*

RAPPORT DE STAGE A NEXT’IN SOLUTION

ETUDE ET DEPLOIEMENT D’UN SIEM

POUR RENFORCER LA SECURITE D’UN
RAPPORT DE
SYSTEME D’INFORMATION

STAGE

Rédigé et présenté par : SIMOU NGHUEU-SI Uziel, étudiant en 4ème année

Cycle Ingénieur Informatique, Institut Ucac-Icam

Année scolaire 2022/2023

Encadreur Professionnel Encadreur Académique

M. William FOFIE M. Ewolo Igor
Responsable du Système d’information Tuteur IT Ucac - Icam

i
RAPPORT DE STAGE A NEXT’IN SOLUTION

ii
RAPPORT DE STAGE A NEXT’IN SOLUTION

FICHE DE CONFIDENTIALITE

FICHE DE CONFIDENTIALITE DES RAPPORTS ET DES MEMOIRES

CE DOCUMENT DOIT ETRE COMPLETE POUR TOUT RAPPORT OU MEMOIRE DIFFUSE
A L’ECOLE ET CONTENANT DES INFORMATIONS SUR L’ENTREPRISE D’ACCUEIL

Titre du rapport ou du mémoire : Etude et déploiement d’un SIEM pour renforcer la

sécurité d’un SI
Année et dominante formation : Promotion X2024
Nom et prénom de l’étudiant : SIMOU NGHUEU-SI Uziel
Nom du maître de stage : William FOFIE
Structure d’accueil : Next’IN Solution
Confidentialité du rapport ou du mémoire (soutenance)
(Cocher la case correspondante)

X Diffusion libre
Les rapports / mémoires sont conservés en archives et ils peuvent être librement consultés. Ils
peuvent être utilisés par les destinataires, les études peuvent faire l’objet de publication …

Diffusion restreinte
Les rapports / mémoires sont ramassés à la fin de la soutenance et rendus à l’entreprise.
Aucune reproduction n’est alors autorisée. La responsabilité de cette opération est confiée au
stagiaire.

Dans le cadre de la politique de lutte contre le PLAGIAT, les rapports / mémoires seront susceptibles
d’être analysés pour en vérifier les sources et ceci quel que soit le mode de diffusion prévu ci-dessus.

Date : 20/10/2023 Date : 20/10/2023 Date : 20/10/2023

L’entreprise Le stagiaire L’école

iii
RAPPORT DE STAGE A NEXT’IN SOLUTION

REMERCIEMENTS

A l’issu de ce travail, nous aimerons exprimer notre reconnaissance et nos sincères

remerciements à tous ceux qui ont apporté leurs soutiens, plus particulièrement à :

 Monsieur BASSO, directeur général de Next’IN pour ses conseils

 Monsieur TANKOUA Narcisse, co-directeur, d’avoir accepté de me prendre en stage
au sein de l’entreprise ;
 Monsieur William FOFIE, mon tuteur de stage, Responsable du Système
d’Information, pour toutes informations qu’il a apporté, pour les conseils qu’il nous a
donné, pour son suivi, sa patience et son intérêt porté sur le travail que j’ai réalisé ;
 Messieurs Benjamin LIGA et Fritz OKALA pour avoir répondu posément à plusieurs
de nos questions techniques concernant la façade et nous avoir aidé dans la réalisation
de notre mission ;
 Monsieur EWOLO Igor notre tuteur académique, pour son dévouement quotidien pour
notre formation ;
 Tous les membres du personnel de Next’IN Solution pour leur accueil chaleureux,
gentillesse, leur patience et leur bonne humeur générale. J’ai eu un grand plaisir à
travailler au sein de l’entreprise et cette expérience m’a été très favorable et surtout
agréable.
 Ma grande sœur Yvette BENGONO et son époux Pierre BENGONO qui m’ont
hébergé et nourri chez eux durant la période de stage.
 Mes parents SIMOU KAMSU Patrick et Rose SIMOU pour la confiance, le soutien, et
les sacrifices abattues pour le bon déroulement de mes études ;
 A mes frères et sœurs ;
 A tous mes camarades de classe de la promotion EXARS 2024 pour leur immense
soutien.
Qu’il me soit permis de remercier également toutes personnes qui ont contribué de
près ou de loin à l’élaboration de ce modeste travail.

