REPUBLIQUE DU BENIN

*****
MINISTERE DE L’ENSEIGNEMENT SUPERIEUR ET TECHNIQUE
*****
UNIVERSITE D’ABOMEY-CALAVI
*****
ECOLE POLYTECHNIQUE D’ABOMEY-CALAVI
******
GENIE INFORMATIQUE ET TELECOMMUNICATION
ème
(5 ANNEE)

Option : Réseaux et Informatiques et Internet

PROTOCOLE DE VALIDATION POUR MEMOIRE DE FIN DE
FORMATION
THEME

Implémentation d’un système open source de sécurité orchestration

automatisation et réponse pour renforcer la posture de sécurité des
entreprises

Réalisée et soutenue par :

ADAM-CHABI Ramziath Nonsou

Sous la Direction du

Directeur : Co-directeur :
Dr (MC) Théophile ABALLO, Dr Ing. Emery ASSOGBA,
Enseignant-Chercheur à Enseignant collaborateur à
l’EPAC/UAC l'EPAC-UAC

Année académique : 2023-2024

Sommaire
Mots clés ................................................................................................................................................. 3
INTRODUCTION ................................................................................................................................. 3
1. Contexte et Problématique ........................................................................................................... 3
2. Objectifs ......................................................................................................................................... 4
2.1. Objectif global : ..................................................................................................................... 4
2.2 Objectifs spécifiques : ........................................................................................................... 4
2.2.1 Analyser les limites des systèmes traditionnels de détection et de réponse aux incidents
......................................................................................................................................................... 4
2.2.2 Mettre en place un environnement de test SOAR ............................................................. 4
2.2.3 Automatiser la détection et la réponse aux incidents ........................................................ 4
2.2.4 Tester et évaluer l'efficacité du système SOAR ................................................................. 4
2.2.5 Formuler des recommandations pour améliorer la sécurité ............................................ 4
3. Hypothèse et Contribution du Travail : ...................................................................................... 4
3.1 Hypothèse :................................................................................................................................... 4
3.2 Contribution du Travail : ..................................................................................................... 4
3.2.1 Amélioration de la sécurité des réseaux d'entreprise ........................................................ 4
3.2.2 Analyse des limites des systèmes traditionnels................................................................... 5
3.2.3 Proposition d’une méthodologie SOAR.............................................................................. 5
3.2.4 Création d’un environnement de test fonctionnel ............................................................. 5
3.2.5 Recommandations pratiques pour les entreprises ............................................................. 5
4. Etat de l’art .................................................................................................................................... 5
5. Matériel et Méthode de travail ..................................................................................................... 6
5.1 Matériel physique ........................................................................................................................ 6
5.2 Matériel logiciel ........................................................................................................................... 6
5.2.1 Outils de gestion de la sécurité (Base du SOAR) ............................................................... 6
5.2.2 Outils d'attaque et de simulation (Test de la sécurité et simulation des menaces) ......... 6
5.2.3. Outils d'infrastructure et de virtualisation (Environnement de test et orchestration) . 7
6. Résultats attendus.......................................................................................................................... 7
Conclusion .............................................................................................................................................. 8
Références bibliographiques................................................................................................................. 9
Mots clés
Sécurité, SOAR, SIEM, attaques, playbooks, automatisation, détection, réponse

