Table des matières

Introduction Générale ................................................................................................................................... 4

Chapitre 1 : Présentation de l’entreprise d’accueil......................................................................................... 5
1. Introduction ........................................................................................................................................................ 5
2. Présentation générale ......................................................................................................................................... 5
3.Réseau Backbone de RIMATEL.............................................................................................................................. 6
4. Services Entreprises offerts par RIMATEL ............................................................................................................ 6
Liaisons louées Fibre Optique :.................................................................................................................................... 7
VPN over MPLS : ......................................................................................................................................................... 7
5. Organisme de RIMATEL ....................................................................................................................................... 8
6. Conclusion .......................................................................................................................................................... 8
Chapitre 2 : Etude préalable du sujet ............................................................................................................ 9
1. Introduction ........................................................................................................................................................ 9
2. Etude de l’existant............................................................................................................................................... 9
3. Critique de l'existant ........................................................................................................................................... 9
4. Problématique .................................................................................................................................................. 10
5. Objectifs du projet ............................................................................................................................................ 10
6. Méthodologie ................................................................................................................................................... 11
7. Conclusion ........................................................................................................................................................ 11
................................................................................................................................................................... 12
Chapitre 3 : Etude conceptuelle de la sécurité informatique ........................................................................ 12
1. Introduction ...................................................................................................................................................... 12
2. Généralités sur la sécurité ................................................................................................................................. 12
2.1. Les différents aspects de la sécurité ............................................................................................................... 13
2.2. La politique de sécurité .................................................................................................................................. 13
3. Les Différentes solutions de sécurité ................................................................................................................. 13
a) Les Firewall (Pare-feu) .................................................................................................................................. 13
b) Les différents types de pare-feu ................................................................................................................... 14
c) Les systèmes de détection et de prévention d’intrusion................................................................................. 15
4. les IDS : ............................................................................................................................................................. 15
5. Les Type des IDS ................................................................................................................................................ 15
Système de détection d'intrusion basé sur l'hôte (HIDS) : .................................................................................. 15
6. Fonctionnement d’un IDS .................................................................................................................................. 16
7. les IPS :.............................................................................................................................................................. 16
a) Definition ...................................................................................................................................................... 17

1
1
 b) Fonctionnement d’un IPS .............................................................................................................................. 17
c) Les différents Type des IPS ............................................................................................................................ 17
 Les IPS sont classés en fonction de l’endroit où ils se trouvent dans un réseau et du type ..................... 17
 Système de prévention des intrusions basé sur le réseau (NIPS) ........................................................... 17
 Système de prévention des intrusions basé sur l'hôte (HIPS) : ............................................................... 18
 Analyse du comportement du réseau (NBA) ......................................................................................... 18
 Système de prévention des intrusions sans fil (WIPS) : .......................................................................... 18
d) Les solutions IDS/IPS disponible .................................................................................................................... 18
 Zeek ...................................................................................................................................................... 19
 Snort ..................................................................................................................................................... 19
 Suricata ................................................................................................................................................. 20
4. Conclusion ........................................................................................................................................................ 20
Chapitre 4 : Déploiement de la solution et tests.......................................................................................... 21
1. Introduction ...................................................................................................................................................... 21
2. Environnement du travail .................................................................................................................................. 21
2.1. Environnement matériel ............................................................................................................................. 21
2.2. Environnement logiciel ............................................................................................................................... 22
◦ Wazuh version ....................................................................................................................................... 22
◦ Suricata .................................................................................................................................................. 22
2.3. Architecture d’environnement du travail .................................................................................................... 23
3. Intégration de l’IDS réseau Suricata ................................................................................................................... 24
3.1. Installation et configuration du Suricata ..................................................................................................... 24
4. Visualiser les logs de Suricata dans Wazuh ........................................................................................................ 32
Conclusion ................................................................................................................................................ 36
Bibliographie ............................................................................................................................................. 37

2
2
 Table de figure
Figure 1: logo RIMATEL ........................................................................................................................................................... 5
Figure 2: Backbone RIMATEL ................................................................................................................................................... 6
Figure 3: Service offers par RIMATEL ....................................................................................................................................... 7
Figure 4: Organisme RIMATEL ................................................................................................................................................. 8
Figure 5: fonctionnement de firewall .................................................................................................................................... 14
Figure 6: Logo Zeek ............................................................................................................................................................... 19
Figure 7: Logo Snort .............................................................................................................................................................. 19
Figure 8: Logo Wazuh ............................................................................................................................................................ 22
Figure 9: Logo Suricata .......................................................................................................................................................... 22
Figure 10: Architecture du solution mise en place ................................................................................................................. 23
Figure 11: Commande pour à jouter le référence Suricata ..................................................................................................... 24
Figure 12: Installation du suricata ......................................................................................................................................... 25
Figure 13: Commande pour active le service Suricata ............................................................................................................ 25
Figure 14: Fichier configuration Suricata précision de l'adresse réseau .................................................................................. 26
Figure 15: Fichier de configuration de suricata activation de l'id de communauté ................................................................. 27
Figure 16: Fichier de configuration de Suricata précision de l'interface réseau ...................................................................... 28
Figure 17: Commande pour mettre à jour les règles Suricata................................................................................................. 29
Figure 18: Commande pour répertorier les fournisseurs des règles ....................................................................................... 30
Figure 19: commande pour inclure des règles a Suricata ....................................................................................................... 30
Figure 20: Commande pour mettre à jour les nouvelles règles de suricata ............................................................................ 31
Figure 21: Commande pour exécuter Suricata en mode test ................................................................................................. 31
Figure 22: Commande pour activer Suricata .......................................................................................................................... 32
Figure 23: Commande pour tester règles Suricata ................................................................................................................. 32
Figure 24: Commande pour voir le log suricata...................................................................................................................... 32
Figure 25: Configuration agent wazuh pour détecter les logs Suricata ................................................................................... 33
Figure 26: Filtrer les alerts de suricata ................................................................................................................................... 34
Figure 27: Visualisation des alerts suricata ............................................................................................................................ 34
Figure 28: partie-2 visualisation des alerts Suricata ............................................................................................................... 35

