Mon alternance m’a mis un énorme pied à l’étrier pour la cybersécurité, que ça soit technique, managérial ou dans la gestion de crise.
J’ai pour ambition de progresser en forensic et en gestion de crise
Outils de cybersécurité (EDR/XDR/SIEM)
À force de faire de la résolution d’incident, j’ai appris à maitriser ces outils qui facilitent grandement les investigations.
Ce que vous voyez est ce que vous obtenez
J’ai commencé à apprendre des compétence forensic de bout en bout, de la récupération d'ordinateurs (qui peut être très procédurale), à la récupération des données, à l’analyse.
Gestion de crise
J’ai également commencé à assister à des crises cyber. En tant qu’alternant je reste a ma place mais j’observe comment mes collègues gèrent une crise car cette voie pourrait m’intéressé.
Mes réalisations
mise en place d'un honey poT ( projet étudiant)
Au cours de mes années d’études à l’ESIEA, l’école nous a poussés à faire beaucoup de projets étudiants dans le domaine de l’IT. J’ai beaucoup aimé et appris de ces projets techniquement, mais aussi au niveau d’autres compétences plus transverses comme la gestion d’équipe, le respect des deadlines, mais aussi le marketing et la réalisation de sites pour vendre et mettre en avant un projet, car à chaque fin de semestre il y avait un forum avec des jurys à qui il fallait présenter le projet.
Ici, je vais vous parler de la mise en place d’un honeypot derrière une box de l’école.
C’est mon premier pas dans la cybersécurité. Aujourd’hui, je me rends compte qu’en 10 minutes j’y arriverais à bout, mais ce projet a été important pour moi, car c’était la découverte d’un nouveau monde.
Pour commencer, nous avons fouillé Internet pour trouver un honeypot assez complet, afin de découvrir un maximum de choses. Nous avons jeté notre dévolu sur T-pot, car il est open source et contient plusieurs honeypots (cela permet de couvrir un plus grand nombre de services tels que : HTTP, SSH, FTP, Telnet, ...). De plus, cette solution comporte une supervision de l'ensemble des logs produits (des différents honeypots) avec ELK (Elasticsearch, Kibana, Beats et Logstash), également open source. On retrouve dans cette distribution la majorité des principaux honeypots sous forme de conteneurs Docker.
Ce projet nous a donc fait travailler sur Docker et ELK, ce qui était tout nouveau pour nous. Comme tout novice, nous avons rencontré énormément de problèmes sur les interconnexions entre les conteneurs et l’ELK. L’outil de supervision nous remontait des données alors que nous n’étions toujours pas connectés à rien d’autre. Une fois les problèmes résolus et que le projet était stable, nous avons décidé d’entamer une phase de test. Nous avons donc appris à faire quelques attaques basiques pour tomber dans les honeypots.
Afin que cet honeypot puisse recevoir un maximum d'attaques (autres que les nôtres), nous avons décidé de le positionner dans une DMZ directement accessible depuis Internet. Nous avons donc ouvert certains flux de la box Internet vers le honeypot.
Dès l’interconnexion faite, nous voilà (déjà) dans le grand bain. Nous voyons immédiatement des scans de bots et des tentatives de connexion. Nous étions vraiment impressionnés, car nous n’avions pas connaissance de tout cela. D’un coup, crash du honeypot, car les logs étaient pleins en à peine quelques minutes. Nous avons donc dû augmenter le stockage, puis faire un script pour supprimer les logs de temps en temps pour ne pas devoir tout redémarrer.
Puis, la partie la plus importante du projet est arrivée. Un matin, en arrivant à l’école, étant toujours le premier, je me connecte à l’ELK pour surveiller le fonctionnement : impossible de me connecter. Je demande de l’aide à mon professeur, et on redémarre la box. La box relancée, rien ne se passe. Mon prof essaye de se connecter à la box : le mot de passe avait été changé. On se met donc à contacter l’assistance de la box (Free en l’occurrence). Plus de connexion pendant quelques jours, puis Free nous recontacte pour qu’on leur envoie la box. Ils ont découvert qu’un attaquant avait essayé d’entrer dans notre honeypot, mais en vain. Il a remonté jusqu’à la box, l’a attaquée et en a pris le contrôle.
Voilà pourquoi Free a voulu récupérer la box, pour faire du forensique et trouver comment l’attaquant avait fait.
Pour conclure, ce projet a été vraiment enrichissant techniquement, mais il a aussi fait naître en moi l’envie de faire partie du monde de la sécurité.
Réalisation d’un lab hors SI de cyber sécurité
Suite à l'expression du besoin d'acquérir de nouvelles technologies et compétences pour l’équipe, l'équipe cherchait une solution modulable et dynamique gérée en interne par l'équipe. Vu de la taille de l'entreprise l'équipe a décidé de récupérer un serveur en interne (destiné à être désaffecté) et de gérer, créer sa propre infrastructure.
J’ai conçu et implémenter un outillage hors SI pour mon équipe.
Tout d'abord, il a fallu bien comprendre les besoins de l’équipe, notamment en termes d’accès au lab et d'architecture, car la vision des besoins diffère selon les personnes. J’ai donc implémenter toute l’architecture de base pour leur donner accès au lab. J'ai commencé par mettre en place un VPN pour chacun des membres de l’équipe.
