Aller au contenu
TAAF-OPS --:-- UTC

Audit & Purple Team - Épreuve du Feu

Acte 3 Intermédiaire → Avancé ~10h Lynis · Grype · Nmap · Purple Team

Auteur : Thibaut Fontaine — Kodetis Institution : Université de La Réunion Version : 1.0.0 — 2026


L’ANSSI alerte la DSI des TAAF : des groupes APT (Advanced Persistent Threat) ciblent les infrastructures de recherche polaire françaises. Le RSSI exige un audit de sécurité complet. En tant qu’ingénieur DevSecOps, vous devez prouver que vos défenses — monitoring et SIEM — fonctionnent réellement.

Ce module est le troisième acte de la formation. Après avoir construit la visibilité (Monitoring) et déployé la détection (SIEM), vous allez tester vos propres défenses en simulant des attaques et en vérifiant que votre infrastructure les détecte.

Le RSSI ne veut plus de promesses, il veut des preuves. Le seul moyen de savoir si vos défenses tiennent : les attaquer.

→ Le parcours complet : fil rouge en 3 actes.


À l’issue de ce module, vous serez capable de :

  • Auditer la conformité d’une infrastructure Linux (CIS benchmarks, Lynis, OpenSCAP)
  • Scanner les vulnérabilités d’un réseau et d’applications web (Nmap, Nikto) et auditer les images Docker (Syft, Grype)
  • Simuler des attaques réalistes dans un environnement contrôlé (Purple Team)
  • Vérifier que le monitoring (Grafana) et le SIEM Grafana-natif (Sigma→LogQL, Falco) détectent les attaques
  • Rédiger un rapport d’audit professionnel avec analyse assistée par IA
  • Automatiser des scans de sécurité dans un pipeline CI/CD (GitLab CI + Syft/Grype)

Le module Audit utilise la VM audit pour auditer les deux autres VMs de la formation : la VM monitoring (le SI observé : NextCloud, PostgreSQL, + observabilité) et la VM SOC.

graph TB
 subgraph "TAAF-AUDIT-001 (IP_AUDIT)"
 AUDIT["Poste d'audit
Nmap, Lynis, Nikto
Syft, Grype, Hydra, Ollama"] end subgraph "TAAF-MONITORING-001 (IP_VM2) — SI observé + observabilité" NC["NextCloud"] PG["PostgreSQL base_af"] FALCO1["Falco IDS"] GRAF["Grafana"] PROM["Prometheus"] LOKI["Loki"] end subgraph "TAAF-SOC-01 (IP_SOC)" SOC["SOC Grafana-natif
Sigma · LogQL · Falco
(Wazuh en bonus)"] end AUDIT -->|"Scans & Attaques"|NC AUDIT -->|"Scans & Attaques"|PG AUDIT -->|"Scans réseau"|GRAF FALCO1 -->|"Alertes"|LOKI LOKI -.->|"détections"|SOC AUDIT -.->|"Vérifie détection"|GRAF AUDIT -.->|"Vérifie alertes"|SOC

Le parcours est linéaire : durcir → cartographier → identité → forensic → rejouer → consolider. Chaque TP s’appuie sur le précédent ; les TP 4-5 (LotL Windows, Downgrade PQC) approfondissent le forensic sur l’incident du fil rouge.

TPTitreDuréeRésumé
TP 1Audit de conformité & Hardening2h30Lynis, OpenSCAP, CIS, SBOM Syft + scan Grype, pipeline CI/CD
TP 2Scan de vulnérabilités & Reconnaissance2hNmap, Nikto, cartographie réseau, corrélation SIEM
TP 3Audit AD & conformité (PingCastle)3hPosture AD avant/après, corrélation kill chain, remédiation ANSSI, bonus BloodHound
TP 4Ombre Légitime (LotL Windows)2h30Event Logs Windows/AD, désobfuscation PowerShell, escalade svc_backup, WMI latéral
TP 5Downgrade PQC (forensic réseau)2h30Zeek ssl.log, downgrade X25519MLKEM768→x25519 sur l’uplink SATCOM
TP 6Simulation d’attaque Purple Team3hScénarios TAAF, exercice Red vs Blue en binôme
TP 7Rapport d’audit & Analyse IA2h30Rapport final consolidé, analyse LLM (Ollama), recommandations

Ce module s’appuie sur les infrastructures déployées dans les modules précédents :

  • Module Monitoring (Acte 1) : Grafana, Prometheus, Loki, Alertmanager déployés et fonctionnels
  • Module SIEM (Acte 2) : SOC Grafana-natif (Sigma→LogQL, Falco) avec règles de détection configurées (Wazuh en bonus)

La VM audit doit être démarrée :

Fenêtre de terminal
vagrant up audit
OutilVersionUsage
Lynis3.xAudit de conformité Linux
OpenSCAP1.3+CIS benchmarks automatisés
Syft1.xGénération de SBOM des images Docker
Grype0.7x+Scan de vulnérabilités (CVE) des images / SBOM
Nmap7.xReconnaissance réseau
Nikto2.5+Scan vulnérabilités web
Hydra9.xTests brute force (contrôlé)
OllamalatestLLM local pour analyse de logs (optionnel)

Les TPs s’inscrivent dans des scénarios réalistes liés au contexte TAAF :

  1. “Espionnage scientifique” — Tentative d’accès non autorisé aux données de biologie marine sur Nextcloud
  2. “Compromission satellite” — Brute force SSH sur les communications satellite
  3. “Insider threat” — Élévation de privilèges depuis un compte utilisateur standard

Ces scénarios sont détaillés dans le TP 3 - Purple Team.


Les critères d’évaluation sont détaillés dans les Consignes SAE Audit.