iv
RAPPORT DE STAGE A NEXT’IN SOLUTION

TABLE DES MATIERES

FICHE DE CONFIDENTIALITE-------------------------------------------------------------------------------- ii
REMERCIEMENTS---------------------------------------------------------------------------------------------- iii
GLOSSAIRE------------------------------------------------------------------------------------------------------- vi
TABLE DES FIGURES------------------------------------------------------------------------------------------ vii
TABLE DES TABLEAUX------------------------------------------------------------------------------------- viii
RESUME------------------------------------------------------------------------------------------------------------ ix
ABSTRACT--------------------------------------------------------------------------------------------------------- x
INTRODUCTION-------------------------------------------------------------------------------------------------- 1
1 PRESENTATION DE L’ENTREPRISE------------------------------------------------------------------ 2
1.1 Présentation de l’ENTREPRISE---------------------------------------------------------------------- 2
1.2 Les Missions Et Valeurs------------------------------------------------------------------------------- 2
1.3 Structure Organisationnelle---------------------------------------------------------------------------- 3
1.4 Domaines D’activités----------------------------------------------------------------------------------- 4
1.5 Les partenaires------------------------------------------------------------------------------------------- 5
1.6 Plan De Localisation------------------------------------------------------------------------------------ 5
2 PRESENTATION DU PROJET---------------------------------------------------------------------------- 7
2.1 Contexte Et Problématique---------------------------------------------------------------------------- 7t
2.2 Définition------------------------------------------------------------------------------------------------ 7
2.3 Objectifs-------------------------------------------------------------------------------------------------- 7
2.4 Les Enjeux----------------------------------------------------------------------------------------------- 7
2.5 Les Contraintes D’implémentations------------------------------------------------------------------ 8
3 ANALYSE ET SOLUTION--------------------------------------------------------------------------------- 9
3.1 Etude De L’existant------------------------------------------------------------------------------------- 9
3.1.1 Description de l’existant------------------------------------------------------------------------- 9
3.1.2 Critique de l’existant------------------------------------------------------------------------------ 9
3.2 Etude Du Besoin---------------------------------------------------------------------------------------- 9
3.2.1 Diagramme de bête à cornes--------------------------------------------------------------------- 9
4 ORGANISATION DU PROJET-------------------------------------------------------------------------- 10
4.1 Planning Des Travaux--------------------------------------------------------------------------------- 10
5 ETUDE DU SUJET----------------------------------------------------------------------------------------- 12
5.1 Concept de base du siem------------------------------------------------------------------------------ 12
5.1.1 Historique----------------------------------------------------------------------------------------- 12
5.2 Principe de fonctionnement---------------------------------------------------------------------------- 12
5.2.1 La collecte et l’agrégation des logs----------------------------------------------------------------- 13
a. Avec Syslog-------------------------------------------------------------------------------------------- 13

v
RAPPORT DE STAGE A NEXT’IN SOLUTION

b. Par un agent installé sur l’appareil------------------------------------------------------------------ 13

c. Par Event Streaming (Diffusion d’évènements)---------------------------------------------------14
d. Par accès direct---------------------------------------------------------------------------------------- 14
5.2.2 La normalisation des logs---------------------------------------------------------------------------- 14
5.2.3 La corrélation des logs------------------------------------------------------------------------------- 15
5.3 étude comparative et choix de la solution---------------------------------------------------------------17
5.3.1 comparatif------------------------------------------------------------------------------------------------ 17
5.3.1 choix de la solution-------------------------------------------------------------------------------------- 18
6 SOLUTION ET RESULTATS---------------------------------------------------------------------------- 19
6.1 Architecture Proposée--------------------------------------------------------------------------------- 19
6.2 Configurations----------------------------------------------------------------------------------------- 23
6.3 résultats------------------------------------------------------------------------------------------------- 24
BILAN-------------------------------------------------------------------------------------------------------------- 26
CONCLUSION---------------------------------------------------------------------------------------------------- 27
BIBLIOGRAPHIE------------------------------------------------------------------------------------------------ 28

vi
RAPPORT DE STAGE A NEXT’IN SOLUTION

GLOSSAIRE

SIGLE SIGNIFICATION
SIEM Securiy Information and Event Management
SI Système information
SOC Security Operation Center
Dashboard Interface de control récapitulatif qui
présente l’état global d’un système
Nmap Outil de scanning de port et de
reconnaissance réseau utilisé en
cybersécurité
ZTNA Zero Trust Network Access
Tableau 1 : Sigles et Significations

vii
RAPPORT DE STAGE A NEXT’IN SOLUTION

TABLE DES FIGURES

Figure 1: Organigramme de Next’IN solution------------------------------------------------------------------ 3

Figure 2: Les partenaires de Next’IN Solutions----------------------------------------------------------------- 6
Figure 3 : Plan de localisation de Next’IN Solution------------------------------------------------------------6
Figure 4 : diagramme de bête à corne------------------------------------------------------------------------- 7
Figure 5 : Evolution du SIEM----------------------------------------------------------------------------------- 12
Figure 6 : Schématisation du processus de normalisation de logs-------------------------------------------15
Figure 7 : Récapitulatif du principe de collecte et traitement des logs-------------------------------------16
Figure 8 : Comparatifs des SIEM sur le marché (Gartner Magic Quadrant)-------------------------------17

viii
RAPPORT DE STAGE A NEXT’IN SOLUTION

TABLE DES TABLEAUX

Tableau 1 : Sigles et Significations------------------------------------------------------------------------------ vi

Tableau 2 : Fiche de présentation de l’entreprise--------------------------------------------------------------- 2
Tableau 3 : Planning prévionnel--------------------------------------------------------------------------------- 10
Tableau 4 : Planning réel----------------------------------------------------------------------------------------- 11
Tableau 5 : Tableau sur les différents types de log-------------------------------------------------------------
13

Tableau 6 : Tableau comparatif des différents SIEM sur le marché------------------------------------------

18

ix
RAPPORT DE STAGE A NEXT’IN SOLUTION

RESUME

La quatrième année académique de la formation informatique au sein d’UCAC –

ICAM débute par un stage de quatre mois dans une entreprise. L’objectif ici est de réaliser un
projet d’entreprise qui fera l’objet d’une soutenance auprès de professionnels et spécialistes
du domaine. A cet effet, j’ai été accueillis au sein de la société Next’IN Solution pour une
durée de 4 mois allant du 03 octobre 2022 au 20 Janvier 2023. Période durant laquelle il m’a
été assigné un projet d’étude et de déploiement d’un SIEM.
Ma mission principale lors de ce stage était premièrement de comprendre ce que c’est
que les SIEM, ensuite d’étudier les différentes solutions de SIEM que l’on retrouve sur le
marché et enfin choisir et déployer la solution de SIEM la plus adéquate pour le contexte de
mon stage et de l’entreprise. Le présent travail est donc un récapitulatif de toutes les
recherches effectuées et une documentation du travail accompli.

