. Ce
modèle permettrait de prédire des attaques possibles en analysant les
caractéristiques du trafic.
• Random Forest : Utilisé pour classer le trafic réseau en fonction des
caractéristiques observées, le modèle pourrait ainsi détecter des anomalies
et prévoir des menaces de manière plus précise et rapide.
• Génération de Logs Enrichis : Une fois les menaces identifiées, des logs
enrichis peuvent être générés pour ajouter davantage de détails sur la
menace, ce qui permet une meilleure compréhension du contexte pour
l’analyse ultérieure.

48
 ❖ Wazuh Agent et Beats – Collecte et analyse des logs

• L’agent Wazuh est installé sur les machines surveillées et récupère les logs
de sécurité.
• Beats est utilisé pour collecter et transférer efficacement les logs et les
métriques des systèmes surveillés.
• Wazuh Agent et Beats normalisent et enrichissent ces logs pour faciliter
leur traitement et leur stockage.
• Une fois analysés, ces logs sont envoyés à Logstash pour être traités et
transférés vers Elasticsearch.

❖ Logstash – Traitement et transformation des logs

• Logstash est un pipeline de traitement des données qui filtre, transforme et
formate les logs de sécurité.
• Il prend en charge divers formats de logs (JSON, CSV, etc.) et peut
enrichir les données avec des informations supplémentaires.
• Après transformation, Logstash envoie les logs traités à Elasticsearch.
❖ Elasticsearch – Indexation et stockage des logs
• Elasticsearch est une base de données NoSQL optimisée pour la recherche
et l’analyse en temps réel.
• Les logs de sécurité sont indexés, ce qui permet d’effectuer des recherches
rapides et efficaces sur les incidents de sécurité.
• Les logs indexés sont accessibles aux outils de visualisation comme
Kibana.
❖ Wazuh Manager – Détection et gestion des menaces
• Wazuh Manager accède aux logs stockés dans Elasticsearch pour détecter
les menaces en fonction des politiques de sécurité définies.
• Il peut déclencher des alertes et automatiser certaines réponses (ex.
blocage d’une adresse IP malveillante).
• Il offre une interface de gestion pour surveiller les événements de sécurité
et appliquer des stratégies d’atténuation des risques.
❖ Kibana – Exploration et visualisation des logs

49
 • Kibana est une interface de visualisation qui permet aux analystes de
surveiller et d’explorer les logs.
• Des tableaux de bord personnalisables offrent une vue d’ensemble des
menaces détectées et des tendances des attaques.
• Les analystes peuvent rechercher des événements suspects, analyser leur
impact et prendre des mesures correctives.

2. Méthodologie
La méthodologie adoptée vise à concevoir une architecture intégrant des pipelines
de données avancés et des algorithmes d’apprentissage automatique pour
améliorer la détection des menaces et l’automatisation des réponses.
❖ Collecte et préparation des données
La collecte et la préparation des données représentent une étape essentielle pour
garantir la qualité des modèles d’intelligence artificielle. Plusieurs jeux de
données ont été sélectionnés en fonction de leur pertinence pour les objectifs de
détection des menaces et de priorisation des alertes.
a. CICIDS2017 Full Dataset
Ce jeu de données simule des environnements réseau réels, intégrant des activités
bénignes et malveillantes. Il couvre diverses attaques modernes telles que les
attaques DDoS, brute force, infiltration, et botnets.
Structure :
• Environ 80 caractéristiques telles que le flux ID, protocole, ports source et
destination, taille des paquets, temps écoulé, et des métriques spécifiques à
chaque flux.
• Une colonne Label pour identifier si le trafic est bénin ou une attaque
spécifique.
b. Malicious URLs Dataset
Ce dataset contient des URL classifiées comme malveillantes ou bénignes. Les
caractéristiques incluent des propriétés des URL, telles que leur longueur,
l’utilisation de certains mots-clés, et des indicateurs d’hameçonnage.
Structure :
• Plus de 450 000 URL avec des caractéristiques textuelles.
50
 • Une colonne Target pour indiquer si une URL est malveillante (1) ou
bénigne (0).
c. UNSW-NB15
Ce jeu de données a été créé pour surmonter les limites des datasets classiques
comme NSL-KDD. Il inclut des activités bénignes et des attaques récentes comme
les fuzzers, shellcode, et exploits.
Structure :
• 49 caractéristiques, y compris des caractéristiques basiques (protocole,
ports, durée), des caractéristiques de contenu (fréquence des requêtes), et
des caractéristiques statistiques (moyenne, déviation standard des paquets).
• Une colonne Label pour indiquer si une activité est normale ou
malveillante.
❖ Développement du workflow de données
Les données sont collectées directement des hôtes connectés au réseau cible. Ces
hôtes génèrent des requêtes et des données de trafic, qui passent par un pipeline
bien structuré pour permettre leur traitement et leur analyse.
• Étapes principales :
o Snort : Les requêtes des hôtes sont capturées par Snort, qui applique
un modèle de détection basé sur l’algorithme Random Forest. Ce
modèle analyse les schémas de trafic pour détecter les menaces
potentielles.
o Wazuh agent et beats : Les logs générés par Snort sont transférés
vers wazuh agent pour une collecte centralisée et un transfert fiable.
o Logstash : Les données brutes sont transformées et normalisées pour
être compatibles avec les étapes d’analyse suivantes.
o Elasticsearch : Les données structurées sont indexées pour
permettre des recherches rapides et des analyses approfondies.
o Visualisation et détection :
▪ Les résultats sont visualisés via Kibana.
▪ Les alertes collaborent avec Wazuh Manager, qui utilise l'API
REST pour analyser et orchestrer les réponses.

