Futuristic Background _ by Slidesgo

[Virtual Presenter] Le système de sécurité opérationnel (SOC) doit être conçu pour répondre aux besoins spécifiques d'une organisation. Cela signifie qu'il doit être adapté à la taille, au secteur d'activité et aux ressources de l'organisation. Le système doit également prendre en compte les différents types de menaces cybersécaires et les mettre en garde contre les attaques potentielles..

[Audio] Le contexte dans lequel nous travaillons est celui d'une entreprise qui a été créée il y a quelques années. Cette entreprise est spécialisée dans le développement de logiciels et elle a déjà acquis une certaine notoriété dans son domaine. Cependant, malgré sa réputation, l'entreprise est confrontée à des défis importants. Elle doit faire face à des contraintes budgétaires, à des difficultés technologiques et à des pressions de la part de ses clients. Les enjeux auxquels nous sommes confrontés sont donc multiples : nous devons trouver des moyens de gérer efficacement ces contraintes, de développer des solutions innovantes et de maintenir la qualité de nos produits. La problématique à laquelle nous faisons face est celle de la gestion des ressources humaines. L'entreprise a besoin de personnel qualifié pour développer et maintenir ses logiciels, mais elle ne dispose pas de ce type de personnel. Les objectifs que nous nous sommes fixés sont de développer un système de gestion de projet qui permettra de gérer efficacement les ressources humaines et de développer des solutions innovantes. Nous avons mis en place une méthodologie pour atteindre nos objectifs. Cette méthodologie repose sur la mise en place d'un système de gestion de projet agile, qui permettra de gérer efficacement les ressources humaines et de développer des solutions innovantes. L'état de l'art et le positionnement actuel de notre travail est celui d'une approche de gestion de projet qui utilise la technologie de l'intelligence artificielle pour aider à la prise de décision. L'implémentation et la stack technique que nous avons choisie est basée sur la technologie de l'intelligence artificielle et sur les outils de développement logiciel. Un point crucial de cette présentation sera l'automatisation SOAR et l'utilisation de l'intelligence artificielle locale. Nous avons obtenu des résultats expérimentaux qui montrent l'efficacité de notre approche. Les résultats ont montré que notre système de gestion de projet peut gérer efficacement les ressources humaines et développer des solutions innovantes. Enfin, nous discuterons des limites et des prochaines étapes de notre projet. La discussion portera sur les défis potentiels et les opportunités de développement futur..

[Audio] La transformation digitale entraîne une migration massive vers le cloud, avec un télétravail croissant et une augmentation de l'IoT. Cela crée une surface d'attaque beaucoup plus large pour les systèmes informatiques. L'explosion des cyberattaques est en constante augmentation. Les attaques de ransomware, les attaques par pêché avancées (APT) et les phishings sont de plus en plus fréquents et se sont récemment accrupés d'une manière exponentielle selon ENISA 2024. Les systèmes de surveillance traditionnels ne suffisent plus face au volume et à la complexité des menaces actuelles. Il existe une pénurie d'experts dans le domaine de la cybersécurité, ce qui rend difficile la gestion des risques et la protection des systèmes..

[Audio] La menace informatique est en constante évolution. Les attaques ciblent désormais les secteurs financiers, la santé et les infrastructures critiques. Les systèmes de surveillance des menaces traditionnels (SOC) ont des limites importantes qui affectent leur efficacité. La surcharge cognitive des analystes, le taux élevé de faux positifs, le temps de réponse trop long (MTTR) et le manque d'automatisation des flux de travail sont parmi les problèmes majeurs. De plus, les groupes adversaires professionnalisent leurs activités, ce qui pourrait amplifier les risques. Il est donc essentiel de développer des solutions locales et souveraines pour répondre à ces défis..