Liste de tableau Table

Tableau 1: Caractéristiques de l’environnement matériel .................................................................................................................. 20

3
3
 Introduction Générale

La protection des technologies de l'information a pris un rôle central pour les entreprises modernes qui
semblent faire face à une vague incessante de cyberattaques. Pour toute attaque, des mécanismes
doivent être mis en place pour gérer la détection, la protection et la réponse appropriée aux attaques
classées. Ce rapport fait partie de ces mécanismes en fournissant une étude avancée de la sécurité des
technologies de l'information préparée pour RIMATEL, un fournisseur d'accès Internet (FAI) situé en
Mauritanie.
Le document se compose de plusieurs parties centrées autour d'un aspect du projet donné. Dans le
chapitre 1, nous fournissons des informations générales introductives sur RIMATEL, y compris ses
activités commerciales, son infrastructure réseau et les services qu'il offre à ses clients. Le chapitre 2
aborde les défis de sécurité auxquels l'entreprise est confrontée et propose un objectif raisonnable et
une approche de comblement des lacunes pour améliorer le système existant. Le chapitre 3 décrit les
éléments fondamentaux de la sécurité informatique, listant les pare-feu, les systèmes de détection et
de prévention d'intrusions (IDS/IPS) et les outils de surveillance comme composants clés, tandis que
pour les utilisateurs de ce rapport, le chapitre 4 se termine par une description de son exécution
pratique pour configurer Wazuh et Suricata –y compris l'intégration, l'installation, la configuration et
l'étape de test des politiques.

L'objectif de ce rapport est d'expliquer les enjeux de sécurité RIMATEL ainsi que les mesures qui
peuvent être prises afin d'assurer une protection adéquate de l'infrastructure. Les résultats obtenus
montrent que les outils open source Wazuh et Suricata sont efficaces pour la surveillance et la
sécurisation au niveau de l'intrusion, ce qui permet d'assurer une sécurité des informations définitive.

4
4
Chapitre 1 : Présentation de l’entreprise d’accueil

1. Introduction

Dans cette partie, nous allons présenter l'entreprise dans laquelle notre stage a été
effectué,en fournissant une description de l'entreprise, de sa structure organisationnelle et
des services qu'elle offre.

2. Présentation générale

RIMATEL est une société mauritanienne titulaire d’une autorisation générale attribuée suite
à la décision du conseil national de régulation No. 29/21/ ARE/CNR/DTP, pour exercer ses
activités en tant que fournisseur d’accès à internet (FAI), les réseaux et infrastructures de
RIMATEL comprennent différents systèmes intégrés ensemble, pour offrir les services visés
avec haute qualité, stabilité et flexibilité, RIMATEL a acquis tous ses systèmes dotés de
dernières technologies utilisées mondialement dans le domaine de transport, sécurité et
accès de données, le data centre de RIMATEL est connecté avec un ISP American à travers
le câble sous-marin ACE, cette connexion est sécurisée physiquement pour assurer le
continuité de service, le data centre de RIMATEL dispose aussi des firewalls qui apportant
des capacités innovantes pour offrir une sécurité et protection

Figure 1: logo RIMATEL

5
5
Chapitre1 : Présentation de l’entreprise d’accueil

3.Réseau Backbone de RIMATEL

Le réseau Backbone de RIMATEL est composé des boucles de fibre optique, ces boucles
traversent toutes les zones vitales de la ville de Nouakchott, et offrent une sécurité physique
complète du réseau. En cas de coupure du câble de fibre optique dans un sens, un
basculement vers le sens inverse sera effectué dans un délai ne dépassant pas 50ms, cela
permettra au client de profiter d’un service continue tout le temps. Des nœuds d'accès sont
distribués au long du parcours de Backbone, ces nœuds d’accès disposent d’une grande
capacité de bandes passantes allant jusqu’à 100G, ils prennent en charge la technologie de
virtualisation, qui réalise une commutation logique hautes performances, pour une gestion et
un déploiement unifié. Grâce à la technologie distribuée d'agrégation de liens inter-
équipements, plusieurs liaisons montantes partagent la charge et se sauvegardent
mutuellement, afin d'améliorer la redondance dans la structure du réseau et l'utilisation des
ressources de liaison. Le débit fournit par cette solution sera totalement garanti et symétrique
tout le temps

Figure 2: Backbone RIMATEL

4. Services Entreprises offerts par RIMATEL

A travers son réseau RIMATEL offre à ses clients différents types de services pour accéder à
L’Internet, parmi ces services, ceux proposés aux entreprises et détaillés ci-dessous :

6
Chapitre1 : Présentation de l’entreprise d’accueil

Figure 3: Service offers par RIMATEL

 Liaisons louées Fibre Optique :

La liaison louée est une connexion permanente à haut débit d’accès à internet, il s'agit d'une
connexion directe entre le client et RIMATEL à travers la fibre optique, elle sert à connecter
les réseaux de bureaux et les LAN/WAN de l’entreprise avec un accès dédié et permanant à
haut débit à Internet.
 VPN over MPLS :

Notre backbone MPLS offre la possibilité à nos clients de s'appuyer sur un réseau privé
sécurisé pour leur connectivité WAN. Il leur offre une connectivité via MPLS-VPN sécurisée
entre les sites tout en conservant les mêmes politiques que celles dont bénéficient un réseau
privé. Les entreprises qui gèrent leurs réseaux d'entreprise via MPLS bénéficient de la même
sécurité et de la même priorité auxquelles elles s'attendent avec leurs propres réseaux privés,
mais avec une gestion facile, une fiabilité et des performances améliorées offertes par le
service MPLS

7
Chapitre 1 : Présentation de l’entreprise d’accueil

5. Organisme de RIMATEL

Figure 4: Organisme RIMATEL

6. Conclusion

Cette partie a été conçue pour familiariser avec l'environnement de travail en

présentant l’entreprise d'accueil. Dans la prochaine partie, les problèmes rencontrés
par RIMATEL seront mis en évidence suite à l’étude de l'existant et à sa critique,
suivis de la proposition de la solution répondant aux exigences énoncées.