x
RAPPORT DE STAGE A NEXT’IN SOLUTION

ABSTRACT

The fourth academic year of the UCAC - ICAM computer science program begins with a
four-month internship in a company. The objective here is to carry out a company project
which will be the subject of a presentation to professionals and specialists in the field. For this
purpose, I was welcomed in the company Next’IN Solution for a period of 4 months from
October 03, 2022 to January 20, 2023. During this period, I was assigned a project of study
and deployment of a SIEM.
My main mission during this internship was first to understand what is the SIEM, then to
study the different solutions of SIEM that we find on the market and finally choose and
deploy a system of performance analysis of students enrolled in training a solution of SIEM.
The present work is therefore a summary of all the research done and a documentation of the
work accomplished.

xi
RAPPORT DE STAGE A NEXT’IN SOLUTION

INTRODUCTION

La sécurité des données devient de plus en plus importante dans ce monde de plus
en plus numérique et dont le d’évolutivité croit de manière exponentielle.
Aujourd'hui, l'information est omniprésente, la difficulté n'est plus seulement de la
collecter, mais de la rendre disponible sous la bonne forme, au bon moment et au bon
endroit, où elle sera exploitée pour en tirer une valeur ajoutée. Dans un système
d’information d’aujourd’hui, de différents équipements sont utilisés pour assurer
l’interconnexion des équipements et la disponibilité de l’information : des switches, des
routeurs, pare-feu, serveurs, etc… Surveiller la sécurité de tout le système d’information
en consultant les informations de ces appareils un par un peut rapidement s’avérer
fastidieux, voire inefficace du fait de la multitude d’événements qui se crée sur chaque
équipement chaque seconde.

Next’IN Solution n'est pas indifférente à cette problématique. C'est dans cette
optique que j’ai été sollicité lors de mon stage pour mettre en place cette solution de
management sécurité dans un SI. L'objectif d'un tel projet est de maitriser une nouvelle
technologie utile en vue d’être déployée dans des entreprise clientes.

La problématique qui m’a été proposé durant toute cette période de stage était de
mettre en place un système de gestion des incidents et des événements de sécurité capable
non seulement d’être au courant de tous les journaux de tous les équipements de sécurité
présents dans son système d’information, mais aussi d’être capable de faire de la
corrélation afin de pouvoir comprendre ce qui s’est passé à un moment donné ou un
intervalle de temps précis. Une solution de management sécurité placée au sommet de
l’architecture réseau qui assure la bonne surveillance de tous les périphériques,
intermédiaires et finaux.

Ce document détaillera donc les travaux effectués tout au long de la réalisation de

ce projet. Cela dit, le travail est divisé en six chapitres structurés comme suit : Dans le
premier chapitre, l'entreprise d'accueil où j’ai effectué mon stage sera présentée. Le
deuxième chapitre donnera une meilleure vision du sujet traité. Le troisième chapitre se
concentrera sur l'analyse et la présentation des solutions envisagées pour répondre à notre
problématique. Le quatrième chapitre présentera l'organisation du projet. Dans le chapitre
suivant, nous développerons sur la conception de notre travail ; et enfin nous verrons le
résultat de celui-ci dans le dernier chapitre (détection des attaques, avec un aperçu du
Dashboard final).

1
RAPPORT DE STAGE A NEXT’IN SOLUTION

1 PRESENTATION DE L’ENTREPRISE

1.1 PRÉSENTATION DE L’ENTREPRISE

Next ’In Solution est une société à responsabilité limite (SARL) qui compte un
effectif de 11 salariés. Crées-en Novembre 2018, C’est une entreprise spécialisée dans
l’intégration des solutions informatiques. Leur mission est d’accompagner leurs clients
pami lesquels des sociétés de télécommunications, les banques, les Assurances, les
Administrations publiques, les collectivités locales, les ONG etc. … en leur proposant
des solutions personnalisées et de services répondants à leurs besoins c’est donc leur
capacite à conduire des projets d’envergure dans les environnements aussi critiques que
complexes qui leur positionne aujourd’hui comme acteur majeur du marché africain de
l’intégration.

Raison Sociale NEXT’IN SOLUTION

Logo

Forme juridique SARL

Siège social Rue 2639 Boulevard de la république
Quartier Bessengue (en face de Total Bessengue)
Directeur général M. BASOH Armand
Capital 11.000.000 FCFA
Site web www.Next’INsolution.com
E-mail contact@Next’INsolution.com
Téléphone (+237) 242 97 47 24 /242 01 27 00
Secteur d'activité Intégrateur de solutions informatique
Boite postale 4815 Douala-Bonanjo

Tableau 2: Fiche de présentation de l’entreprise

1.2 LES MISSIONS ET VALEURS

Depuis sa création, Next ‘In Solution s’appuie sur quatre valeurs. Celles-ci résument
parfaitement notre esprit, notre philosophie et nos méthodes de travail au quotidien.

❖ Nos collaborateurs
Leur engagement et leur expertise sont nos atouts les plus importants pour aider nos
clients à atteindre leurs objectifs.

❖ L’innovation

2
RAPPORT DE STAGE A NEXT’IN SOLUTION

Une approche innovante et des solutions en constante évolution nous permettent de nous
différencier en permanence

❖ La qualité
Principal argument pour anticiper les besoins des clients et réduire leurs couts
opérationnels globaux.