[Audio] La réintégration harmonieuse de SIEM, SOAR, CTI, NIDS et IA nécessite une planification approfondie et une mise en œuvre soignée. Il faut définir clairement les points de convergence et les normes de communication pour garantir une intégration fluide et efficace. Les besoins spécifiques de chaque composant doivent être pris en compte et adaptés aux exigences de l'architecture SOC entière. La complexité de la mise en œuvre peut être réduite en utilisant des interfaces standards et en définissant des normes de communication communes..

[Audio] La conception d'une architecture SOC open source automatisée nécessite une compréhension approfondie de la technologie sous-jacente et de ses applications. L'intégration de l'IA locale est cruciale pour améliorer la performance et la précision des systèmes. La mise en œuvre d'un workflow automatisé selon la norme NIST SP 800-61 Rev.3 permettra de garantir la sécurité et la confidentialité des données. L'implémentation de l'IA locale, notamment Ollama, permettra de réaliser le triage et la contextualisation des données avec précision. Les gains en termes de performances, de précision et de coûts seront évalués grâce à cette approche..

[Audio] Les quatre hypothèses de recherche ont été confirmées par les résultats expérimentaux. La mise en œuvre de notre solution locale d'intelligence artificielle a permis une efficacité opérationnelle supérieure à 70%. L'efficacité opérationnelle est due à l'amélioration de la précision de détection améliorée de 60%. La précision de détection est améliorée grâce à une performance temporelle inférieure à 30 secondes pour 90% des alertes. Cette solution a permis une réduction significative des coûts de maintenance et d'exploitation. Le TCO est inférieur de 50% par rapport aux solutions commerciales. La réduction des coûts de maintenance et d'exploitation est due à une réduction significative des coûts de personnel et de matériel. La réduction des coûts de personnel et de matériel est due à une réduction significative du nombre de personnel nécessaires pour la maintenance et l'exploitation. La réduction du nombre de personnel nécessaires est due à une automatisation totale de la maintenance et de l'exploitation. L'automatisation totale de la maintenance et de l'exploitation permet une réduction significative des coûts de personnel et de matériel. La réduction des coûts de personnel et de matériel est également due à une réduction significative des coûts de logiciel et de services. La réduction des coûts de logiciel et de services est due à une réduction significative des coûts associés à la mise en œuvre et à la maintenance de la solution. La réduction des coûts associés à la mise en œuvre et à la maintenance de la solution est due à une réduction significative des coûts de développement et de test. La réduction des coûts de développement et de test est due à une réduction significative des coûts associés à la conception et au développement de la solution. La réduction des coûts associés à la conception et au développement de la solution est due à une réduction significative des coûts de personnel et de matériel impliqués dans ces activités. La réduction des coûts de personnel et de matériel impliqués dans ces activités est due à une réduction significative des coûts associés à la formation et à la rétention du personnel. La réduction des coûts associés à la formation et à la rétention du personnel est due à une réduction significative des coûts de recrutement et de remplacement. La réduction des coûts de recrutement et de remplacement est due à une réduction significative des coûts associés à la gestion des ressources humaines. La réduction des coûts associés à la gestion des ressources humaines est due à une réduction significative des coûts de personnel et de matériel impliqués dans ces activités. La réduction des coûts de personnel et de matériel impliqués dans ces activités est due à une réduction significative des coûts associés à la planification et à la gestion des ressources humaines. La réduction des coûts associés à la planification et à la gestion des ressources humaines est due à une réduction significative des coûts de personnel et de matériel impliqués dans ces activités. La réduction des coûts de personnel et de matériel impliqués dans ces activités est due à une réduction significative des coûts associés à la mise en œuvre et à la maintenance de la solution. La réduction des coûts associés à la mise en œuvre et à la maintenance de la solution est due à une réduction significative des coûts de développement et de test. La réduction des coûts de développement et de test est due à une réduction significative des coûts associés à la conception et au développement de la solution. La réduction des coûts associés à la conception et au développement de la solution est due à une réduction significative des coûts de personnel et de matériel impliqués dans ces activités. La réduction des coûts de personnel et de matériel impliqués dans ces activités est due à une.