8
Chapitre 2: Etude préalable du sujet

Chapitre 2 : Etude préalable du sujet

1. Introduction

Dans cette partie, nous aborderons l'étude et la critique de l'existant de l’entreprise RIMATEL
afin de mettre en évidence la problématique et les objectifs à atteindre de ce projet. Nous
présenterons également la méthodologie qui sera utilisée.

2. Etude de l’existant

L'objectif de l'étude de l'existant est d'analyser la solution de supervision actuellement utilisée

par RIMATEL et de formuler des recommandations visant à renforcer la sécurité de
l'entreprise. L'équipe de RIMATEL a mis en place une solution de supervision qui repose sur
Zabbix en tant que plateforme de supervision et utilise le protocole SNMP (Simple Network
Management Protocol) pour surveiller l'infrastructure informatique de l'entreprise et détecter
d'éventuelles menaces.

Zabbix est une solution open source de supervision et de monitoring permettant de surveiller
les performances, l'intégrité et la disponibilité des composants d'un réseau informatique. Elle
propose des fonctionnalités avancées telles que la collecte de données en temps réel, la
génération d'alertes en cas de dysfonctionnement et la création de rapports détaillés sur l'état
du système. Zabbix est largement utilisé pour gérer et optimiser les infrastructures
informatiques.

3. Critique de l'existant

L'examen de la situation actuelle chez RIMATEL met en évidence des lacunes importantes en
matière de sécurité, notamment l'absence de Systèmes de Détection et/ou de Prévention
d'Intrusion (I.D.S. / I.P.S.) ainsi que l'absence d'un système centralisé de gestion des
informations et des événements de sécurité. Cette vulnérabilité expose l'entreprise à des
risques considérables, similaires à un bâtiment de grande valeur sans agents de sécurité pour
surveiller les entrées et les activités internes. Étant donné que la plupart des attaques
informatiques proviennent de sources externes, RIMATEL est vulnérable à des menaces
potentielles. Ainsi, il est impératif de mettre en place un système de sécurité robuste,
dépassant la supervision actuelle avec Zabbix, pour renforcer la sécurité. La mise en place
d'une solution globale visant à fournir une vue complète du réseau, à surveiller en temps réel
les activités pour détecter les attaques potentielles et à réagir rapidement et précisément est
nécessaire pour protéger l'entreprise contre les menaces.

9
Chapitre 2: Etude préalable du sujet

4. Problématique

La sécurité informatique est devenue une préoccupation majeure pour les entreprises
contemporaines, confrontées à une augmentation croissante des attaques. Plutôt que de se
demander si elles seront victimes d'attaques, les entreprises se préoccupent désormais du
moment où ces incidents se produiront. Malgré les mesures prises par RIMATEL, son réseau
n'est pas immunisé contre les intrusions ou les menaces d'attaques courantes dans les réseaux
d'entreprise, car en sécurité informatique, le risque zéro est inexistant, et une sécurité totale
ne peut être garantie. Les pare-feu, tels que celui déployé dans le réseau de RIMATEL,
contribuent partiellement à réduire ces risques. Cependant, un réseau protégé par un pare-
feu reste vulnérable, car une menace peut y accéder, constituant un problème majeur.
Archiver les traces, les journaux et d'autres données des équipements de sécurité, assurer la
corrélation des événements au sein d'une structure, générer des tableaux de bord et des
rapports suite aux événements sont des tâches distinctes effectuées par la plupart des
systèmes de sécurité. Cependant, la réalisation de ces tâches distinctes nécessite un travail
important, notamment l'analyse des événements de chaque équipement pour les fusionner
en une vue d'ensemble. Cela soulève des questions telles que la nécessité de répondre à ces
différentes tâches et besoins fondamentaux à travers un seul système, d'identifier les
attaquants, de déterminer le moment et la manière des attaques, de protéger les
informations confidentielles de RIMATEL contre les intrusions et les menaces d'attaques, et
d'assurer une gestion centralisée de tous les équipements de sécurité de l'entreprise et de
son système d'information. Dans cette perspective, des recherches ont été menées pour
proposer un système capable de collecter en temps réel les événements issus des différents
matériels au sein de la société, de surveiller les activités du réseau pour détecter les intrusions
et les menaces, et ainsi protéger la société.

5. Objectifs du projet

Le projet vise à renforcer la sécurité informatique de RIMATEL en mettant en place un système

open source pour la gestion des informations et des événements de sécurité. Les objectifs
spécifiques incluent la collecte et la corrélation des traces d'événements, la gestion centralisée
des équipements informatiques, la détection des tentatives d'intrusion, et la garantie de la
sécurité globale des équipements. À la fin de ce projet, le système doit permettre d'avoir une
vue d'ensemble centralisée, de générer des rapports sur les événements de sécurité, de
produire des alertes de sécurité combinées, d'assurer une surveillance continue du système
d'information, et d'optimiser la sécurité globale du système informatique de l'entreprise

6. Méthodologie
10
Chapitre 2: Etude préalable du sujet

Après une analyse approfondie des objectifs et des résultats attendus, la mise en œuvre d'un
système de gestion des informations et événements de sécurité, également désigné par
l'acronyme S.I.E.M. (Security Information and Event Management en anglais), avec
l'intégration d'une solution NIDS (Système de Détection d'Intrusions sur Réseau), a été
privilégiée. La méthodologie adoptée a impliqué une recherche bibliographique pour explorer
les concepts généraux, les solutions existantes et les outils nécessaires, dans le but de
proposer une nouvelle configuration pour la mise en œuvre de la solution sélectionnée. Enfin,
une solution test fonctionnelle a été déployée

7. Conclusion

Dans cette partie, nous avons abordé les défis de sécurité auxquels le réseau informatique de
RIMATEL est confronté. Pour résoudre ces problèmes, nous avons opté pour la mise en œuvre
d'un système de gestion des informations et des événements de sécurité, intégrant une
solution NIDS (Système de Détection d'Intrusions sur Réseau). Nous avons présenté les
résultats anticipés du projet et la méthodologie à suivre. Dans le chapitre suivant, nous
définirons les deux concepts fondamentaux de notre solution, à savoir la sécurité
informatique et la gestion des événements de sécurité. Nous réaliserons également une étude
comparative entre les outils propriétaires et open source les plus couramment utilisés afin de
choisir ceux qui conviennent le mieux à nos besoins.