INTRODUCTION
1. Contexte et Problématique

Les réseaux informatiques sont aujourd’hui un pilier essentiel pour les entreprises, connectant
ordinateurs, périphériques et systèmes afin de faciliter les communications et les échanges de données
entre collaborateurs, clients et partenaires. Ces réseaux transportent des informations sensibles telles
que des données financières, des numéros de cartes bancaires ou encore des informations stratégiques
sur les fournisseurs et les stocks, qu’il est essentiel de protéger[1]. Une faille ou un incident peut
entraîner des pertes financières importantes, nuire à la réputation de l’entreprise et perturber
gravement ses opérations. Cependant, les réseaux d’entreprise sont confrontés à une menace
croissante. Les cyberattaques, telles que les ransomwares, le phishing ou encore les intrusions
avancées, exploitent des vulnérabilités complexes pour déjouer les systèmes de défense traditionnels.
Selon l’ONU, une cyberattaque est lancée toutes les 39 secondes quelque part dans le monde[2]. En
2021, 54 % des entreprises françaises ont été victimes d’une cyberattaque, et selon IBM, 77 % des
entreprises dans le monde ne disposent pas d’un plan de réponse aux incidents, certaines mettant plus
de six mois à détecter une violation[3]. Pendant ce temps, les attaquants peuvent voler des données,
exiger des rançons ou encore compromettre les systèmes, provoquant des impacts financiers et
opérationnels majeurs.
Ces menaces s’accompagnent de plusieurs défis. D’abord, la multiplication des cyberattaques
sophistiquées met à mal les systèmes de défense existants. Les pirates exploitent des vulnérabilités
zero-day ou recourent à des techniques d’ingénierie sociale pour contourner les mesures de sécurité.
Ensuite, la complexité croissante des environnements informatiques, qui intègrent des infrastructures
locales, cloud et hybrides, rend leur gestion et leur sécurisation de plus en plus difficiles, nécessitant
des compétences spécialisées et une coordination efficace. Enfin, les outils de sécurité traditionnels,
tels que les IDS/IPS et les pares-feux, produisent un volume élevé d'alertes, dont beaucoup restent non
prioritaires. Cela surcharge les équipes de sécurité, prolonge les délais de réponse et expose les
réseaux à des menaces persistantes.
Face à ces défis, des solutions innovantes comme le Security Orchestration, Automation, and
Response (SOAR) émergent comme une réponse adaptée et prometteuse. Ces systèmes centralisent les
outils de sécurité, automatisent les tâches répétitives et permettent une réponse rapide et coordonnée
aux incidents. Le SOAR offre une gestion plus cohérente grâce à l’orchestration, une réduction de la
charge de travail des analystes par l’automatisation, et des actions rapides via des playbooks prédéfinis
pour limiter les impacts des incidents[4]. Cependant, leur adoption reste complexe en raison des coûts
élevés et du caractère souvent propriétaire des solutions disponibles, ce qui limite leur accessibilité
pour les petites et moyennes entreprises.
Ces constats posent une question essentielle : comment concevoir et mettre en œuvre un système
SOAR open source capable de renforcer efficacement la sécurité d’un réseau d’entreprise tout
en restant accessible et adaptable ? Ce travail propose de répondre à cette problématique en
implémentant une système de SOAR open source qui permettra aux entreprises, aux organisations
quelles que soient leur taille et leurs ressources, de relever les défis croissants de la cybersécurité et de
protéger leurs réseaux de manière proactive et rentable.

2. Objectifs
2.1. Objectif global :
Concevoir et implémenter un système SOAR (Security Orchestration, Automation and Response) pour
renforcer la sécurité d'un réseau d'entreprise, en utilisant des outils open-source pour automatiser la
détection, la réponse aux incidents et l'orchestration des actions de sécurité.

2.2 Objectifs spécifiques :

2.2.1 Analyser les limites des systèmes traditionnels de détection et de réponse aux
incidents
Identifier les faiblesses des outils traditionnels (IDS/IPS, SIEM, pare-feu, etc.) face à la
complexité croissante des cybermenaces, et justifier l'importance des solutions SOAR pour une
gestion plus efficace des alertes et des incidents.

2.2.2 Mettre en place un environnement de test SOAR

Créer un laboratoire virtuel avec VMware et Docker, intégrant des outils comme Wazuh, TheHive et
Cortex pour orchestrer et automatiser les processus de sécurité.

2.2.3 Automatiser la détection et la réponse aux incidents

Implémenter des processus d’automatisation des alertes et des réponses via les playbooks de TheHive
et les actions automatisées dans Cortex.