51
 ❖ Validation et tests :
Scénarios de test :
• Simulation d’attaques réseau (DDoS, brute force, phishing) sur les hôtes.
• Évaluation de la détection par Snort et Elasticsearch.
Métriques d’évaluation :
• Précision et rappel pour les modèles de détection.
• Réduction des faux positifs.
Améliorations continues :
• Ajustements des modèles et des paramètres.

52
 Chapitre 5 : Réalisation
1. Présentation du système
Nous avons mis en place un environnement permettant la détection d’intrusions
réseau en intégrant l’Intelligence Artificielle (IA) avec Snort, un système de
détection d’intrusion (IDS). Cet environnement est constitué des éléments
suivants :
• Snort (IDS) : pour la surveillance du trafic réseau et la détection des
intrusions.
• Docker : pour l’orchestration des services.
• Wazuh (SIEM) : pour l'analyse et la gestion centralisée des alertes de
sécurité.
• ELK Stack (Elasticsearch, Logstash, Kibana) : pour la collecte, l’analyse et
la visualisation des logs.
• Python (Scikit-learn, Pandas, NumPy) : pour l’entraînement et l’intégration
du modèle de Machine Learning.
➔ Prétraitement et entraînement du modèle IA
Nous avons utilisé le dataset CICIDS2017, contenant divers types d’attaques
réseau (DoS, DDoS, scan de ports, brute force, etc.), afin d’entraîner un modèle
de Machine Learning (Decision Tree).
Le dataset contient des milliers d’enregistrements représentant des connexions
réseau, étiquetées en BENIGN ou en différents types d'attaques.
Les étapes de prétraitement réalisées :
• Suppression des colonnes inutiles : (Flow ID, Source IP, Destination IP,
Timestamp).
• Encodage des labels (LabelEncoder) : transformation des catégories
(BENIGN, DDoS, etc.) en valeurs numériques.
• Normalisation des données (MinMaxScaler) : mise à l’échelle des valeurs
pour améliorer les performances du modèle.
➔ Entraînement et validation du modèle IA
Deux modèles ont été testés :
53
 • Decision Tree (ML) : Apprentissage supervisé avec arbre de décision.
• Neural Network (DL) : Réseau de neurones à plusieurs couches.
Nous avons effectué une validation croisée avec StratifiedKFold pour comparer
leurs performances :
Comparaison des résultats :

Modèle Précision (%) Temps d’exécution

Decision Tree (ML) 97.8% 3 secondes

Neural Network (DL) 94.2% 20 minutes

Le modèle Decision Tree a été retenu, car il offre une meilleure précision et un
temps d'exécution beaucoup plus rapide, ce qui est crucial pour un système de
détection en temps réel.
Nous avons intégré le modèle Decision Tree dans Snort afin qu’il puisse analyser
les logs et générer des alertes dynamiques en cas de menace détectée.
➔ Chargement du Modèle et Détection des Menaces
Le script ai_preprocessor.py permet de :
• Charger le modèle ML (ml_model.joblib).
• Extraire les informations des logs Snort (IP source/destination, protocole,
ports).
• Prédire si un log correspond à une attaque et générer une alerte Snort.
➔ Génération des Alertes Snort
Si une attaque est détectée, une alerte est générée et enregistrée dans
/var/log/snort/[Link] :
➔ Visualisation des alertes avec Kibana
Les logs générés sont envoyés à Elasticsearch via Logstash pour être analysés et
affichés sur Kibana.
Un dashboard Kibana permet de :
• Visualiser les alertes en temps réel.

54
 • Analyser les types d’attaques détectées.
• Identifier les adresses IP suspectes.

2. Les tests réalisés

Exécuter les images

[Link]

Nom d'utilisateur : admin

mot de passe : SecretPassword

55
[Link]

Connecter les réseaux :

Ping pour tester la connexion :

• filebeat → logstash

• logstash —-> elasticseach

56
Accorder l'accès au fichier des alertes

Connexion entre Snort et Wazuh

Remarque : Toutes les modifications se feront dans le fichier ossec de l’agent
Wazuh.
Pour voir les alertes dans Wazuh, nous devons modifier le fichier
/var/ossec/etc/[Link] de l'agent et ajouter une nouvelle entrée localfile comme
ci-dessous, puis sauvegarder le fichier.
<!-- snort -->
<localfile>
<log_format>snort-full</log_format>
<location>/var/log/snort/[Link]</location>
</localfile>
Nous placerons la section juste en dessous de la partie <!-- log analysis --> dans
le fichier de configuration.