11
Chapitre 3 : Etude conceptuelle de la sécurité informatique

Chapitre 3 : Etude conceptuelle de la sécurité informatique

1. Introduction

Dans cette partie, nous allons aborder quelques notions fondamentales de la sécurité,
explorer les solutions de sécurité disponibles, ainsi que la supervision et les solutions de
supervision existantes.

2. Généralités sur la sécurité

L'établissement d'un réseau sécurisé est crucial pour faciliter les échanges d'informations au
sein des entreprises, que ce soit entre les machines locales ou avec des dispositifs externes.
Dans cette perspective, la sécurité revêt une importance capitale à plusieurs niveaux,
englobant les données, les applications, les équipements, ainsi que l'ensemble du trafic
réseau. La continuité des activités de l'entreprise est étroitement liée à celle de son système
d'information. Cette continuité ne peut être garantie que par la mise en place de mesures de
protection offrant un niveau de sécurité adapté aux défis spécifiques de l'entreprise. La
sécurité des réseaux émerge comme un élément clé de la pérennité des Systèmes
d'Information (SI) de l'entreprise. En tant que composante critique, le réseau doit être soumis
à une politique de sécurité complète, prenant en compte tous les besoins d'accès au réseau
de l'entreprise, tels que l'accès distant, l'échange de courriers électroniques, le commerce
électronique, l'interconnexion avec des tiers, etc.
La sécurité informatique vise à atteindre cinq objectifs majeurs [3] :
 L'intégrité : assurer que les données restent conformes à leur état d'origine.
 La confidentialité : garantir que seules les personnes autorisées ont accès aux
ressources échangées.
 La disponibilité : veiller à ce que les services (ordinateurs, réseaux, périphériques,
applications, etc.) et les informations (données, fichiers, etc.) soient accessibles aux
personnes autorisées lorsque nécessaire.
 La non-répudiation : garantir qu'une transaction ne puisse être niée.
 L'authentification : assurer que seules les personnes autorisées ont accès aux
ressources

12
Chapitre 3 : Etude conceptuelle de la sécurité informatique

2.1. Les différents aspects de la sécurité

La sécurité doit être envisagée dans un contexte global, prenant notamment en considération
les aspects suivants :

 Sécurité personnelle : Sensibilisation des utilisateurs aux problèmes de sécurité.

 Sécurité logique : Protection des données, y compris celles de l'entreprise, des
applications et des systèmes d'exploitation.
 Sécurité des télécommunications : Englobe les technologies réseau, les serveurs de
l'entreprise, les réseaux d'accès, etc.
 Sécurité physique : Implique la protection des infrastructures matérielles telles que les
salles sécurisées, les espaces ouverts au public, les zones communes de l'entreprise,
les postes de travail du personnel, etc.

2.2. La politique de sécurité

La politique de sécurité informatique est une stratégie élaborée visant à renforcer la sécurité
au sein d'une entreprise. Elle prend forme à travers un document intégrant tous les enjeux,
objectifs, analyses, actions et procédures liés à cette stratégie. La politique de sécurité des
systèmes d'information (PSSI) se présente comme un plan d'action défini pour maintenir un
niveau spécifique de sécurité, reflétant la vision stratégique de la direction de l'entité en
matière de sécurité des systèmes d'information. Elle explicite également les rôles et les
responsabilités de chaque intervenant dans le management de la sécurité du SI. [2]

3. Les Différentes solutions de sécurité

Les entreprises disposent d'une variété de solutions de sécurité informatique. Parmi celles-ci,
trois éléments essentiels sont fréquemment soulignés pour assurer la protection des systèmes
et des réseaux : les pares-feux, les systèmes de détection d'intrusion (IDS), les systèmes de
prévention d'intrusion (IPS), ainsi que la surveillance réseau et la gestion des journaux.

a) Les Firewall (Pare-feu)

Un pare-feu est un dispositif de sécurité réseau qui surveille et filtre le trafic entrant et sortant
en se basant sur les politiques de sécurité définies au préalable par une organisation. Dans sa

13
Chapitre 3 : Etude conceptuelle de la sécurité informatique

forme la plus fondamentale, un pare-feu représente essentiellement la barrière entre un

réseau interne privé et l'internet public. Son objectif principal est d'autoriser le trafic inoffensif
à entrer tout en empêchant le trafic potentiellement dangereux de sortir.

Figure 5: fonctionnement de firewall

b) Les différents types de pare-feu

Il existe plusieurs types de pare-feu, notamment les pare-feux par filtrage de paquets, les
pare-feux basés sur un proxy, les pare-feux avec état, les pare-feux d'applications web (WAF)
et les pare-feu nouvelle génération (NGFW).

Pare-feux par filtrage de paquets : Ils examinent et autorisent ou bloquent le trafic en

fonction des informations contenues dans les en-têtes des paquets, tels que les adresses IP
source et destination, les numéros de port et les types de protocole.

Pare-feux basés sur un proxy : Ils agissent comme des intermédiaires entre les clients et les
serveurs, contrôlant le trafic en inspectant les paquets et créant des connexions distinctes.

Pare-feux avec état : Ils enregistrent les informations sur les connexions ouvertes pour
analyser le trafic, offrant une approche plus rapide, basée sur le contexte.