❖ La technologie
Nous la maitrisons et pouvons en tirer le meilleur.
La réputation de nos experts n’est que le reflet de la politique qualité qu’ils se sont
toujours imposes. En choisissant Next’In Solution, vous optez pour la garantie d’un
partenariat performant, innovant et dynamique.

1.3 STRUCTURE ORGANISATIONNELLE

3
RAPPORT DE STAGE A NEXT’IN SOLUTION

Figure 1: Organigramme de Next’IN Solution

1.4 DOMAINES D’ACTIVITÉS

Next ’In Solution est une entreprise qui regroupe plusieurs experts dans le domaine de
L’informatique en Afrique Centrale. Ces derniers ont pour but de mettre leur expertise au
service des opérateurs de télécommunications, des banques, des grandes industries et les
PMEs. 15 années d’expertise durant lesquelles nos (Les experts de NEXT’IN) compétences
et notre savoir-faire se sont enrichis et développés dans un but ultime : Satisfaire nos clients
au travers de solutions fiables et approuvées. Next ’In Solution propose des solutions
complètes, uniques, hautement personnalisées capable de répondre aux besoins les plus
complexes et de satisfaire les clients les plus exigeants. Parmi les types de solutions qu’ils
proposent nous avons :

✓ ADMINISTRATION SYSTÈME
▪ Windows server
▪ Linux Redhat
▪ Oracle (SUN)

✓ SOLUTIONS INFRASTRUCTURES ET RESEAUX

▪ Solutions de virtualisation, de haute disponibilité (clustering), de réplication, de
Déduplication, de sauvegarde, de stockage, de plan de reprises d’activités, d’IT
Management, Matériel (Serveurs, Baie).
▪ Solution de Switching Cisco (Nexus et Catalyst)

✓ SYSTEMES D’INFORMATION
▪ Solutions d’Audit de solution Windows, de monitoring.
▪ Gestion des Logs, Gestion des Identités, contrôle d’accès
▪ Mise en place des Tableaux bords IT
▪ Mise en place de Plan Reprise d’Activité après sinistre

4
RAPPORT DE STAGE A NEXT’IN SOLUTION

✓ SERVICES ASSOCIES
▪ Maintenance avec support 24h/24 -7j/7
▪ Assistance
▪ Déploiement des solutions informatiques
▪ Transfert de compétences et formation

✓ FORMATEURS CERTIFIES
▪ OS (Operating System)
o Microsoft Windows, Unix, Linux
▪ Virtualisation
o VMware vSphere 6, Windows 2012 et 2016 servers,

1.5 LES PARTENAIRES

Figure 2 : Les partenaires de Next’IN Solutions

1.6 PLAN DE LOCALISATION

Le siège social de Next’IN Solution est situé à Bessengue, en face de Total Bessengue.

Figure 3 : Plan de localisation de Next’IN Solutions

5
RAPPORT DE STAGE A NEXT’IN SOLUTION

2 PRESENTATION DU PROJET

2.1 CONTEXTE ET PROBLÉMATIQUE

Next’IN solution est un intégrateur de solutions. C’est-à-dire une entreprise de

professionnels de la sécurité informatique capable de déterminer les principaux besoins d'une
entreprise et de lui proposer les outils les plus adaptés pour faire face aux cybermenaces qui
peuvent viser son système informatique. Les entreprises disposent de plusieurs solutions de
sécurité ayant pour principale mission de protéger un segment de leur réseau :

o Périmètre (Internet, Ferme de serveurs, DMZ)

- Parefeu de nouvelle génération
- Application web Firewall
- Anti-Spam

o Utilisateurs
- Antivirus
- EDR
- ZTNA
- Proxy
Le plus souvent toutes ces solutions appartiennent a des constructeurs différents ce qui
rend le système d’information du client hétérogène ce qui contribue a une manque de
communication entre les différentes solutions de sécurité ce qui peut s’avérer être une
grosse faille en cas de menace.

La situation ainsi présentée nous nous posons un ensemble de questions qui nous
permet ici de dégager la problématique : Qu’est-ce qu’un SIEM et comment le déployer
dans un système d’information pour renforcer sa sécurité ?

2.2 DÉFINITION

SIEM signifie Security Information and Event Management. C’est un logiciel de

management de sécurité de haut niveau, étant la fusion entre deux précédentes solutions
distinctes : le SIM (gestion des informations de sécurité) et le SEM (gestion des événements
de sécurité). C’est un puissant logiciel qui collecte les logs de tous les appareils du système
d’information pour permettre et assurer sa surveillance et augmenter sa sécurité. Grace aux
logs qu’il collecte et traite, il est capable de savoir ce que se passe en temps réel et a
n’importe quel moment dans le SI, ce qui fait de lui un outil efficace dans les détections
d’attaques et les investigations après incident de sécurité.

6
RAPPORT DE STAGE A NEXT’IN SOLUTION

2.3 OBJECTIFS

L'objectif principal de la solution SIEM est de venir en aide aux administrateurs et

ingénieurs de la sécurité des SI, et aussi des ingénieurs travaillant dans des SOC. Voici les
différents objectifs qu’un SIEM peut atteindre une fois déployé :

 La collection de logs
 L’analyse de logs
 Monitoring
 L’alerte en temps-réel
 Agrégation de log
 Log forensic
 La corrélation de logs

2.4 LES ENJEUX

Pour ce projet comme enjeux nous avons relevé :

 Renforcement de la visibilité de la sécurité du SI

 Possibilité pour l’entreprise de commercialiser une nouvelle solution de sécurité
 Possibilité de savoir ce qui s’est passé en cas d’attaque grâce au log forensic

2.5 LES CONTRAINTES D’IMPLÉMENTATIONS

Afin de réaliser notre projet, nous avons besoins de connaissances en :

▪ Des connaissances de base en systèmes et réseau

▪ Virtualisation (de type 1 et/ou 2)
▪ Equipements réseau
▪ Des notions sur les logs

7
RAPPORT DE STAGE A NEXT’IN SOLUTION

3 ANALYSE ET SOLUTION

3.1 ETUDE DE L’EXISTANT

3.1.1 Description de l’existant

Les SIEM sont retrouvés dans les systèmes d’informations très organisés et contribuent au
renforcement de la sécurité des SI grâce à ses nombreux atouts.

