Audit & Purple Team - Épreuve du Feu
Auteur : Thibaut Fontaine — Kodetis Institution : Université de La Réunion Version : 1.0.0 — 2026
Acte 3 — L’Épreuve du Feu
Section intitulée « Acte 3 — L’Épreuve du Feu »L’ANSSI alerte la DSI des TAAF : des groupes APT (Advanced Persistent Threat) ciblent les infrastructures de recherche polaire françaises. Le RSSI exige un audit de sécurité complet. En tant qu’ingénieur DevSecOps, vous devez prouver que vos défenses — monitoring et SIEM — fonctionnent réellement.
Ce module est le troisième acte de la formation. Après avoir construit la visibilité (Monitoring) et déployé la détection (SIEM), vous allez tester vos propres défenses en simulant des attaques et en vérifiant que votre infrastructure les détecte.
Le RSSI ne veut plus de promesses, il veut des preuves. Le seul moyen de savoir si vos défenses tiennent : les attaquer.
→ Le parcours complet : fil rouge en 3 actes.
Objectifs pédagogiques
Section intitulée « Objectifs pédagogiques »À l’issue de ce module, vous serez capable de :
- Auditer la conformité d’une infrastructure Linux (CIS benchmarks, Lynis, OpenSCAP)
- Scanner les vulnérabilités d’un réseau et d’applications web (Nmap, Nikto) et auditer les images Docker (Syft, Grype)
- Simuler des attaques réalistes dans un environnement contrôlé (Purple Team)
- Vérifier que le monitoring (Grafana) et le SIEM Grafana-natif (Sigma→LogQL, Falco) détectent les attaques
- Rédiger un rapport d’audit professionnel avec analyse assistée par IA
- Automatiser des scans de sécurité dans un pipeline CI/CD (GitLab CI + Syft/Grype)
Architecture
Section intitulée « Architecture »Le module Audit utilise la VM audit pour auditer les deux autres VMs de la formation : la
VM monitoring (le SI observé : NextCloud, PostgreSQL, + observabilité) et la VM SOC.
graph TB subgraph "TAAF-AUDIT-001 (IP_AUDIT)" AUDIT["Poste d'audit
Nmap, Lynis, Nikto
Syft, Grype, Hydra, Ollama"] end subgraph "TAAF-MONITORING-001 (IP_VM2) — SI observé + observabilité" NC["NextCloud"] PG["PostgreSQL base_af"] FALCO1["Falco IDS"] GRAF["Grafana"] PROM["Prometheus"] LOKI["Loki"] end subgraph "TAAF-SOC-01 (IP_SOC)" SOC["SOC Grafana-natif
Sigma · LogQL · Falco
(Wazuh en bonus)"] end AUDIT -->|"Scans & Attaques"|NC AUDIT -->|"Scans & Attaques"|PG AUDIT -->|"Scans réseau"|GRAF FALCO1 -->|"Alertes"|LOKI LOKI -.->|"détections"|SOC AUDIT -.->|"Vérifie détection"|GRAF AUDIT -.->|"Vérifie alertes"|SOC
Travaux Pratiques
Section intitulée « Travaux Pratiques »Le parcours est linéaire : durcir → cartographier → identité → forensic → rejouer → consolider. Chaque TP s’appuie sur le précédent ; les TP 4-5 (LotL Windows, Downgrade PQC) approfondissent le forensic sur l’incident du fil rouge.
| TP | Titre | Durée | Résumé |
|---|---|---|---|
| TP 1 | Audit de conformité & Hardening | 2h30 | Lynis, OpenSCAP, CIS, SBOM Syft + scan Grype, pipeline CI/CD |
| TP 2 | Scan de vulnérabilités & Reconnaissance | 2h | Nmap, Nikto, cartographie réseau, corrélation SIEM |
| TP 3 | Audit AD & conformité (PingCastle) | 3h | Posture AD avant/après, corrélation kill chain, remédiation ANSSI, bonus BloodHound |
| TP 4 | Ombre Légitime (LotL Windows) | 2h30 | Event Logs Windows/AD, désobfuscation PowerShell, escalade svc_backup, WMI latéral |
| TP 5 | Downgrade PQC (forensic réseau) | 2h30 | Zeek ssl.log, downgrade X25519MLKEM768→x25519 sur l’uplink SATCOM |
| TP 6 | Simulation d’attaque Purple Team | 3h | Scénarios TAAF, exercice Red vs Blue en binôme |
| TP 7 | Rapport d’audit & Analyse IA | 2h30 | Rapport final consolidé, analyse LLM (Ollama), recommandations |
Prérequis
Section intitulée « Prérequis »Modules précédents
Section intitulée « Modules précédents »Ce module s’appuie sur les infrastructures déployées dans les modules précédents :
- Module Monitoring (Acte 1) : Grafana, Prometheus, Loki, Alertmanager déployés et fonctionnels
- Module SIEM (Acte 2) : SOC Grafana-natif (Sigma→LogQL, Falco) avec règles de détection configurées (Wazuh en bonus)
VM Audit
Section intitulée « VM Audit »La VM audit doit être démarrée :
vagrant up auditOutils installés sur TAAF-AUDIT-001
Section intitulée « Outils installés sur TAAF-AUDIT-001 »| Outil | Version | Usage |
|---|---|---|
| Lynis | 3.x | Audit de conformité Linux |
| OpenSCAP | 1.3+ | CIS benchmarks automatisés |
| Syft | 1.x | Génération de SBOM des images Docker |
| Grype | 0.7x+ | Scan de vulnérabilités (CVE) des images / SBOM |
| Nmap | 7.x | Reconnaissance réseau |
| Nikto | 2.5+ | Scan vulnérabilités web |
| Hydra | 9.x | Tests brute force (contrôlé) |
| Ollama | latest | LLM local pour analyse de logs (optionnel) |
Scénarios d’attaque contextualisés
Section intitulée « Scénarios d’attaque contextualisés »Les TPs s’inscrivent dans des scénarios réalistes liés au contexte TAAF :
- “Espionnage scientifique” — Tentative d’accès non autorisé aux données de biologie marine sur Nextcloud
- “Compromission satellite” — Brute force SSH sur les communications satellite
- “Insider threat” — Élévation de privilèges depuis un compte utilisateur standard
Ces scénarios sont détaillés dans le TP 3 - Purple Team.
Évaluation
Section intitulée « Évaluation »Les critères d’évaluation sont détaillés dans les Consignes SAE Audit.