Pare-feux d'applications web (WAF) : Ils protègent les applications web contre les attaques
en filtrant le trafic HTTP, notamment contre les attaques XSS, CSRF, d'inclusion de fichier et
d'injection SQL.

14
Chapitre 3 : Etude conceptuelle de la sécurité informatique

Pare-feux nouvelle génération (NGFW) : Ils intègrent des fonctionnalités avancées telles que
l'inspection approfondie des paquets, l'identification des applications, la prise en charge des
identités et le sandboxing.

c) Les systèmes de détection et de prévention d’intrusion

Les IDS (systèmes de détection d'intrusion) et les IPS (systèmes de prévention d'intrusion)
représentent une réponse essentielle en matière de sécurité informatique. Alors que les IDS
identifient les activités suspectes, les IPS vont plus loin en mettant en œuvre des mesures
actives pour prévenir ou atténuer les attaques, consolidant ainsi la sécurité des réseaux et des
systèmes contre les menaces numériques. Dans la suite de cette exploration, nous
examinerons en détail la définition, le mode de fonctionnement, les différents types pour
chacun de ces systèmes ainsi que les solutions IDS/IPS disponibles.

4. les IDS :

Selon les définitions fournies par Geekflare [4] et La Revue Tech [5], les systèmes de détection
d'intrusions (IDS) sont des logiciels élaborés pour surveiller le trafic réseau entrant et sortant
afin de détecter des anomalies, des activités suspectes et des actions malveillantes. Ces
systèmes génèrent des alertes lorsqu'ils repèrent des activités suspectes, permettant aux
responsables informatiques d'intervenir. Par la suite, un administrateur examine les alertes et
prend des mesures pour éliminer la menace.

5. Les Type des IDS

Les IDS sont classifiés en fonction de leur position dans le réseau [5],[8]. Ils se répartissent
principalement en deux catégories : les IDS basés sur l'hôte et les IDS basés sur le réseau.

 Système de détection d'intrusion basé sur l'hôte (HIDS) :

Un IDS basé sur l'hôte est déployé sur un hôte connecté à Internet ou au réseau interne de
l'entreprise. En s'installant sur cette machine, il assure une protection contre les menaces
internes et externes en examinant les programmes en cours et leur utilisation des ressources.
Sa principale fonction est de repérer d'éventuelles anomalies ou signatures révélatrices

15
Chapitre 3 : Etude conceptuelle de la sécurité informatique

d'intrusions. L'appellation "basé sur l'hôte" découle également de sa portée limitée à la

machine hôte.

 Système de détection d'intrusion réseau (NIDS) :

Cette fois-ci, la solution IDS est déployée à des emplacements stratégiques du réseau de
l'entreprise, permettant ainsi la surveillance du trafic entrant et sortant. L'IDS basé sur le
réseau, contrairement à son homologue basé sur l'hôte, bénéficie d'une visibilité étendue sur
l'ensemble du trafic circulant sur le réseau. Cela lui permet de couvrir une zone plus vaste et
de détecter des menaces plus généralisées. Cependant, les systèmes IDS basés sur le réseau
présentent l'inconvénient de manquer de visibilité sur les éléments internes des terminaux
qu'ils protègent.

6. Fonctionnement d’un IDS

Les IDS comprend différents mécanismes pour détecter les intrusions [5],[8].

 Détection d'intrusion basée sur les signatures : Le système IDS peut repérer une
attaque en l'analysant à la recherche d'un comportement ou d'un modèle spécifique,
tels que des signatures malveillantes, des séquences d'octets, etc.

 Détection basée sur la réputation : À ce stade, l'IDS peut identifier les cyberattaques
en fonction de leurs scores de réputation. Un trafic avec un score positif est autorisé,
tandis qu'un score négatif déclenche une alerte pour une action immédiate.

 Détection basée sur les anomalies : Cette méthode permet de repérer les intrusions
et les violations informatiques en surveillant les activités du réseau pour identifier des
comportements suspects. Elle peut détecter des attaques connues et inconnues, en
utilisant l'apprentissage automatique pour créer un modèle d'activité fiable et le
comparer à de nouveaux comportements.

7. les IPS :

Les solutions IPS ont évolué à partir des systèmes de détection d'intrusion (IDS), qui détectent
et signalent les menaces à l'équipe de sécurité. Un IPS possède les mêmes fonctions qu'un
IDS, auxquelles s'ajoutent des fonctionnalités de prévention automatisée des menaces, d'où
parfois l'appellation "systèmes de détection et de prévention des intrusions" (IDPS).

16
Chapitre 3 : Etude conceptuelle de la sécurité informatique

a) Definition

En se référant à la définition fournie par IBM [7], un système de prévention des intrusions
(IPS) analyse le trafic réseau pour détecter d'éventuelles menaces et prend automatiquement
des mesures pour les contrer. Ces mesures peuvent comprendre l'alerte de l'équipe de
sécurité, la désactivation de connexions potentiellement dangereuses, la suppression de
contenu malveillant, ainsi que le déclenchement d'autres dispositifs de sécurité.

b) Fonctionnement d’un IPS

Lorsqu'un IPS détecte une menace, il enregistre l'événement et le signale au SOC (centres
d'opérations de sécurité). Cependant, l'IPS ne s'arrête pas là ; il prend automatiquement des
mesures contre la menace en utilisant des techniques telles que [7] :

 Blocage du trafic malveillant : Un IPS a la capacité de terminer la session d'un

utilisateur, de bloquer une adresse IP spécifique, voire de bloquer l'ensemble du trafic
vers une cible. Certains IPS peuvent rediriger le trafic vers un pot de miel, une stratégie
trompeuse faisant croire aux pirates qu'ils ont réussi, tandis que, en réalité, le SOC les
surveille attentivement

 Suppression du contenu malveillant : Un IPS peut permettre au trafic de continuer

tout en épurant les parties dangereuses, par exemple en supprimant des paquets
malveillants d'un flux ou en éliminant une pièce jointe malveillante d'un e-mail.