3.1.2 Critique de l’existant

Jusqu’à présent la plupart des responsables des systèmes d’informations ou des responsables
de la sécurité des systèmes d’informations ne disposent pas de solution de management des
évènements et des incidents de sécurité de haut niveau capables de travailler comme les
SIEM. Ils se contentent de surveiller chaque équipement sur son Dashboard et se fient à leur
expérience pour prendre des décisions.
La solution proposée est la mise en place d’un SIEM qui présente les solutions suivantes :

 Le monitoring sécurité de tous les équipements sécurité et des PC finaux du SI

 La possibilité d’enquêter en cas d’incidents ou de menaces sécurité
 La sécurité du SI renforcée
 La diminution de la charge de travail des RSSI et DSI.

3.2 ETUDE DU BESOIN

3.2.1 Diagramme de bête à cornes

Avant de commencer la conception, les besoins du projet doivent être identifiés et formalisés.
Cette phase est essentielle pour fixer l'orientation des travaux à effectuer. Pour simplifier cette
tâche, il existe des outils pratiques pour rendre vos exigences plus explicites : bête à cornes.

8
RAPPORT DE STAGE A NEXT’IN SOLUTION

A qui rend-il Sur quoi agit-il ?

service ?
Next’IN Sur un système
Solution d’information

S.I.E.M

Dans quel but ?

Renforcer la sécurité d’un système

d’information.

Figure 4 : diagramme de bête à corne

9
RAPPORT DE STAGE A NEXT’IN SOLUTION

4 ORGANISATION DU PROJET

4.1 PLANNING DES TRAVAUX

La planification du projet est une phase importante de l'avant-projet. Elle consiste à

prévoir l'avancement du projet tout au long des phases constituant l’étude et le déploiement de
la solution. Le projet a été découpé en 4 phases :
 Analyse du sujet
 Etude et analyse des solutions de SIEM
 Phase de déploiement
 Phase de configuration
Sur une période de 4 mois (du 03 octobre 2022 au 20 janvier 2023) j’ai planifié les
tâches du projet dans le temps, puis dans un premier temps j’ai sorti un planning prévisionnel
soumis à certaines contraintes. J’ai commencé par ledit planning pour arriver au planning réel.

Tableau 1 : Planning Prévisionnel

10
RAPPORT DE STAGE A NEXT’IN SOLUTION

Tableau 2 : Planning Réel

Le principal écart que j’ai rencontré c’était au niveau de l’étude des différentes solutions de
SIEM. Je me suis rendu compte en pratique et dans les travaux qu’il serait plus judicieux de
commencer cette tâche au plutôt, pour me permettre de commencer le déploiement a la date
prévue.

11
RAPPORT DE STAGE A NEXT’IN SOLUTION

5 ETUDE DU SUJET

5.1 CONCEPT DE BASE DU SIEM

5.1.1 Historique
Avant les SIEM, on utilisait le SIM (gestion des informations de sécurité) et le
SEM (gestion des événements de sécurité). C’était deux solutions qui s’utilisaient de
manière séparée. Après évolution, ces deux solutions ont fusionné pour donner ce qu’on
appelle SIEM aujourd’hui.

Figure 5 : Evolution du SIEM

5.2 Principe de fonctionnement

Pour qu’un SIEM soit correctement fonctionnel, il doit être capable de collecter
les logs venant de tous les équipements réseau et ordinateurs finaux que l’administrateur
veut surveiller. Pour ce faire, chaque équipement doit au préalable être connecté à lui via
diverses méthodes (que nous aborderons par la suite) pour pouvoir lui remonter ses
propres logs. Les logs collectés sont ensuite agrégés, puis normalisés et enfin stockés
dans la base de données du SIEM pour une exploitation immédiate ou ultérieure. Un
système d’information produit des milliers de logs par minute donc un travail de tri est
effectué en background au sein du SIEM pour ne remonter que les alertes ou les
événements de sécurité les plus pertinents. Dans la plupart des cas, pour qu’un évènement
de sécurité soit remonté, le SIEM fait un travail de corrélation de logs pour en ressortir
une activité plus ou moins suspecte qui s’est passé au sein du SI.
Le principe de fonctionnement de base des SIEM repose principalement sur la collecte,
l’agrégation, la normalisation et la corrélation de logs. C’est différentes notions seront
expliquées dans cette partie étude.

12
RAPPORT DE STAGE A NEXT’IN SOLUTION

Puis, au niveau du SIEM, ces logs sont soumises a ce qu’on appelle les données contextuelles.
Ce sont informations de configurations tels que des informations de périphériques, des
utilisateurs, des paramètres de scans mais principalement de règles, qui définissent comment
les logs seront traitées ou alors comment les logs venant d’un type d’appareils précis seront
traités.