2.2.4 Tester et évaluer l'efficacité du système SOAR

Simuler des attaques avec des outils comme Kali Linux et Caldera pour tester la réactivité et
l'efficacité du système SOAR dans la détection et la gestion des incidents.

2.2.5 Formuler des recommandations pour améliorer la sécurité

Analyser les résultats des tests et proposer des améliorations concrètes pour optimiser la sécurité
du réseau d'entreprise.

3. Hypothèse et Contribution du Travail :

3.1 Hypothèse :
L'implémentation d'un système SOAR (Security Orchestration, Automation and Response) dans un
réseau d'entreprise permettrait d'améliorer la gestion des incidents de sécurité en réduisant les délais de
détection (MTTD) et de réponse (MTTR). Elle permettrait aux équipes de sécurité d’accélérer et
d’automatiser la détection des menaces tout en orchestrant des flux de travail à travers plusieurs outils
pour un processus de réponse aux incidents plus rationalisé. Cette approche permettrait de surmonter
les limitations des systèmes traditionnels (SIEM, IDS/IPS), qui sont souvent trop lents et inefficaces
face aux attaques complexes.

3.2 Contribution du Travail :

3.2.1 Amélioration de la sécurité des réseaux d'entreprise
Ce travail propose une solution pratique pour renforcer la cybersécurité d'une entreprise grâce à
l'intégration d'un système SOAR qui automatise et coordonne la détection et la réponse aux
cyberattaques.
 3.2.2 Analyse des limites des systèmes traditionnels
L'étude des outils classiques de sécurité (SIEM, IDS/IPS) met en évidence leurs faiblesses face aux
menaces modernes, contribuant ainsi à justifier la nécessité d'une solution SOAR pour une gestion
plus agile et réactive des incidents.

3.2.3 Proposition d’une méthodologie SOAR

Ce travail offre une méthodologie concrète pour la mise en œuvre d’un système SOAR dans
une entreprise, couvrant la collecte d'informations, l'intégration des outils, la simulation des attaques,
et l'évaluation de la réponse aux incidents.

3.2.4 Création d’un environnement de test fonctionnel

La mise en place d’un laboratoire virtuel permet de tester les solutions SOAR dans un
environnement contrôlé, offrant ainsi une plateforme d'expérimentation réaliste pour les entreprises
avant le déploiement en production.

3.2.5 Recommandations pratiques pour les entreprises

Enfin, sur la base des résultats des simulations, des recommandations seront formulées pour
améliorer la posture de sécurité des entreprises et optimiser l’utilisation des outils SOAR dans la
gestion des cybermenaces.
En somme, ce travail fournit une approche complète et méthodique pour l'intégration d'un système
SOAR afin de renforcer la sécurité des réseaux d'entreprise, avec des recommandations pratiques pour
améliorer l'efficacité des équipes de sécurité face à des cyberattaques de plus en plus sophistiquées.

4. Etat de l’art
Cette section présente une synthèse des travaux liés à notre thematique. Plus particulièrement,
elle met l’accent sur les études ayant exploré l'application des solutions SOAR (Security
Orchestration, Automation, and Response) pour la gestion des incidents de sécurité dans divers
contextes.
De nombreux auteurs ont effectué des recherches sur l'intégration de SOAR dans des systèmes
complexes. Par exemple, Valentin Bogdanov et al [5]décrivent les principales architectures
fonctionnelles des systèmes SOAR, en mettant en évidence les défis liés au manque de personnel
qualifié et à l’intégration hétérogène des outils de sécurité. Ils expliquent également comment
l’utilisation de "playbooks" standardisés permet d’automatiser les réactions face aux incidents et
d’améliorer l’efficacité des réponses.
Par ailleurs, Vinodh Gunnam et [6]se penchent sur l’application des technologies SOAR dans
le secteur de la santé, où la sensibilité des données exige des solutions robustes et automatisées. Leur
travail illustre des cas d’usage spécifiques, comme l’identification proactive des menaces et la réponse
automatisée grâce à des intégrations avec des outils SIEM et des plateformes d’intelligence sur les
menaces.
Enfin, Sai Krishna Manohar Cheemakurthi et al[7]étudient l’utilisation des solutions SOAR
dans le cadre de la conformité au PCI DSS. Ils proposent une méthodologie pour intégrer ces
plateformes afin d’améliorer la vitesse et l’efficacité des réponses aux incidents. Leur étude s’appuie
sur des simulations concrètes, montrant comment les capacités d’orchestration et d’automatisation des
SOAR permettent de respecter les exigences réglementaires tout en optimisant les opérations de
sécurité.
 Ces travaux convergent vers une conclusion commune : les solutions SOAR représentent un
levier essentiel pour rationaliser les processus de gestion des incidents, réduire les temps de réponse, et
renforcer la posture de sécurité des organisations face à des menaces toujours plus sophistiquées.