 Déclenchement d'autres dispositifs de sécurité : Un IPS peut inciter d'autres

dispositifs de sécurité à agir, par exemple en mettant à jour les règles du pare-feu pour
bloquer une menace ou en modifiant les paramètres du routeur afin d'empêcher les
pirates d'atteindre leurs cibles.

c) Les différents Type des IPS

Les IPS sont classés en fonction de l’endroit où ils se trouvent dans un réseau et du type
d’activité qu’ils surveillent [7] :

 Système de prévention des intrusions basé sur le réseau (NIPS)

Un système de prévention contre les intrusions (NIPS) basé sur le réseau surveille le trafic
entrant et sortant vers les unités du réseau en examinant les paquets individuels pour détecter
toute activité suspecte.

17
Chapitre 3 : Etude conceptuelle de la sécurité informatique

Les NIPS sont déployés à des emplacements stratégiques du réseau, souvent positionnés
juste après les pare-feux au périmètre du réseau. Cette disposition leur permet d'intercepter
le trafic malveillant qui pourrait passer à travers. En outre, un NIPS peut être installé à
l'intérieur du réseau pour surveiller le trafic à destination et en provenance d'actifs critiques,
tels que des centres de données ou des unitéstratégiques..

 Système de prévention des intrusions basé sur l'hôte (HIPS) :

Un système de prévention contre les intrusions basées sur l'hôte (HIPS) est déployé sur un
nœud final spécifique, tel qu'un ordinateur portable ou un serveur, et surveille
exclusivement le trafic vers et depuis cet appareil. Les HIPS sont généralement utilisés en
complément des NIPS pour renforcer la sécurité des actifs critiques. De plus, un HIPS peut
bloquer les activités malveillantes émanant d'un nœud réseau compromis, comme la
propagation de ransomware à partir d'un appareil infecté.

 Analyse du comportement du réseau (NBA)

Les solutions d'analyse du comportement du réseau (NBA) observent le déroulement des flux
de trafic réseau. Bien qu'elles puissent inspecter les paquets comme d'autres IPS, de
nombreuses NBA se concentrent davantage sur les aspects de haut niveau des sessions de
communication, incluant les adresses IP source et de destination, les ports utilisés, ainsi que
le nombre de paquets transmis. Ces solutions utilisent des méthodes de détection basées sur
les anomalies pour signaler et bloquer tout flux qui dévie de la norme, comme le trafic associé
aux attaques DDoS ou un appareil infecté communiquant avec un serveur de commande et
de contrôle inconnu.

 Système de prévention des intrusions sans fil (WIPS) :

Un système de prévention contre les intrusions sans fil (WIPS) surveille les protocoles réseau
sans fil afin de détecter des activités suspectes, telles que des utilisateurs non autorisés et des
appareils accédant au Wi-Fi de l'entreprise. En cas de détection d'une entité inconnue sur un
réseau sans fil, le WIPS peut mettre fin à la connexion. De plus, il contribue à repérer les
appareils mal configurés ou non sécurisés sur un réseau Wi-Fi et à contrecarrer les attaques
potentielles, où un pirate informatique pourrait espionner discrètement les communications
des utilisateurs.

d) Les solutions IDS/IPS disponible

Il existe une diversité de solutions IDS/IPS (systèmes de détection et de prévention

d'intrusions) sur le marché. Dans la suite, nous allons présenter certaines des solutions les plus
couramment utilisées :

 Zeek
18
Chapitre 3 : Etude conceptuelle de la sécurité informatique

Zeek, anciennement connu sous le nom de Bro, est un système de détection d'intrusions basé
sur le réseau (NIDS) open source. Il offre un cadre puissant pour la surveillance de la sécurité
et l'analyse du réseau. Zeek se distingue par ses capacités uniques d'analyse approfondie des
protocoles, permettant une compréhension sémantique avancée de la couche applicative. Sa
flexibilité et son langage spécifique au domaine permettent une adaptation facile aux besoins
de surveillance de divers sites, du plus petit au plus grand. Zeek génère des journaux de
transactions sécurisés, adaptés aux systèmes SIEM, et est largement utilisé à l'échelle
mondiale par des entreprises, des institutions scientifiques et des établissements
d'enseignement

Figure 6: Logo Zeek

 Snort
Snort est l'un des IDS/IPS open source les plus populaires. C'est un NIDS qui se concentre sur
la détection d'intrusions en analysant le trafic réseau. Snort utilise des règles préconfigurées
pour identifier des modèles de trafic correspondant à des attaques connues. Il peut également
être personnalisé avec des règles spécifiques à l'environnement. Snort offre une solution
efficace et évolutive pour la détection d'intrusions sur les réseaux, et sa large communauté
contribue constamment à son développement.

Figure 7: Logo Snort

 Suricata
Suricata est un autre NIDS open source qui se concentre sur la haute performance et la

19
Chapitre 3 : Etude conceptuelle de la sécurité informatique

détection d'intrusions. Il utilise une approche basée sur les règles pour identifier les modèles
de trafic malveillant. Ce système offre une détection précise des menaces tout en minimisant
les faux positifs. Suricata est réputé pour sa capacité à gérer un trafic réseau important tout
en fournissant des fonctionnalités avancées telles que l'inspection SSL/TLS.

Figure 8 : Logo Suricata

4. Conclusion

Nous avons consacré ce chapitre à définir quelques notions telles que la sécurité, les solutions de
sécurité telles que le firewall, les IDS et les IPS, ainsi que le principe de la supervision. Dans le
chapitre suivant, nous explorerons les solutions SIEM, en terminant par le choix de la solution
appropriée, présentant ses composants et expliquant leur fonctionnement Haut du formulaire

20
Chapitre 4 : Déploiement de la solution et tests

Chapitre 4 : Déploiement de la solution et tests

1. Introduction

Dans ce chapitre final, nous aborderons l'environnement de travail matériel et logiciel, ainsi
que l'architecture mise en place. Notre attention sera particulièrement portée sur la mise en
œuvre pratique de la solution choisie, mettant en lumière les étapes concrètes de réalisation
et les tests effectués.