Une fois les membres de l’équipe connectés au lab, un site leur permettait de choisir les technologies à utiliser. Avec les membres de l’équipe, nous avons décidé de diviser les technologies en fonction des sous-branches de l’équipe :
- l’équipe de gestion des vulnérabilités,
- la CTI (Cyber Threat Intelligence),
- la réponse à incident, et le forensic.
J’ai donc mis à disposition des machines virtuelles (VM) avec des ISO prêtes à l’emploi pour l’équipe forensic (Kali, Tsuguri, SIFT Workstation), et pour l’équipe CTI (Tails, Kali, une VM avec accès à TOR). Je leur ai aussi fourni des conteneurs pour qu'ils puissent intégrer eux-mêmes des outils et devenir plus autonomes. Par exemple, pour le téléchargement de leaks via un nœud TOR, les débits sont souvent limités, mais si on parallélise avec plusieurs machines, cela permet de gagner énormément de temps. Ensuite, j’ai implémenté des outils comme OpenCTI pour l’équipe CTI.
Pour conclure, ce lab a considérablement augmenté la performance de l’équipe, car la plupart de ces outils sont open source, et il aurait fallu des mois pour les intégrer dans le SI. Alors que pour certains, un simple test suffit pour savoir si nous les utiliserons réellement à moyen/long terme. Je suis fier de cette réalisation, car elle m’a permis de créer une architecture de A à Z et de découvrir énormément de technologies de cybersécurité open source.
Projet de création d'un formulaire de mise aux normes basé sur le nist
L’objectif est de proposer un outil pour permettre à l'entreprise de s’auto-évaluer selon des normes de cyber sécurité. Il permettrait de voir le niveau de sécurité de l’entreprise et a pour but d’être consulté régulièrement pour s’améliorer selon les critères du NIST.
Pour créer ce formulaire, nous sommes partis du NIST tout en laissant ouvert la possibilité d'ajouter d'autres normes par la suite.
Qu’est-ce que le NIST ?
Le NIST Cyber Security Framework est un ensemble de lignes directrices pour atténuer les risques de cybersécurité organisationnels, publié par l'Institut national américain des normes et de la technologie.
Tout d’abord il a fallu bien comprendre le Framework du NIST. Cela a pris du temps car il est dense et repose sur d’autres normes comme l’iso27001 par exemple. Une fois cela fait j’ai mis tout le Framework sous Excel (en réfléchissant également au moyen le plus efficace de faire interagir l'excel et le framework) afin qu’il soit facilement importable dans une liste SharePoint.
J’ai utilisé PowerBI, Power Automate, SharePoint et Forms.
Pour les données je suis passé par un formulaire. Dans le cadre de l’auto-évaluation j’ai donc créé un formulaire reprenant fidèlement tous les points du Framework du NIST. Je l'ai tourné sous forme de questions pour que cela soit plus compréhensible pour l’utilisateur.
Une fois le formulaire rempli, j’ai créé une automatisation à l’aide de Power Automate, pour que les données soient stockées dans deux listes SharePoint. Suite à un premier Power Bi réalisé j’ai compris comment il fonctionnait et j’ai donc décidé (par soucis de praticité et de segmentation des données) de séparer les données dans deux listes.
Les réponses du Forms sont stockées dans les listes pour l’identification des projets et pour stocker les réponses à chaque critère selon le principe une réponse = une ligne et une colonne = un critère. Les réponses sont stockées dans deux listes différentes afin de ne pas avoir des problèmes de types par la suite pour le traitement des données dans le Power Bi.
Les réponses à chaque critère sont remplies sous forme de texte avec, « Conforme », « Partiellement conforme », « Mise en conformité », « Non conforme » et « N/A ». Elles seront converties sous forme de chiffre dans Power Bi.
La troisième liste SharePoint « Auto-évaluation NIST-Framework » contient tous ce qui est nécessaire à l’affichage des éléments relatifs aux Framework.
J’ai donc créé un rapport en respectant toujours la charte graphique et les exigences. Le Power Bi se compose en quatre pages.
La deuxième page permet de voir plus en détail les notes obtenues sur les catégories et sous-catégories. Elle permet également de voir à quelles normes cela fait référence ainsi qu’un lien vers le NIST.
J’ai rencontré plusieurs difficultés liées au Framework du NIST. Lorsqu’il a fallu mettre celui-ci sous forme d’Excel et dans le Forms cela a pris beaucoup de temps vu la quantité de données. Le fonctionnement de Power BI avec les données qui n’est parfois pas pratique.
Vu l’ampleur du projet, l’outil a énormément d’axes d’amélioration. Pour la notice d’utilisation une vidéo va être créée pour expliquer le fonctionnement de l'outil. Actuellement, il est testé avec des projets internes mais il a pour but d’être diffusé au sein de toute l’entreprise. Le but final serait de le faire pour plusieurs normes de cyber sécurité pour ensuite leur faire passer les certifications adéquates.
Pour conclure, tout ce projet m’a beaucoup appris grâce à la manipulation du Framework du NIST et a consolidé les compétences apprises sur Power Bi.