5. Matériel et Méthode de travail

5.1 Matériel physique
• 01 ordinateur HP :
✓ 16 Go de RAM, processeur multicœur, stockage SSD 500 Go.
✓ Utilisé pour virtualiser l'environnement complet (serveurs, machines clientes)
• 01 ordinateur HP :
✓ 8 Go de RAM, processeur multicœur, stockage 1 To HDD.
✓ Servira de machine d’attaque pour simuler les cybermenaces via des outils comme
Kali Linux.

5.2 Matériel logiciel

5.2.1 Outils de gestion de la sécurité (Base du SOAR)
Ces outils sont au cœur de l'implémentation du SOAR. Ils assurent l’orchestration des tâches de
sécurité, l’automatisation des réponses, et la gestion des incidents.
5.2.1.1. Wazuh (Système de gestion des logs et détection des incidents)
Wazuh est un outil de gestion des logs, de détection des incidents et de surveillance en temps
réel. Il collecte les événements de sécurité provenant des agents installés sur les différents systèmes
(serveurs, machines virtuelles, etc.) et les envoie à un serveur central pour analyse.
5.2.1.2 TheHive (Gestion des incidents et des alertes)
TheHive est un outil de gestion des incidents de sécurité (SIEM). Il reçoit et centralise les
alertes de sécurité générées par Wazuh ou d'autres sources. coordination des réponses à ces incidents
via des playbooks prédéfinis, intégration avec des outils d’analyse pour traiter les incidents
efficacement.
5.2.1.3 Cortex (Automatisation de la réponse aux incidents)
Cortex est une plateforme d'automatisation de la réponse aux incidents. Elle est intégrée à
TheHive pour fournir des actions automatisées en réponse à des alertes et incidents..

5.2.2 Outils d'attaque et de simulation (Test de la sécurité et simulation des

menaces)
Ces outils sont utilisés pour simuler des attaques et tester la robustesse du système de sécurité
mis en place. Ils permettent de tester les capacités de détection et de réponse du système SOAR.
5.2.2.1. Kali Linux (Plateforme d'attaque)
Kali Linux est une distribution spécialisée dans les tests de pénétration et les attaques
informatiques. Il offre une large gamme d'outils pour effectuer des tests d'intrusion. Simuler des
cyberattaques réelles (phishing, attaques par injection, exploits de vulnérabilités, etc.) pour tester la
détection des menaces par les outils de sécurité (comme Wazuh).
 5.2.2.2. MITRE Caldera (Simulateur d'attaques avancées)
Caldera est un Framework d'attaque basé sur le modèle MITRE ATT&CK. Il permet de
simuler des attaques avancées et d'automatiser la manière dont les adversaires interagissent avec le
réseau.

