MODE : FORMATION_ACTIVE
Lab SOC — Honeypot SSH, Pipeline ELK & NIST 800-53
arrow_back Projets
Cyber / Blue Team Terminé

Lab SOC — Honeypot SSH, Pipeline ELK & NIST 800-53

Honeypot Cowrie exposé sur VPS réel. Pipeline ELK complet (Filebeat → Logstash → Kibana) avec dashboards mappés sur les contrôles NIST 800-53. Données d'attaques réelles collectées et analysées.

ELK StackHoneypot CowrieDockerFilebeatLogstashKibanaNIST 800-53

01 | Le contexte

Le secteur bancaire subit une pression cyber sans précédent avec une explosion des attaques ciblées et des enjeux de conformité majeurs. Face à ce constat, l'objectif de ce projet était de concevoir une infrastructure de défense capable de capturer et d'analyser ces menaces en conditions réelles. L'enjeu principal consistait à s'aligner sur les exigences très strictes des institutions financières américaines, notamment la norme NIST 800-53, pour proposer une solution ancrée dans la réalité métier.

02 | Le projet

J'ai architecturé et déployé de A à Z un laboratoire SOC complet simulant une infrastructure bancaire. La première étape a consisté à déployer un leurre (Honeypot Cowrie) exposé mondialement sur un VPS distant. Cela m'a permis d'attirer les botnets et de capturer les méthodes des attaquants en direct, sans faire courir de risque à un système réel.

Pour traiter ces événements, j'ai construit un pipeline de données complet avec Filebeat et Logstash. Ce système collecte les logs bruts, les nettoie et les enrichit en temps réel, par exemple en géolocalisant les adresses IP malveillantes. L'intégralité de cette architecture a été conteneurisée avec Docker pour garantir une scalabilité parfaite et s'appuie sur la stack ELK, une référence incontournable sur le marché des SIEM bancaires.

Enfin, j'ai conçu l'interface d'analyse sur Kibana. Plutôt que de multiplier les graphiques inutiles, j'ai pris le parti de mapper chaque visualisation à un contrôle de sécurité précis exigé par le framework NIST 800-53. Ainsi, chaque tableau de bord répond à une problématique légale ou opérationnelle concrète, comme la surveillance réseau ou l'audit des comptes privilégiés ciblés.

03 | Les apprentissages

Ce projet m'a permis d'acquérir une maîtrise approfondie du cycle de vie de la donnée de sécurité (SIEM Engineering). J'ai pu expérimenter le cheminement complet d'un indicateur de compromission, de sa collecte à l'état brut lors d'une attaque jusqu'à sa restitution visuelle et son interprétation.

Sur le plan stratégique, j'ai assimilé le fait qu'une architecture technique n'a de véritable valeur que si elle sert les enjeux légaux d'une entreprise. Devoir justifier mes choix techniques par le prisme d'une norme internationale stricte (NIST/FFIEC) m'a donné une vision beaucoup plus mature et "business" de la cybersécurité.

Enfin, j'ai considérablement renforcé mon autonomie et ma capacité d'adaptation. J'ai piloté l'ensemble de la chaîne, de l'administration serveur Linux à la configuration DNS, en passant par le debugging complexe des pipelines de données, tout en gérant le stress lié à l'exposition d'un serveur face à de véritables attaques du web.