2. Environnement du travail
Nous allons aborder l'environnement de travail, aussi bien du point de vue matériel que
logiciel

2.1. Environnement matériel

Le tableau 3.2 décrit les caractéristiques des différentes machines utilisées dans notre solution

Tableau 1: Caractéristiques de l’environnement matériel

Machine Machine Machine suricata
client1 client3

Système Ubuntu Windows 10 Ubuntu 22.04

d’exploitation 22.04
Mémoire 9GB 8GB 8GB
vivante : RAM
Nombre de 2 4 Processors 4 Processors
cœurs de Processors
process
eur
alloués

21
Chapitre 4 : Déploiement de la solution et tests

2.2. Environnement logiciel

Pour la réalisation de ce projet, nous avons utilisé les logiciels suivants :

 Wazuh version

Wazuh est une solution open source gratuite qui offre des fonctionnalités de prévention, de
détection et de réponse aux menaces. Elle assure la protection des charges de travail, que ce
soit sur site, dans des environnements virtualisés, conteneurisés ou dans le cloud.

Figure 8: Logo Wazuh

 Suricata
Suricata, une sonde IDS/IPS open source développée par la fondation OISF, assure la
surveillance du trafic réseau, la détection de comportements malveillants, et la mise en œuvre
de mesures préventives pour sécuriser le réseau.

Figure 9: Logo Suricata

22
Chapitre 4 : Déploiement de la solution et tests

2.3. Architecture d’environnement du travail

La figure 10 décrit l'architecture de notre système, qui est un système SIEM. Elle se compose
de deux parties, HIDS (Host-based Intrusion Detection System) et NIDS (Network-based
Intrusion Detection System). La partie HIDS comprend un serveur Ubuntu sur lequel le serveur
Wazuh est installé, ainsi qu'un ensemble de machines de supervision et d'employés sur
lesquelles des agents Wazuh seront déployés pour la surveillance. Pour la partie NIDS, un
serveur Ubuntu est équipé de Suricata, chargé d'analyser le trafic réseau et de le transmettre
au serveur Wazuh. Enfin, une machine Kali est utilisée pour effectuer divers scénarios
d'attaque afin de tester l'efficacité de notre système.

Figure 10: Architecture du solution mise en place

23
Chapitre 4 : Déploiement de la solution et tests

3. Intégration de l’IDS réseau Suricata

Comme évoqué précédemment, nous avons l'intention d'intégrer Wazuh à un système de

détection d'intrusion basé sur le réseau (NIDS) pour améliorer la détection des menaces en
surveillant le trafic réseau. Conformément à notre architecture, nous allons déployer Suricata
sur un serveur Ubuntu. Ce serveur analysera le trafic réseau à l'aide de Suricata et enverra les
logs générés par Suricata à Wazuh Server pour une surveillance approfondie.

3.1. Installation et configuration du Suricata

Pour installer Suricata, la première étape consiste à ajouter le référentiel de paquets de l'Open
Information Security Foundation (OISF) à notre serveur :

Figure 11: Commande pour à jouter le référence Suricata

Ensuite, pour installer Suricata, utilisons la commande illustrée dans la Figure 11.

24
Chapitre 4 : Déploiement de la solution et tests

Figure 12: Installation du suricata

Une fois l'exécution terminée Suricata est installé sur notre système, pour activer le service
Suricata, nous devons taper la commande illustrée dans la Figure 12

Figure 13: Commande pour active le service Suricata

Avant de continuer, arrêtons le service Suricata, car nous devons d'abord le configurer.
Suricata stocke sa configuration dansle fichier /etc/suricata/[Link]. Pour
personnaliser la configuration selon nos besoins,ouvrons le fichier
/etc/suricata/[Link] et éditons les paramètres suivants

25
Chapitre 4 : Déploiement de la solution et tests

-HOME_NET : La section HOME_NET dans le fichier de configuration de Suricata est

destinée à la spécification de l'adresse IP du réseau à surveiller. Afin de définir le réseau à
surveiller, il suffit de modifier la valeur de HOME_NET en précisant l'adresse IP ou le sous-
réseau pertinent pour Suricata.

Figure 14: Fichier configuration Suricata précision de l'adresse réseau

-Activer l’ID de communauté : Le champ Community ID facilite la corrélation des données

entre les enregistrements générés par différents outils de surveillance. Étant donné que nous
utiliserons Suricata avec wazuh, activer Community ID peut s'avérer bénéfique.

26
Chapitre 4 : Déploiement de la solution et tests

Figure 15: Fichier de configuration de suricata activation de l'id de communauté

27
Chapitre 4 : Déploiement de la solution et tests

-Sélectionnez l’interface réseau ; Recherchez la variable af-packet et configurez-la en utilisant

le nom de l'interface réseau associée au périphérique de votre système.

Figure 16: Fichier de configuration de Suricata précision de l'interface réseau

Une fois que nous avons terminé, enregistrons les modifications du fichier de configuration.
Maintenant, nous devons configurer les règles de Suricata. Par défaut, Suricata n'utilise qu'un
ensemble limité de règles pour détecter le trafic réseau. Vous pouvez étendre ces règles en
ajoutant d'autres ensembles provenant de fournisseurs externes à l'aide de l'outil suricata-
update. Exécutons la commande illustrée dans la Figure 87 pour inclure des règles
supplémentaires.

28
Chapitre 4 : Déploiement de la solution et tests

Figure 17: Commande pour mettre à jour les règles Suricata

Nous pouvons répertorier la liste des fournisseurs par défaut à l'aide de la commande
suivante.

