SOC Homelab : Concevoir un centre opérationnel de sécurité en environnement virtualisé

La cybersécurité moderne repose sur deux piliers essentiels : la prévention des attaques et la capacité à les détecter puis y répondre rapidement. Pour atteindre ces objectifs, de nombreuses entreprises déploient un SOC (Security Operation Center), un centre dédié à la surveillance et à la gestion des incidents de sécurité.

Le projet présenté ici consiste à mettre en place un SOC Homelab, c’est-à-dire une version miniature mais réaliste d’un SOC d’entreprise, déployée dans un environnement virtualisé. Ce laboratoire permet d’expérimenter la défense en profondeur, d’intégrer plusieurs technologies de cybersécurité, de simuler des attaques, et d’observer leur détection et leur traitement en temps réel.

1. Les fondements du projet

Un SOC Homelab n’est pas un simple exercice théorique. Il a pour vocation de :

• Reproduire les conditions réelles d’une infrastructure IT avec ses zones exposées (DMZ), ses services internes (Active Directory, postes utilisateurs) et son centre de supervision (SOC).
• Mettre en place plusieurs couches de défense afin de bloquer ou ralentir les attaques, et analyser les incidents.
• Former et sensibiliser les utilisateurs ou étudiants aux bonnes pratiques de la cybersécurité.
• Évaluer en pratique les capacités de détection et de réaction face à des scénarios d’attaque concrets.

2. Une architecture segmentée pour une sécurité renforcée

Le lab repose sur une architecture en zones. Chaque zone a un rôle spécifique et ne communique que selon des règles strictement définies.

Zone WAN (Internet simulé)

• Représente l’extérieur de l’entreprise : Internet et ses menaces.
• Utilisée pour lancer des attaques simulées (scans, brute force, injections).
• Sert de terrain de test pour mesurer l’efficacité des défenses périmétriques.

Zone Périmètre – FortiGate NGFW

• Première barrière de sécurité.
• Effectue un filtrage du trafic entrant et sortant selon le principe du “deny all, allow by exception”.
• Implémente du NAT et expose certains services de la DMZ de manière contrôlée.
• Dispose de capacités d’inspection applicative (couche 7) pour bloquer certains types d’attaques courantes.

Zone DMZ (192.168.14.0/24)

• Zone semi-exposée, conçue pour accueillir les services accessibles depuis Internet.
• Contient volontairement des cibles d’attaque, afin de piéger et étudier le comportement des assaillants :
  • DVWA (Damn Vulnerable Web Application) : application volontairement vulnérable pour tester les attaques web.
  • ModSecurity (WAF) : placé devant DVWA pour observer et journaliser les tentatives d’intrusion.
  • Cowrie Honeypot : serveur SSH factice pour détecter et enregistrer les tentatives de brute force et commandes malveillantes.
• Les journaux générés dans cette zone sont envoyés vers le SOC pour analyse.

Zone Intermédiaire – pfSense (192.168.20.0/24)

• Seconde couche de défense interne.
• Équipée de Snort (IDS/IPS) pour inspecter le trafic réseau et détecter des signatures d’attaques.
• Fournit un VPN sécurisé permettant aux administrateurs d’accéder aux zones internes sans exposition directe.
• Peut être intégrée à un SOAR pour déclencher automatiquement des actions de blocage (par exemple, bannir une adresse IP malveillante).

Zone Active Directory (192.168.30.0/24)

• Représente l’environnement interne d’une organisation.
• Inclut :
  • Un contrôleur de domaine Windows (AD), gérant l’authentification et les politiques de sécurité.
  • Des postes utilisateurs Windows intégrés au domaine.
• Surveillance accrue :
  • Politiques d’audit pour tracer les activités sensibles.
  • Sysmon pour capturer des événements avancés (processus lancés, connexions réseau, modifications système).

Zone SOC (192.168.11.0/24)

• Cœur du dispositif de supervision et d’analyse.
• Accueille plusieurs solutions complémentaires :
  • Wazuh : SIEM principal, collecte et corrèle les événements de sécurité.
  • Splunk : permet de visualiser et de créer des tableaux de bord clairs.
  • Elastic Stack (ELK) : analyse avancée, détection d’anomalies et machine learning.
  • Shuffle SOAR : automatisation de la réponse aux incidents (par exemple, bloquer une IP après alerte Snort).