Après avoir apporté toutes ces modifications, nous redémarrerons l'agent Wazuh
pour appliquer les changements.
sudo systemctl restart wazuh-agent

57
Maintenant, nous allons vérifier le tableau de bord Wazuh et cliquer sur le
symbole de l'œil à côté de l'agent en bas à droite.

Ajouter l'agent Wazuh :

• Gestion du serveur → Résumé des points de terminaison → Ajouter un
agent

58
Nous avons nommé notre agent : Deb-agent.

Vérifier l'état de l'agent

Exécuter l’image de kali linux

Installer SSH sur Kali Linux et Docker :

sur docker:

59
Sur kali-linux

Installer Hydra et des listes de mots sur Kali-Linux :

!!! Assurez-vous que SSH est démarré :

Simuler les attaques :

60
Explication des logs :
1. HTTP GET request detected
o Cela signifie que Snort a détecté une requête HTTP GET envoyée
d'une adresse IP source [Link]:63605 vers une destination
[Link]:80.
o Il s'agit d'une simple requête HTTP vers un serveur web sur le port
80.
2. High Priority SYN Flood detected
o Un SYN Flood est une attaque DoS (Denial of Service) qui consiste à
envoyer un grand nombre de paquets TCP SYN pour saturer les
ressources d'un serveur.
o Ici, Snort indique qu'une attaque de type SYN Flood a été détectée
avec une haute priorité (Priority: 1).
3. Possible SYN Flood detected
o Indique qu'un trafic suspect a été détecté et qu'il pourrait s'agir d'un
SYN Flood.
o Snort marque cet événement avec une priorité plus faible par rapport
à la détection de "High Priority SYN Flood".
Analyse :

61
 • Il semble que le conteneur snort-ai surveille un réseau et détecte une
activité suspecte, notamment une attaque SYN Flood.
• Il y a aussi du trafic HTTP normal détecté.
• L'adresse source [Link] semble être celle d'un client générant ces
requêtes, tandis que [Link] est probablement un serveur cible.
Une alerte avec Priority: 0 indique généralement un événement informatif, c'est-
à-dire qu'il ne s'agit pas nécessairement d'une attaque mais plutôt d'une activité
réseau normale que Snort surveille.
❖ wazuh Dashboard:

❖ kibana Dashboard

62
 Conclusion
Dans un monde où la cybersécurité est devenue un enjeu critique pour les
organisations, ce projet avait pour objectif de concevoir une solution intégrée,
basée sur un SIEM enrichi par l'intelligence artificielle, pour répondre
efficacement aux défis actuels en matière de gestion des événements de sécurité.
En nous appuyant sur des technologies open source telles que la pile ELK
(Elasticsearch, Logstash, Kibana) et Wazuh, nous avons pu concevoir une
architecture modulaire, évolutive et économique, capable de centraliser la collecte
et l'analyse des logs de sécurité.
Le projet a permis d'intégrer l’intelligence artificielle et le machine learning afin
de prioriser les menaces critiques, de réduire les faux positifs et d’automatiser les
réponses aux incidents. L’utilisation de modèles prédictifs et d’algorithmes
d’apprentissage automatique a été un levier essentiel pour détecter des schémas
de menace avancés et pour améliorer l’efficacité des analystes de sécurité. Grâce
à des scénarios de tests simulés, nous avons évalué la robustesse du système face
à des attaques courantes telles que les attaques DDoS, les intrusions réseau ou les
tentatives de force brute. Les résultats obtenus montrent une nette amélioration
des temps de détection et de réponse, avec une réduction significative des impacts
sur les opérations des organisations.
Ce projet a également mis en lumière plusieurs défis techniques et
organisationnels. L’intégration harmonieuse des différentes composantes,
notamment l’automatisation des tâches via Wazuh et l’optimisation des
workflows avec des API personnalisées, a nécessité une expertise technique
avancée et une phase d’ajustement rigoureuse. Par ailleurs, les besoins en
infrastructure et en ressources matérielles pour exécuter les algorithmes de
machine learning et maintenir un système performant se sont révélés critiques,
soulignant l'importance de calibrer les solutions aux environnements spécifiques
des entreprises.
En termes d’innovation, ce travail contribue à enrichir le domaine de la
cybersécurité par une approche proactive et automatisée de la gestion des
incidents. Il ne s’agit pas seulement d’un système réactif, mais d’un outil capable
d’anticiper les menaces grâce à l’analyse en temps réel de vastes volumes de
données et à la corrélation d’événements complexes. De plus, l’architecture
conçue repose sur des standards ouverts, permettant une flexibilité accrue pour
intégrer de nouveaux modules ou répondre aux besoins changeants des
organisations.
63
64