5.2.1 La collecte et l’agrégation des logs

Les logs, encore appelés journaux en français sont des fichiers qui permettent de stocker un
historique des événements survenus sur un serveur, un ordinateur ou une application. Les
informations contenues permettront ensuite de mieux comprendre les usages et résoudre les
erreurs. Dans ce tableau on voit les différents types de logs qu’on peut trouver dans un SI.

Tableau 5 : Tableau sur les différents types de logs

Le processus de collecte de log est la partie la plus importante lors du déploiement d’un SIEM
dans un environnement. Si la collecte de log n’est pas complète, le SIEM ne sera pas au
courant de tout ce qui se passe dans le SI et laissera passer des événements de sécurité.
Lorsque les logs sont collectés ils sont ensuite agrégés. L’agrégation quant à elle est le
processus de rassemblement des logs en un seul endroit. Souvenez-vous, les logs viennent de
plusieurs sources au sein du SI, il devient donc très important de les rassembler au même
endroit avant de continuer leur traitement.
La collecte et l’agrégation des logs se passe par 4 grandes méthodes :

a. Avec Syslog
Syslog (System logging) est un protocole qui permet l’envoie des logs systèmes depuis un ou
plusieurs appareils pour les envoyer à un serveur spécifique, dans notre cas le SIEM. Syslog
est préinstallé dans plusieurs périphériques réseaux par défaut ce qui facilite la collecte au
sein de ce type d’équipement

13
RAPPORT DE STAGE A NEXT’IN SOLUTION

b. Par un agent installé sur l’appareil

Les SIEM utilisent des agents installés sur des machines du système afin qu’ils collectent et
agrège les logs pour les renvoyer. Ces agents sont des très petits logiciels propriétaires ou
open source. Ils sont généralement faits pour les machines qui ne supportent pas syslog
comme les PC Windows. Pratiques et légers, il suffit de cliquer sur un seul bouton pour
l’activer après leur installation.

c. Par Event Streaming (Diffusion d’évènements)

Event streaming protocols like SNMP, Netflow, or IPFIX permettent aux périphériques
réseaux de donner des informations standards à propos des opérations, qui seront interceptés
et analyses par le SIEM.

d. Par accès direct

Les SIEM peuvent directement accéder aux périphériques de système en utilisant une API ou
un protocole réseau pour avoir les logs, mais cela requiert une intégration personnalisée sur
chaque équipement.

5.2.2 La normalisation des logs

Lorsque les logs arrivent au sein du SIEM, ils sont écrits dans des formats différents, chacun
selon la nomenclature, la mise en forme et la mise en page de son fabricant. On se retrouve
donc avec un désordre initialement inexploitable pour le SIEM. Le processus de normalisation
intervient donc pour rendre tous les logs pareils et écrits de la même façon peu importe la
source et le formatage d’origine. Dès que les logs deviennent normalisés, ils sont stockés et
prêts être utilisés. La normalisation de logs se passe en 4 grandes étapes, détaillées a la page
suivante :
a. La vérification des détails
After the Syslog is accepted by the Log Normalizer, it checks the IP Address of the Syslog in
the Device Information Table. When the IP Address is found with a match in the table, the log
is parsed for normalization. However, if the IP Address is not found, the user is prompted and
asked to normalize first the device and its log.
b. La normalisation des dispositifs
When a device is not recognized in the Device Information Table, the user must supply the
necessary information in the fields of the table completely. Next, a normalizer class for the
device must be created under its device type. In order for the user to create a normalizer class
for the device, he should know how the Message field of the log is parsed and the
corresponding Message ID for all the possible messages and recommendations it can
generate. The user should also be familiar with object-oriented programming and the
Microsoft .NET framework.

14
RAPPORT DE STAGE A NEXT’IN SOLUTION

c. L’analyse des logs

When the device details are checked and there is already a normalizer class for the device, the
log can now be parsed according to how it is supposed to be parsed. For many of the
networked devices, there is no need for parsing since the message in the Message field is just
a phrase. However, in some strict, organized proprietary device manufacturing, the Message
field can be divided into five or more. It is just up to the user on how he programs the parsing
to be done.
d. La normalisation proprement dite
The log normalization takes place after the logs are parsed and placed in the given spaces and
fields in the List Normal Log Table. The parsed portions of the log are distributed in its
corresponding fields and with several conditional statements are used in determining the
impact and priority of a log.

Figure 6 : Schématisation du processus de normalisation de logs

5.2.3 La corrélation des logs

 Tout d’abord, corréler, c’est mettre en relation. Log correlation is about constructing rules
that look for sequences and patterns in log events that are not visible in the individual
log sources, making possible to discover security threats and malicious patterns of behaviors
that otherwise go unnoticed and can lead to compromise or data loss. Example: la phrase “Joe
Dobson logged into the time tracking system and updated five people’s account information”
could require a hundred log entries to demonstrate it happened. Comme dis plus haut, les logs
viennent de différents équipements au sein du SI. Il peut se trouver que pendant un laps de
temps donné, les logs venant de ces équipements décrivent le même événement de sécurité.
C’est le processus de corrélation qui interprète tout ça en un seul évènement parfois en une
seule ligne. Cette figure recapitule le processus de capture de logs dès la base jusqu’à leur
traitement.