3. Règles de sécurité et circulation de l’information

L’efficacité d’un SOC Homelab repose sur des règles de circulation très strictes :

• Entre Internet (WAN) et la DMZ : seuls certains ports (HTTP/HTTPS vers DVWA, SSH piégé de Cowrie) sont ouverts via le FortiGate. Tout le reste est bloqué.
• Entre DMZ et le SOC : flux autorisés uniquement pour l’envoi de logs (via Syslog, Filebeat, ou agents Wazuh).
• Entre SOC et AD : communication sécurisée pour collecter les journaux Windows et Sysmon.
• Entre pfSense et SOC : envoi d’alertes Snort et possibilité pour le SOAR de pousser des ordres de blocage.
• Entre AD et Internet : aucune communication directe. Les postes internes passent par pfSense et FortiGate, sous contrôle strict.

Chaque flux est documenté, surveillé et limité au strict nécessaire.

4. Scénarios de tests

Pour valider le lab, plusieurs attaques sont simulées :

1. Brute force SSH
   • L’attaquant tente de se connecter au honeypot Cowrie.
   • Cowrie enregistre chaque tentative.
   • L’alerte est envoyée à Wazuh.
   • Shuffle déclenche une action automatique de blocage via pfSense.
2. Injection SQL sur DVWA
   • L’attaquant envoie une requête malveillante.
   • ModSecurity détecte et enregistre l’attaque.
   • Wazuh corrèle l’événement et envoie une alerte.
   • Splunk affiche l’incident dans un tableau de bord dédié.
3. Authentification suspecte sur Active Directory
   • Plusieurs échecs de connexion sont détectés.
   • Les journaux Windows et Sysmon remontent vers le SOC.
   • Elastic Stack identifie une anomalie comportementale (tentative de brute force interne).
4. Comportement anormal sur un poste client
   • Un processus inconnu est lancé.
   • Sysmon génère un événement.
   • Wazuh alerte l’analyste SOC qui peut investiguer et isoler la machine.

5. Les outils au service de la cybersécurité

Chaque composant du lab répond à un rôle précis :

• FortiGate : firewall de nouvelle génération, filtrage avancé et NAT.
• pfSense + Snort : firewall open-source et IDS/IPS performant.
• DVWA / Cowrie / ModSecurity : laboratoires d’attaque et honeypots pour collecter des données réelles.
• Wazuh : cœur du SOC, centralisation et corrélation des logs.
• Splunk : visualisation et rapports.
• Elastic Stack : détection d’anomalies et machine learning.
• Shuffle : automatisation des réponses (SOAR).
• Active Directory + Sysmon : simulation d’une entreprise et collecte d’événements internes.

6. Pourquoi un tel projet est indispensable

Ce type de projet apporte plusieurs bénéfices :

• Approche pédagogique : permet aux étudiants et passionnés de pratiquer la cybersécurité dans un environnement concret.
• Préparation professionnelle : familiarise les futurs analystes SOC avec les outils utilisés dans le monde réel.
• Expérimentation : offre un espace sécurisé pour tester et analyser les menaces.
• Compréhension globale : illustre la circulation de l’information et l’importance de la segmentation réseau.

Conclusion

LLe SOC Homelab présenté illustre concrètement comment mettre en place une infrastructure sécurisée, segmentée et supervisée, capable de détecter et de répondre aux menaces modernes. Ce projet constitue une opportunité unique pour les étudiants, les professionnels et les entreprises souhaitant se former ou renforcer leur posture de cybersécurité.

Si vous avez besoin d’un accompagnement personnalisé pour déployer ce type de lab, sécuriser votre infrastructure ou former vos équipes, n’hésitez pas à nous contacter. Notre équipe accompagne à la fois les entreprises et les étudiants dans leurs projets de cybersécurité, avec une approche pratique et adaptée à chaque besoin.

Rejoignez également notre groupe Telegram pour échanger avec notre communauté, poser vos questions et partager vos expériences : Pratik-it Community