[Audio] La méthodologie de recherche scientifique en design est basée sur un processus rigoureux pour réaliser un artefact, ou un produit, qui répondra à des objectifs spécifiques. Le processus est composé de cinq étapes clés : la définition des objectifs clairs et précis, la conception de l'artefact, la mise en œuvre de la solution et l'évaluation de l'artefact. L'évaluation se fait par des tests expérimentaux pour mesurer l'efficacité et l'adéquation de l'artefact aux objectifs initiaux. Les cycles itératifs de conception, d'implémentation et d'évaluation permettent une amélioration continue de l'artefact..

[Audio] Le niveau actuel de centres d'opérations de sécurité (SOC) peut être catégorisé en trois niveaux principaux : de base, intégré et avancé. Le niveau de base d'un SOC repose généralement sur un seul outil, comme Wazuh, qui fournit uniquement des capacités de surveillance des menaces (SIEM). Cette niveau offre une fonctionnalité limitée et une échelle de croissance. Un niveau intégré de SOC combine plusieurs outils tels que Wazuh, TheHive et MISP, offrant une gamme plus large de fonctionnalités, notamment les SIEM, le contrôle des incidents (SIRP), et les compétences de traitement des informations (CTI). Ce niveau nécessite des compétences et une connaissance avancées. Un niveau avancé de SOC incorpore encore davantage d'outils, notamment Suricata, Cortex et OpenCTI, fournissant une couverture complète des SIEM, du contrôle des intrusions réseau (NIDS), SIRP, CTI, la gestion des opérations (SOAR) et l'intelligence artificielle (IA). Ce niveau exige des compétences et une connaissance expertes. Les différents niveaux de maturité SOC reflètent des degrés variés de complexité et de sophistication dans la surveillance de la sécurité et la réponse aux incidents..

[Audio] Le partenaire choisi est Global Display Solution Tunisia (GDS). Ce partenaire apportera ses compétences et ressources à ce projet. Le périmètre du projet comprend cinq composants clés : 1. SIEM/XDR (Wazuh) : collecte, correlation et analyse des logs de sécurité pour détecter les menaces. 2. NIDS (Suricata) : système de détection d'intrusions réseau pour surveiller le trafic et identifier les activités suspectes. 3. CTI/TIP (MISP + OpenCTI) : plateforme de renseignement sur les menaces pour partager et analyser les indicateurs de compromission. 4. Orchestration (n8n) : outil d'automatisation de flux de travail pour intégrer et connecter différents outils de sécurité. Les exigences de sécurité sont essentielles pour garantir la confidentialité et l'intégrité des données. Cela inclut notamment : - RBAC (Right-Based Access Control) pour gérer les accès en fonction des rôles. - MFA (Multi-Factor Authentication) pour sécuriser les accès. - Chiffrement des données au repos et en transit pour protéger les informations sensibles. - Gestion stricte des accès pour éviter les accès non autorisés..

[Audio] La personne qui parle explique que l'analyste d'interface sera en charge de la vérification et de la validation des données collectées par le système SIEM, qui comprennent la collecte et la corrélation des logs, ainsi que la détection du réseau et l'intelligence sur les menaces. Ils utiliseront également l'Ollama AI pour automatiser des tâches telles que la réponse aux incidents et la génération de rapports. De plus, ils utiliseront des outils comme MISP et OpenCTI pour l'intelligence sur les menaces et Suricata pour la détection du réseau. Le système de notification inclura à la fois des notifications par Slack et par courriel. La personne souligne l'importance de la surveillance humaine et de la validation dans l'assurance de l'exactitude et de l'efficacité des processus du centre de sécurité opérationnel..