15
RAPPORT DE STAGE A NEXT’IN SOLUTION

Figure 7 : Récapitulatif du principe de collecte et traitement des logs

16
RAPPORT DE STAGE A NEXT’IN SOLUTION

5.3 ÉTUDE COMPARATIVE ET CHOIX DE LA SOLUTION

5.3.1 COMPARATIF

Sur le marché des SIEM On en retrouve 2 types de SIEM : les SIEM open-source
généralement gratuits et plus ou moins légers et les SIEM payants sui offrent des
fonctionnalités beaucoup plus poussées. Une entreprise telle que Next’IN Solution ferait
comme elle le choix judicieux de se tourner vers les solutions payantes afin de maximiser la
protection de son système d’information.
 SIEM payants
Mon étude s’est basée sur le Quadrant Magique de Gartner. Gartner is an information
technology (IT) research and consultancy company, formerly known as Gartner Group. Leur
travail est mondialement reconnu et pris en compte dans les choix de technologies ou
solutions IT. Portant sur les SIEM, voici le résultat de la comparaison des différentes
solutions du marché en juin 2022.

Figure 8 : Comparatifs des SIEM sur le marché (Gartner Magic Quadrant)

17
RAPPORT DE STAGE A NEXT’IN SOLUTION

 SIEM open source

Pour commencer et prendre en main le concept de SIEM, j’ai été invité a débuter avec une
solution open source et gratuite. Je me suis donc lancé dans la recherche des meilleures
solutions open source. J’ai parcouru plusieurs sources et la solution Alienvault OSSIM
revenait toujours en tête de classement. Cette figure provient du site
https://www.dnsstuff.com/free-siem-tools et présente les solutions par ordre décroissante de
performance.

Tableau 6 : Comparatifs des SIEM open source sur le marché

5.3.1 CHOIX DE LA SOLUTION

Pour commencer j’ai naturellement choisi Alienvault OSSIM qui est la meilleure solution
open source que j’ai trouvé. En ce qui concerne la solution payante, mon choix s’est porté sur
FortiSIEM. J’ai choisi FortiSIEM parce que Next’in Solution est partenaire de Fortinet donc
ils vendent régulièrement leurs solutions. Acquérir une licence Fortinet sera aussi facilté en
vue de cette position. Deuxièmement, FortiSIEM est placé comme « Challenger » par Gartner
cela signifie qu’ils ont une bonne visibilité sur le marché et sont largement déployés.

18
RAPPORT DE STAGE A NEXT’IN SOLUTION

6 SOLUTION ET RESULTATS

6.1 ARCHITECTURE PROPOSÉE

J’ai utilisé VMware Workstation comme environnement couplé a GNS3 pour avoir une idée
de la structure réseau. L’architecture réseau de mon projet a été conçue comme suit : toutes
les machines virtuelles ont été connectée sur un même sous réseau, le vmnet2 pour qu’elle
puisse être détectées par le SIEM. Dans mon SI, j’ai installé 3 machines qui représente des
différents types de machines qu’on peut rencontrer dans un SI. Une machine Windows qui fait
office de la machine de l’administrateur, la machine kali linux est la machine qui fait des
attaques réseaux qui seront détectées par le SIEM Alienvault, et la machine Metasploitable
qui est une machine vulnérable. Cette dernière sera régulièrement attaquée par la machine
Kali.

o Prérequis :

SIEM Alienvault
- Processeurs logiques : 2
- RAM : 4GB
- Stockage : 40GB
Machines Windows, Kali Linux, Metasploitable:
- Processeurs logiques: 2
- RAM: 2GB
- Stockage 20GB
o Informations d’installation
L’installation de la machine Alienvault est identique à celle d’une machine basée sur Debian
vue qu’elle est basée dessus pareil pour l’installation de Kali linux. Concernant l’installation

19
RAPPORT DE STAGE A NEXT’IN SOLUTION

de Windows, elle est assez bien connue donc ne sera pas détaillée dans ce rapport. Quand a
l’installation de Metasploitable dans VMware, cela se fait juste par importation.
Après avoir fini l’installation initiale décrite plus haut, il suffit de taper dans la barre du
navigateur https://adrresse_ip_de_Alienvault puis de mettre les id de connexion

Ici Alienvault présente ses différentes cartes réseaux afin que vous spécifiiez laquelle sera
utilisée pour le Management ou pour la collection de log.

A cette étape, Alienvault découvre toutes les machines connectées en son sein avec le système
d’exploitation que chacun contient. Il peut arriver qu’une machine ne soit pas découverte.
Dans ce cas, vous pouvez faire in scan du réseau.

20
RAPPORT DE STAGE A NEXT’IN SOLUTION

Dans cette partie Alienvault vous permet de déployer un agent dans une machine Windows ou
linux.

Dans cette partie Alienvault vous propose de rejoindre sa grande communauté d’utilisateurs
constitués d’ingénieurs et de chercheurs en cybersécurité. Le but est de s’échanger les
connaissances concernant les cybermenaces en vue de renforcer la sécurité des SI. Cette étape
est facultative et es la dernière du processus d’initialisation.

21
RAPPORT DE STAGE A NEXT’IN SOLUTION

Vous serez dirigés vers cette page ou vous serez invité a entrer les informations de connexion.

Enfin le dashboard de Alienvault OSSIM, qui vous montre que vous avez terminé
l’initialisation.

22
RAPPORT DE STAGE A NEXT’IN SOLUTION

6.2 CONFIGURATIONS

o Ajout d’un agent sur un ordinateur

Pour ajouter un agent qui se chargera de collecter les logs sur un ordinateur il faut aller dans
la rubrique présentée ci haut, cliquer sur « add agent » puis sélectionnez le périphérique.
o Ajout d’une règle

C’est dans cette rubrique qu’on ajoute une règle. Cliquez sur « New Directive » pour créer
une nouvelle règle.

Ici on donne le nom de la règle.