5.2.3. Outils d'infrastructure et de virtualisation (Environnement de test et

orchestration)
Ces outils assurent la mise en place d'un environnement virtuel sécurisé et la gestion des
machines virtuelles et des conteneurs Docker.
5.2.3.1. VMware (Virtualisation des machines)
VMware est une solution de virtualisation qui permet de créer et gérer des machines virtuelles
(VM). Il est utilisé pour simuler un environnement réseau d'entreprise et tester les interactions entre les
différents composants du système de sécurité. Création d'un environnement réseau virtuel avec des
machines clientes, serveurs, et des systèmes d'exploitation (Windows Server, Windows 10) pour
simuler un réseau d'entreprise et effectuer des tests de sécurité.
5.2.3.2. Docker (Gestion des conteneurs)
Docker permet de créer et gérer des conteneurs, légers et portables, pour tester des
applications de sécurité ou simuler des services d'entreprise (par exemple, des services web ou des
bases de données). Créer des environnements de test isolés pour des outils ou des applications
spécifiques tout en facilitant leur gestion et leur déploiement

6. Résultats attendus
Identification des faiblesses des systèmes traditionnels : Identification des lacunes des outils de
sécurité existants dans la gestion des incidents, en particulier face à des cybermenaces complexes.
Mise en place d’un environnement SOAR fonctionnel : Un laboratoire virtuel opérationnel
intégrant les outils Wazuh, TheHive, Cortex pour tester la détection et la réponse aux attaques.
Simulation d'attaques et évaluation du système SOAR : Des simulations d'attaques efficaces, et une
évaluation de la réactivité et de l'efficacité du système SOAR pour traiter et répondre aux incidents de
sécurité.
Analyse des résultats et identification des améliorations possibles : Une analyse approfondie des
performances du système, avec des propositions d’ajustements et d’améliorations pour optimiser la
gestion de la sécurité du réseau.
Recommandations pratiques pour la cybersécurité des entreprises : Des recommandations claires
sur l'implémentation de solutions SOAR, et des stratégies pour améliorer la posture de sécurité des
réseaux d'entreprise.
Conclusion
 Références bibliographiques
[1] « Sécurité réseau en entreprise - 5 conseils pour une sécurité optimale », ArcanSecurity.
Consulté le : 27 novembre 2024. [En ligne]. Disponible sur : https://arcansecurity.com/securiser-
reseau-entreprise/
[2] R. Charbonnier, « Types d’attaques cyber et catégorie d’attaque informatique ». Consulté le : 1
décembre 2024. [En ligne]. Disponible sur : https://guardia.school/boite-a-outils/panorama-des-
attaques-cyber.html
[3] « Qu’est-ce que la cybersécurité et pourquoi est-elle nécessaire | OneLogin ». Consulté le : 1
décembre 2024. [En ligne]. Disponible sur : https://www.google.com/
[4] « Logsign_SOAR_Datasheet_c8d8ead215.pdf ». Consulté le : 1 décembre 2024. [En ligne].
Disponible sur : https://www.logsign.com/uploads/Logsign_SOAR_Datasheet_c8d8ead215.pdf
[5] V. Bogdanov, N. Domukhovsky, et S. M, « (PDF) SOAR : AUTOMATING INFORMATION
SECURITY INCIDENTS », ResearchGate, Consulté le : 1 décembre 2024. [En ligne]. Disponible sur
:
https://www.researchgate.net/publication/352399372_SOAR_AUTOMATING_INFORMATION_SEC
URITY_INCIDENTS
[6] N. Kilaru, S. K. M. Kilaru, Naresh, Sai Krishna Manohar Cheemakurthi, et Vinodh Gunnam.
« Enhancing Healthcare Security : Proactive Threat Hunting And Incident Management Utilizing Siem
And Soar », s. d., et V. Gunnam, « Enhancing Healthcare Security : Proactive Threat Hunting And
Incident Management Utilizing Siem And Soar ».
[7] N. Kilaru, S. K. M. Cheemakurthi, et V. Gunnam, « SOAR Solutions in PCI Compliance :
Orchestrating Incident Response for Regulatory Security », vol. 1 Issue 2, p. 78‑84, déc. 2021, doi:
10.56472/25832646/JETA-V1I2P111.