Aller au contenu
TAAF-OPS --:-- UTC

Contexte : Problématique TAAF

Chercheurs scientifiques TAAF en mission terrain sur les bases polaires

La Direction des Systèmes d’Information (DSI) des Terres Australes et Antarctiques Françaises (TAAF) doit superviser et sécuriser son infrastructure informatique répartie sur les bases polaires.

Cette infrastructure isolée et critique pose plusieurs enjeux. Elle exige une solution de monitoring et de sécurité robuste.


1. Surveillance et Visibilité du Système d’Information

Section intitulée « 1. Surveillance et Visibilité du Système d’Information »

Problématiques identifiées :

  • Aucun monitoring temps réel des métriques système et applicatives
  • Visibilité insuffisante sur l’état de santé de l’infrastructure distribuée
  • Aucune détection proactive des anomalies de performance ou de disponibilité
  • Incidents difficiles à anticiper sur des sites distants et peu accessibles

Impact : Les équipes IT découvrent les problèmes une fois qu’ils touchent les utilisateurs. La maintenance reste réactive au lieu d’être proactive.


2. Centralisation et Corrélation des Événements

Section intitulée « 2. Centralisation et Corrélation des Événements »

Problématiques identifiées :

  • Logs dispersés sur plusieurs machines et environnements
  • Aucun puits centralisé pour collecter les événements du SI
  • Corrélation impossible des événements de sécurité entre systèmes
  • Schémas d’attaques et incidents coordonnés difficiles à repérer

Impact : L’analyse post-incident devient longue et complexe. Les attaques multi-vecteurs passent sous le radar.


Problématiques identifiées :

  • Aucune détection temps réel des intrusions ou activités suspectes
  • Surveillance insuffisante des conteneurs et services critiques
  • Aucune alerte automatisée en cas d’accès non autorisé
  • Opérations sensibles non tracées (ex : suppression massive de fichiers dans NextCloud)

Impact : Une menace peut rôder pendant des jours, voire des semaines. Elle compromet l’intégrité des données et la disponibilité des services.


Problématiques identifiées :

  • Conserver les traces d’accès et d’opérations système
  • Disposer d’un historique centralisé pour les audits de sécurité
  • Démontrer la conformité aux normes de sécurité
  • Répondre vite aux incidents, preuves documentées à l’appui

Impact :

Non-conformité réglementaire, audits impossibles à satisfaire, exposition légale en cas d’incident.


Ingénieur DevOps, vous déployez une architecture complète de monitoring et de supervision. Elle garantit :

  • La visibilité — monitoring temps réel de l’infrastructure
  • La sécurité — détection et prévention des menaces
  • La traçabilité — centralisation et conservation des événements
  • La conformité — respect des normes et préparation des audits

Pour répondre à ces enjeux, vous déployez et configurez :

  • Prometheus : collecte de métriques système et applicatives
  • Grafana : visualisation et dashboards
  • Loki : agrégation et analyse de logs
  • Alertmanager : alerting multi-canaux
  • Zabbix : supervision SNMP des équipements réseau et OT (stations Concordia & DDU)
  • Télémétrie satellite : ingestion de la télémétrie des stations sol (AegisSat)
  • Sources temps réel externes : lien Starlink, électricité de La Réunion
  • Détection-as-code : règles Sigma → LogQL (mêmes Loki/Grafana que l’Acte 1)
  • Falco (IDS runtime) + Suricata / Zeek (réseau) → Loki
  • Alerting : Grafana Alerting → Discord · couverture MITRE ATT&CK
  • SSO Active Directory ↔ NextCloud : identité fédérée (prérequis détection)
  • Bonus : Wazuh (SIEM clé-en-main), intégration journaux Windows/AD, Capstone SOAR

  • Port-aux-Français (Îles Kerguelen)
  • Alfred Faure (Île de la Possession, Crozet)
  • Dumont d’Urville (Terre Adélie, Antarctique)
  • Amsterdam (Île Amsterdam)
  • PostgreSQL : Bases de données RH, météo, communications
  • NextCloud : Partage de fichiers et collaboration
  • Active Directory : Authentification et gestion d’identité
  • Connectivité limitée : liaison satellite à bande passante réduite
  • Ressources limitées : infrastructures légères
  • Conditions extrêmes : de +20 °C aux îles subantarctiques (Kerguelen, Crozet, Amsterdam) en été à ~-80 °C à Concordia (Dôme C, intérieur antarctique)
  • Équipes réduites : personnel technique minimal sur site

La formation s’organise autour d’un fil rouge narratif en 3 actes. Il suit la montée en maturité sécuritaire de l’infrastructure TAAF. Toute la progression tient en trois verbes :

Voir → Détecter → Prouver

Chaque acte s’appuie sur le précédent : pas de détection sans visibilité, pas de preuve sans détection.

Port-aux-Français, base perdue dans l’océan Indien. Un service tombe — et personne ne le sait avant qu’un chercheur ne trouve porte close. La DSI des TAAF pilote à l’aveugle.

Votre première mission : lui rendre la vue. Métriques système, dashboards opérationnels, logs centralisés, alertes automatiques. À la fin de l’acte, vous voyez tout ce qui se passe sur l’infrastructure.

La DSI voit, désormais. Mais voir ne suffit pas : des connexions anormales rôdent autour des liaisons satellite. Constater un incident, c’est déjà trop tard — il faut le détecter avant.

Vous transformez la supervision en sentinelle. Détection-as-code (Sigma→LogQL) sur la même stack Grafana/Loki, IDS runtime (Falco) et réseau (Suricata/Zeek), alerting Grafana→Discord. L’infrastructure passe de passive à vigilante. (Wazuh en TP bonus.)

Acte 3 — “Épreuve du feu” (Audit & Purple Team)

Section intitulée « Acte 3 — “Épreuve du feu” (Audit & Purple Team) »

L’ANSSI alerte : des groupes APT ciblent la recherche polaire française. Le RSSI ne veut plus de promesses, il veut des preuves. Vos défenses tiennent-elles vraiment ?

Le seul moyen de le savoir : les attaquer. Audit de conformité, scan de vulnérabilités, simulation d’attaques Purple Team, rapport d’audit assisté par IA. L’Acte 3 valide les Actes 1 et 2 : si votre monitoring et votre SIEM sont bien configurés, vos propres attaques apparaissent dans vos dashboards.


Choisissez votre thématique et lancez-vous :

  • Monitoring — Surveillance et observabilité (Acte 1)
  • SIEM — Sécurité et détection des menaces (Acte 2)
  • Audit & Purple Team — Tests d’intrusion et rapport d’audit (Acte 3)