29
 Figure 18: Commande pour répertorier les fournisseurs des règles

Nous souhaitons inclure les règles malsilo/win-malware, nous pouvons l’activer à l’aide de la
Commande suivante.

Figure 19: commande pour inclure des règles a Suricata

Exécutez à nouveau la commande suricata-update pour télécharger et mettre à jour les

nouvelles règles. Par défaut, Suricata peut traiter toutes les modifications de règles sans
nécessiter de redémarrage.

30
Chapitre 4 : Déploiement de la solution et tests

Figure 20: Commande pour mettre à jour les nouvelles règles de suricata

Suricata est livré avec un outil de validation pour vérifier le fichier de configuration et les règles
pour les erreurs. Exécutons la commande illustrée dans la figure 20 pour lancer l'outil de
validation.
L'option -T indique à Suricata de s'exécuter en mode test, l'option -c configure l'emplacement
du fichier de configuration, et l'option -v imprime la sortie détaillée de la commande. Selon la
configuration de votre système et le nombre de règles ajoutées, la commande peut prendre
quelques minutes.

Figure 21: Commande pour exécuter Suricata en mode test

Maintenant que Suricata est configuré et mis en place, il est temps d’exécuter l’application et
de vérifier l’état du processus.

31
Chapitre 4 : Déploiement de la solution et tests

Figure 22: Commande pour activer Suricata

Nous allons vérifier si Suricata détecte un trafic suspect en utilisant la commande suivante :
$ curl [Link]
Si la règle numéro ET Open 2100498 fonctionne correctement, vous obtiendrez la réponse
suivante : uid=0(root) gid=0(root) groups=0(root)
Comme illustre la figure 23

Figure 23: Commande pour tester règles Suricata

Pour tester si Suricata a détecté le trafic, vous devez vérifier le fichier journal

Figure 24: Commande pour voir le log suricata

4. Visualiser les logs de Suricata dans Wazuh

Pour transmettre les logs de Suricata, assurez-vous d'avoir un agent Wazuh installé sur le
serveur où Suricata est déployé, ce que nous avons déjà fait. Ensuite, nous ajoutons la

32
Chapitre 4 : Déploiement de la solution et tests

configuration illustrée dans la figure 95 au fichier de configuration de l’agent Wazuh, situé à

/var/ossec/etc/[Link]. Cette configuration permet à l’agent Wazuh de lire le fichier de
logs Suricata

Figure 25: Configuration agent wazuh pour détecter les logs Suricata

Nous redémarrons ensuite l'agent Wazuh pour appliquer les modifications. Cette procédure
permet d'intégrer les logs de Suricata dans le système Wazuh

Après avoir redémarré l'agent Wazuh, les données d'alerte générées par Suricata dans le
fichier /var/log/suricata/[Link] seront automatiquement analysées par Wazuh. En
envoyant une requête ping depuis le serveur Wazuh vers l'adresse IP de l'ordinateur Ubuntu,
nous simulons une attaque. Les alertes correspondantes seront ensuite visualisées dans le
module "Événements de sécurité" du tableau de bord Wazuh en utilisant le filtre
[Link]:suricata.

La Figure 25 illustre la procédure pour filtrer les alertes liées aux journaux de Suricata.

33
Chapitre 4 : Déploiement de la solution et tests

Figure 26: Filtrer les alerts de suricata

Les Figure 27-28 illustre la visualisation des données d'alerte des journaux de Suricata dans
le tableau de bord Wazuh, notamment dans le module "Événements de sécurité", après
l'application des filtres.

Figure 27: Visualisation des alerts suricata

34
Chapitre 4 : Déploiement de la solution et tests

Figure 28: partie-2 visualisation des alerts Suricata

Conclusion :

Dans ce chapitre, nous avons exposé les environnements logiciels et matériels indispensables à la mise
en place de notre solution. Nous avons également élaboré une description détaillée de l'architecture de
notre environnement de travail, suivi de l'installation et de la configuration de la solution et des agents.
De plus, nous avons concrétisé la visualisation du système. Enfin, nous avons élaboré des scénarios
d'attaques pourévaluer le fonctionnement du système et observer les résultats obtenus avec Wazuh

35
 Conclusion
Ce rapport a présenté le fruit du travail effectué durant notre stage de professionelle, portant sur la mise en
œuvre d’une solution de supervision et de sécurité basée sur un système SIEM open source. À travers les
différentes étapes du projet, nous avons d’abord étudié le contexte de l’entreprise RIMATEL et les failles présentes
dans son système de supervision. Ensuite, nous avons proposé une architecture intégrant Wazuh et Suricata,
permettant une collecte centralisée des événements, une détection efficace des menaces, et une visualisation des
alertes en temps réel.
L’intégration de ces outils a permis d’améliorer significativement la sécurité du système d'information de
l’entreprise, en offrant des fonctionnalités de surveillance active, de corrélation d’événements et de réponse
rapide aux incidents. Les tests effectués ont montré l’efficacité de la solution mise en place, confirmant ainsi sa
pertinence dans un contexte professionnel réel.

Ce projet nous a permis de mettre en pratique nos connaissances théoriques, de développer nos compétences
techniques en sécurité informatique et en administration système, et de mieux comprendre les enjeux de la
cybersécurité en entreprise. Il constitue une base solide pour de futures améliorations et évolutions du système de
supervision au sein de RIMATEL.

36
Bibliographie

1. Zabbix Documentation – Zabbix SIA. [Link]

2. Wazuh Documentation – Wazuh Inc. [Link]

3. Suricata Documentation – Open Information Security Foundation (OISF). [Link]

4. Snort Users Manual – Cisco Systems Inc. [Link]

5. Zeek (Bro) Documentation – [Link]. [Link]

6. Messaoudi, F. (2020). Sécurité des systèmes d'information. Éditions ENI.

7. Stallings, W. (2021). Network Security Essentials: Applications and Standards. Pearson.

8. IBM Security – Introduction to SIEM. [Link]

9. SolarWinds. Network Performance Monitor Overview. [Link]

37