23
RAPPORT DE STAGE A NEXT’IN SOLUTION

Puis on choisi le plugin de l’équipement et c’est ok. La plupart des SIEM de nouvelle
génération disposent de plugins qui permettent de prendre en charge les équipements de
sécurité les plus répandus sur le marché. Toutefois, il est possible d’importer un plugin tiers.

6.3 RÉSULTATS

o Détection des évènements de sécurité

Dans cette capture nous voyons la détection d’une attaque de reconnaissance par l’outil nmap
lancée par kali linux sur la machine Metasploitable.
24
RAPPORT DE STAGE A NEXT’IN SOLUTION

Le Dashboard ici nous montre un SIEM qui a détecté plusieurs événements en son sein. Les
résultats présentés ici sont bien sur non-exhaustifs, car il serait encombrant d’afficher tous les
résultats contenus dans le SIEM.

25
RAPPORT DE STAGE A NEXT’IN SOLUTION

BILAN

Le stage que nous avons effectué chez a Next’IN Solution m’a donné
l'opportunité d'être en contact avec le monde du travail et nous a mis au cœur d'un grand
challenge.
J’ai eu la chance de travailler sur une technologie qui m’était jusque-là inconnue
et j’en ressort de là avec de nouvelles compétences pratiques qui me seront utiles dans ma
carrière professionnelle.
D'autre part, ce stage m’a donné une excellente occasion de tester mes
compétences et ma capacité d'adaptation en un temps très court et de démontrer mon
savoir-faire. Cette expérience a été très enrichissante, elle m’a permis non seulement
d’appliquer les connaissances acquises au cours de formation, mais d’acquérir de
nouvelles connaissances sur un concept relativement récent et en cours d’évolution. Les
missions confiées m’ont appris à surmonter les défis, à être responsable et à être prêt à
apprendre et à maîtriser des nouveaux concepts efficacement.
Tous ces éléments ont aidé à rendre ce stage valorisant et encourageant pour des
insertions professionnelles futures. Ce fut une expérience instructive et complète. Etant
donné que je suis appelé à être ingénieur demain, ce stage a également été l'occasion pour
moi d'avoir un aperçu des différents métiers du domaine de l'informatique en prélude au
plan de formation individuel. J’espère que ce que j’ai réalisé sera admiré après mes
modestes efforts.

26
RAPPORT DE STAGE A NEXT’IN SOLUTION

CONCLUSION

Parvenus au terme de ce rendu, on peut retenir que mon stage dont le thème était
étude et déploiement d’un SIEM pour renforcer la sécurité d’un SI s'est déroulé sur une
période de 4 mois chez Next’in Solution.
Cet épisode m’a été très bénéfique car il m’a permis d'acquérir une expérience à la
fois théorique et pratique sur ce qui concerne le SIEM. Cependant, le déploiement d’un
SIEM et surtout sa configuration reste évolutive dans la mesure où le système
d’information est appelé à croitre, avec de nouveaux appareils et de nouveaux logs à
traiter par des règles. Une bonne tâche nécessite beaucoup plus de temps que celui qui
nous est imparti.
Bien que centré sur mon thème de stage, je dois aussi reconnaitre que j’ai appris
beaucoup de notions en parallèle au cours de ce stage. J’ai assisté a des installations de
solutions de sécurité chez des clients, j’ai configuré des switches physiques etc…grâce à
ces activités en parallèle je peux dire que j’ai vraiment gagné expérience durant ce stage.
Ce fut une belle expérience, je remercie une fois de plus tout le personnel de
Next’IN solution de m'avoir accueilli en son sein. Les nouvelles notions, conseils, et
moments partagés avec eux resterons a jamais gravés dans ma mémoire. Encore une fois,
merci.

27
RAPPORT DE STAGE A NEXT’IN SOLUTION

BIBLIOGRAPHIE

 Principe de fonctionnement, des SIEM

o https://cybersecurity.att.com/products/ossim
o https://openclassrooms.com/fr/courses/1750566-optimisez-la-securite-informatique-grace-au-
monitoring/7144273-decouvrez-le-fonctionnement-d-un-siem
o https://www.imsnetworks.com/ressources-et-actual/siem/
o https://www.n-able.com/blog/siem-logging-best-practices
o https://skillmapper.com/courses/science/other/security-analyst-siem-home-lab---alienvault-o-
udemy-7d9180d30d5ed
o https://www.youtube.com/watch?v=_Ig-48Z2wTE
o https://www.youtube.com/watch?v=jxJpBLddwRE&ab_channel=WissenXAkademie

 Etude comparative des SIEM

o https://www.youtube.com/watch?v=9_oruzmIxnI&ab_channel=WissenXAkademie
o https://www.exabeam.com/explainers/event-logging/events-and-logs/
o https://ateixei.medium.com/get-over-siem-event-normalization-595fc36559b4
o https://training.fortinet.com/mod/scorm/view.php?id=205663
o https://www.fortinet.com/solutions/gartner-magic-quadrant-siem

 Installation, déploiement et configurations

o https://training.fortinet.com/mod/scorm/view.php?id=205663
o https://www.fortinet.com/solutions/gartner-magic-quadrant-siem
o https://www.youtube.com/watch?v=qjaO1cNj2fo&ab_channel=AT
%26TCybersecurity
o https://cybersecurity.att.com/documentation/usm-appliance/ids-configuration/
deploying-alienvault-hids.htm
o https://www.youtube.com/watch?v=gIM3LKP2pj8
o https://www.youtube.com/watch?v=5tMjh2CvKjE

28