Aller au contenu
TAAF-OPS --:-- UTC

Formation Supervision TAAF - KDS

Bienvenue dans la documentation centralisée des TPs et livrables pour la formation Supervision et Sécurité des Systèmes d’Information - Bases Polaires TAAF.

Cette formation vous permet de maîtriser les concepts et outils de monitoring et de sécurité (SIEM) pour superviser une infrastructure informatique critique déployée sur les bases polaires des Terres Australes et Antarctiques Françaises.

La formation suit un fil rouge en trois actes : la montée en maturité cyber d’une base polaire.

graph LR
 INC([" Un seul incident — rejoué au jour J
phishing → escalade AD → exfil satellite"]) subgraph A0[" Acte 0 · Mise en place"] S["DÉPLOYER l'infra
Vagrant · services · scénario"] end subgraph A1[" Acte 1 · Monitoring"] V["VOIR l'infrastructure
Prometheus · Grafana · Loki
Zabbix SNMP · télémétrie satellite"] end subgraph A2[" Acte 2 · SIEM"] D["DÉTECTER les menaces
SOC Grafana-natif · Sigma→LogQL · Falco
(prérequis : SSO AD↔NextCloud)"] end subgraph A3[" Acte 3 · Audit & Purple Team"] P["PROUVER que ça tient
Conformité · Audit AD (PingCastle) · Purple
Modules : LotL · Downgrade PQC"] end A0 --> A1 --> A2 --> A3 INC -. fil rouge .-> A1 INC -.-> A2 INC -.-> A3

Voir → Détecter → Prouver — toute la formation en trois verbes. Chaque acte s’appuie sur le précédent : on construit la visibilité, puis la détection, puis on prouve que les deux tiennent. Le détail du scénario est sur la page Contexte.

Les 3 thématiques :

Supervision et observabilité de l’infrastructure avec Prometheus, Grafana et Loki :

  • Métriques système & conteneurs des stations (PAF)
  • Données métier des stations dans Grafana
  • Agrégation et exploration de logs (Loki)
  • Alerting par webhooks
  • Télémétrie satellite (AegisSat)
  • Supervision SNMP avec Zabbix — Concordia (proxy Inmarsat) & énergie polaire de DDU (ICS/OT)
  • Sources temps réel externes (Starlink, électricité de La Réunion)

Sécurité et détection des menaces — SOC Grafana-natif (mêmes Loki/Grafana que l’Acte 1) :

  • Détection-as-code : règles Sigma → LogQL
  • Alerting & notification Discord
  • Couverture MITRE ATT&CK & corrélation (et ses limites)
  • IDS runtime (Falco) + réseau (Suricata/Zeek)
  • SSO Active Directory ↔ NextCloud + intégration des journaux Windows/AD
  • Bonus : Wazuh (SIEM clé-en-main) · Capstone SOAR (réponse automatisée)

Audit de sécurité et tests d’intrusion contrôlés avec approche Purple Team :

  • Audit de conformité & hardening (Lynis, OpenSCAP, Syft/Grype)
  • Scan de vulnérabilités & reconnaissance (Nmap, Nikto)
  • Simulation d’attaque Purple Team & vérification de la détection
  • Audit Active Directory & mise en conformité (PingCastle)
  • Modules avancés : Living off the Land (Windows) · Downgrade PQC (forensic réseau SATCOM)
  • Rapport d’audit assisté par IA (Ollama)

Éléments utilisés dans les TPs :

  • Active Directory · NextCloud · Scripts SQL
  • Lab Zabbix (Concordia/DDU) · Testbed satellite AegisSat · Console SOC (vitrine)
  • Labs bonus & ressources : voir la section bonus du Setup de l’environnement
  1. Consultez le contexte et le threat model pour comprendre les enjeux
  2. Faites l’Acte 0 — Mise en place : déployez les VMs, installez les services, peuplez le scénario, validez
  3. Enchaînez les actes : MonitoringSIEMAudit

Tous les projets sont hébergés sur GitLab dans le groupe kds-formation :

  • Setup de l’environnement — Installation et configuration des VMs de TP (cœur + bonus)
  • Système d’exploitation : Debian 12 (ou Ubuntu 20.04+)
  • Docker et Docker Compose installés
  • RAM : ~6 GB pour le cœur de la formation (golden-box OK). Labs bonus à la demande : Wazuh +4 GB, Zabbix Concordia +2 GB, Active Directory (Windows, x86)
  • Accès sudo pour les configurations système

Toute la mise en place — poste, VMs Vagrant, services, peuplement du scénario, validation — est détaillée et à suivre dans l’ordre dans l’Acte 0 — Mise en place. C’est la source unique : ne dupliquez pas les commandes ici, partez de l’Acte 0.

Format obligatoire : nom-prenom-promo.PDF Plateforme : Moodle de l’Université de la Réunion

  • Consultez les sections de dépannage dans chaque TP
  • Aidez-vous entre vous !
  • Référez-vous aux documentations officielles liées
  • Contactez votre formateur