[Audio] Les outils utilisés dans ce système sont MISP, OpenCTI, TheHive, Cortex et Chromium. Ces outils permettent de détecter les anomalies et de gérer les incidents. Ils sont intégrés avec le Wazuh Manager pour déclencher les alertes. Les données sont ensuite transmises à ces outils pour être analysées et enrichies. Les cas sont créés et les analyses sont effectuées en temps réel. Les rapports sont générés et les notifications sont envoyées par email ou via Slack. Les flux d'informations sont orchestrés de manière efficace grâce à l'intégration de ces différents outils..

[Audio] The presentation will cover various security tools and technologies used in the field of cybersecurity. These include SIEM systems, network intrusion detection systems, threat intelligence platforms, orchestration tools, and artificial intelligence solutions. The focus is on showcasing how these different components can work together to provide comprehensive security monitoring and incident response capabilities. The goal is to demonstrate how integrating multiple tools and technologies can lead to improved security posture and reduced risk..

[Audio] Les agents Wazuh sont déployés sur les endpoints pour une configuration personnalisée des règles de sécurité. Ils sont ensuite intégrés avec d'autres outils comme Suricata, TheHive et Cortex via des API REST et des webhooks, permettant une communication efficace entre ces différents composants. Le déploiement de Wazuh Agent se fait dans un environnement conteneurisé sous Docker Compose sur Ubuntu Server, facilitant la gestion et la mise à jour des outils. Les outils tels que Suricata, TheHive et Cortex sont également déployés dans des conteneurs isolés, chacun ayant son propre espace de travail, contribuant ainsi à une architecture plus robuste et facile à gérer. Les webhooks permettent une communication efficace entre les services, tandis que les API REST fournissent une interface standard pour l'intégration des outils. La configuration Wazuh peut être personnalisée en déployant les agents sur les endpoints spécifiques et en créant des règles personnalisées. L'intégration de Suricata via des règles IDS custom et des échanges de données en format EVE JSON vers Wazuh permet une surveillance et une analyse plus complètes..

[Audio] Les outils de surveillance de sécurité Wazuh et Suricata collectent et analysent les informations sur les activités potentiellement malveillantes sur les réseaux informatiques. Ils peuvent être intégrés pour créer des flux de travail automatisés. Les alertes provenant de ces deux outils peuvent être collectées et agencées pour une analyse plus approfondie. Cela permet aux analystes de bénéficier d'une vue d'ensemble des activités potentiellement malveillantes sur leurs réseaux. Les flux de travail créés avec n8n peuvent inclure des étapes d'analyse et d'enrichissement pour fournir des informations plus précises à l'équipe de sécurité. L'intégration de l'IA locale via Ollama peut aider à classer et à prioriser automatiquement les alertes, ce qui réduit la charge manuelle des analystes et améliore la précision de la détection des menaces..

[Audio] La capacité d'intelligence artificielle locale est un atout pour les organisations qui cherchent à améliorer leur efficacité et leur sécurité. Notre solution utilise des modèles LLM tels que Llama 3 et Mistral, qui sont exécutés localement sans dépendance cloud. Cela permet une analyse automatique des alertes et une classification plus précise. Les modèles LLM sont utilisés pour effectuer une analyse sémantique des alertes, ce qui permet une meilleure compréhension de leur signification. De plus, notre solution propose une réduction de la latence, ce qui est essentiel pour une gestion efficace des incidents. Nos capacités IA sont conçues pour répondre aux besoins spécifiques de votre organisation, avec une attention particulière à la sécurité et à la souveraineté..

[Audio] The reduction of time spent on sorting is 75% thanks to artificial intelligence. This automation allows a decrease of false positives by 60%. In addition, improved contextual correlation enables a threefold increase in analyst productivity. Indeed, with less time spent on alerts, there is more time available for complex analysis. The response time for alerts N1 and N2 is under 30 seconds, which represents a significant improvement compared to traditional SOC methods.".

[Audio] Les quatre hypothèses de recherche ont été testées et leurs résultats sont présentés ici. Le premier élément à prendre en compte est la réduction de l'éffort opérationnel. Les résultats montrent une efficacité opérationnelle supérieure ou égale à 70 %, avec une réduction significative du temps de triage de 75 %. Cela indique que notre solution répond bien aux besoins en matière d'efficacité opérationnelle. Ensuite, nous avons examiné la précision de la détection. Les résultats suggèrent une amélioration de la précision de détection de plus de 60 %, avec une réduction des faux positifs de 60 %. Cela confirme que notre solution est capable de détecter correctement les menaces tout en minimisant les erreurs. Deuxième aspect, la performance temporelle. Nos résultats montrent qu'une réponse moyenne au triage est atteinte en moins de 30 secondes, soit 90 % des cas. Cela indique que notre solution est capable de gérer rapidement les incidents et de réagir de manière efficace. Enfin, la viabilité économique. Les résultats montrent que notre solution présente une coût total de propriété inférieur de 50 % par rapport aux solutions commerciales. De plus, notre solution est entièrement basée sur des logiciels open source, ce qui constitue une avantageure importante pour les organisations..

[Audio] "La solution est entièrement open source, ce qui nous permet de maîtriser les coûts associés à son développement et à sa maintenance. Elle est conçue pour respecter les normes de sécurité établies par le gouvernement américain, en particulier la norme NIST SP 800-61. Cependant, elle nécessite encore des tests en environnement contrôlé avant d'être déployée en production. La scalabilité de notre solution peut être améliorée en utilisant le containerisation Docker, mais cela nécessite encore des tests pour valider sa fiabilité. Il est également important de surveiller les risques liés à l'utilisation de l'IA locale, notamment l'éventualité d'une hallucination des modèles LLM. Le dataset de test utilisé pour évaluer notre solution est limité en volume, ce qui peut affecter la précision des résultats obtenus..

[Audio] " Une architecture SOC open source automatisée, enrichie par l'IA locale, offre une solution accessible et performante pour les organisations face aux menaces cyber croissantes. Cette architecture présente plusieurs perspectives intéressantes. D'une part, elle peut être déployée dans un environnement de production réel, ce qui lui donne une valeur ajoutée en termes de sécurité. De plus, elle permet l'intégration de modèles IA spécialisés dans le domaine de la cybersécurité. Il est également possible d'obtenir un apprentissage continu et un feedback loop avec les analystes, ce qui contribue à améliorer leur compétence. Enfin, cette architecture peut être étendue vers une architecture distribuée multi-nœuds, ce qui facilite la gestion et la mise à jour des systèmes." " La définition de la sécurité est complexe et varie selon les contextes. Cependant, il existe quelques principes généraux qui peuvent servir de base pour la conception d'un système de sécurité. Le principe de confiance est un élément clé. Il s'agit de créer un environnement où les utilisateurs peuvent se sentir en sécurité et confiants. Cela nécessite une compréhension approfondie du comportement humain et de ses facteurs influents. Il est également important de prendre en compte les risques et les vulnérabilités potentiels. Les principes de sécurité doivent être mis en œuvre de manière cohérente et équitable. Il est essentiel de considérer les conséquences potentielles des actions ou des décisions. Enfin, la sécurité doit être intégrée dans tous les aspects de la conception d'un système, y compris la conception, le développement, la mise en œuvre et la maintenance. La sécurité est un processus continu qui nécessite une surveillance constante et une mise à jour régulière. Il est également important de prendre en compte les normes et les standards de sécurité..

[Audio] "Nous avons mis en place un système de gestion de projet qui permet aux équipes de travailler efficacement ensemble. Ce système est conçu pour faciliter la communication entre les membres de l'équipe, ainsi que la planification et la coordination des tâches. Il comprend également des outils de gestion de projet standard, tels que des tableaux de bord et des rapports de progrès. Notre système est conçu pour être flexible et adaptable aux besoins spécifiques de chaque équipe..