Rapport d'analyse

Étude du document MEGA2

Objectifs

Conception d’un Réseau sécurisé reliant les deux sites (agences) Yaoundé et Douala de l’entreprise ETS
DreamTech via VPN site-à-site pour des échanges sécurisés

 Déploiement des serveurs pour données, administration et communications (ex. messagerie, gestion
des utilisateurs) sur un réseau dédié pour centraliser les services à Yaoundé
 Accès sécurisé et fiables des services via LAN local (pour les ressources sur chaque site) ou VPN (pour
les ressources centralisées à Yaoundé depuis Douala)

 Simulation du réseau dans EVE-NG pour tester la connectivité et l’accès aux services

Sites
Yaoundé

 Site principal, héberge les serveurs centraux (données, administration, communications

internes/inter-agences) sur un réseau dédié
 2 + 8 + 2 = 12 postes de travail (Bureau administratif, Postes, Réception)
 Accès local via LAN aux services centralisés (direct et performant avec une supervision pour
monitorer la disponibilité)
 Accès distant via VPN pour Douala (Administration et supervision à distance, Accès à des
ressources locales à Douala, Communications internes initiées depuis Yaoundé)

Douala

 Site secondaire, dépend des serveurs de Yaoundé pour les services critiques1
 2 + 8 + 2 = 12 postes de travail (Bureau administratif, Postes, Réception)
 Accès local via LAN pour les ressources sur site, accès distant via VPN aux services centralisés de
Yaoundé
 Serveur local pour messagerie client, cache de fichiers non critiques, applications légères et bastion
administratif.

Structure

Salle principale (8 postes utilisateurs)

 Besoins en accès simultanés aux fichiers, messagerie et Base de Données
 Trafic soutenu mais principalement orienté vers Yaoundé (via VPN dans le cas de Douala)

Bureau administratif
 Poste plus sensibles1 (gestion, comptabilité)
 Accès stable et priorisée aux ressources centralisées (BD, fichiers, messagerie interne)
 Sécurité renforcée (Politiques de sécurité adaptées aux postes sensibles)
Réception

 Postes exposés au public (risques d’usage externe).

  Accès limité aux ressources internes (messagerie client, CRM, mais pas aux données sensibles).
 Filtrage à prévoir (ACL, proxy)

Services/ Ressource
Inter-site (Yaoundé Accès centralisé (serveurs
Service / Ressource Intra-site (même agence)
↔ Douala) Yaoundé)
Partage SMB/NFS via VPN site-à-site pour Serveur de fichiers central
Fichiers (serveur de
serveur local (cache ou accès aux fichiers Yaoundé pour données
fichiers)
fichiers non critiques) critiques sensibles
Base de données Pas de BD locale → accès Serveur BD central
VPN vers Yaoundé
(Métier) via VPN si besoin (10.10.100.x)
VPN pour accès aux
Messagerie interne Serveur local DMZ pour Serveur messagerie central
boîtes internes
(Exchange/Zimbra) messagerie client / contacts Yaoundé
centralisées
Messagerie client Serveur DMZ local pour VPN ou Internet vers Serveur DMZ central
(contact, webmail) accès direct DMZ site opposé Yaoundé
Réplica AD local si Auth via VPN vers Serveur AD/DNS central
AD / Authentification
nécessaire Yaoundé Yaoundé
Relais DNS/DHCP léger VPN vers AD central Serveur DNS/DHCP central
DNS / DHCP
sur serveur local si dépendance AD Yaoundé
Applications métiers / VPN vers Yaoundé Serveur web/applications
Applications légères locales
Intranet pour apps centrales interne à Yaoundé
LAN interne pour qualité VPN ou Internet selon Peut dépendre de serveur
Visioconférence
max QoS central ou cloud
Pas pertinent (chaque Contrôle via AD central
Impression réseau Serveur d’impression local
site a ses imprimantes) possible
NAS/serveur local pour VPN pour réplication Serveur/NAS centralisé
Sauvegardes / Archivage
copies rapides inter-sites Yaoundé
VPN vers Yaoundé
Accès administration / Bastion ou serveur local Tous les serveurs critiques
pour gérer services
supervision sécurisé pour admins gérés depuis Yaoundé
centraux

Types de données1
Type de données Exemple concret Localisation / Gestion
Base de données clients : noms, contacts, Serveur central Yaoundé, accès via
Critiques
contrats, factures VPN depuis Douala
Données financières internes (budgets,
Serveur central Yaoundé
transactions)
Messagerie interne confidentielle Serveur messagerie central Yaoundé
Fichiers stratégiques / projets sensibles
Serveur central Yaoundé
(R&D, codes sources)
Informations IT sensibles (identifiants,
Serveur central Yaoundé
configurations, clés VPN)
Non critiques /
Fichiers de travail collaboratif non sensibles Serveur minimal Douala (cache)
temporaires
Portail intranet léger / formulaires internes Serveur minimal Douala
Messagerie client externe (webmail, contact Serveur minimal Douala ou DMZ
clients) locale
Type de données Exemple concret Localisation / Gestion
Fichiers de consultation ou ressources
Serveur minimal Douala
publiques internes

Contraintes locales
Cyber sécurité au Cameroun (Loi n°2010/012)
Objectifs
 Faire en sorte que les échanges sur Internet et dans les systèmes d’information soient sûrs et fiables.
 Déterminer ce qui est légal pour les preuves électroniques, la sécurité des systèmes, le chiffrement et
les certificats numériques.
 Assurer le respect de la vie privée, de la dignité et de l’honneur des individus, ainsi que les intérêts
légitimes des entreprises et organisations. (voir Article 1er)

Application à MEGA2
Le projet appartient à la catégorie des réseaux terrestres qui sont bien concernés par la loi :

1. Instaurer la confiance dans les réseaux et systèmes

 Tous les flux inter-sites (VPN) doivent être sécurisés, chiffrés et authentifiés.
 Le Zero Trust doit être appliqué : chaque accès, interne ou externe, est vérifié avant d’autoriser ;
authentification forte, permissions minimales, surveillance des accès
 Les serveurs locaux à Douala ne stockent que des données non critiques ou temporaires (en cache)
pour limiter l’exposition et un Bastion à Douala pour l’administration sécurisée vers Yaoundé.
 Les communications internes (messagerie, applications métiers) doivent être protégées contre les
interceptions ou modifications (DMZ) ; Chiffrement obligatoire pour messagerie, webmail,
applications métiers.

2. Fixer le régime juridique de la preuve numérique, sécurité et cryptographie

 Toute journalisation des accès et actions sur les serveurs et services critiques est nécessaire pour
avoir une traçabilité légale ce qui implique des sauvegardes sécurisées et journalisées pour preuves
légales et récupération.
 Les copies de sauvegarde et bases de données doivent être sécurisées et horodatées.
 L’usage de certificats numériques et chiffrement mTLS pour messagerie, webmail et applications
internes doit être implémenté.

 Les mots de passe, clés et authentifications doivent suivre des règles de sécurité conformes aux
standards légaux.
 3. Protéger les droits fondamentaux des personnes et intérêts des entreprises

 Les données personnelles des employés et clients stockées à Yaoundé ou sur le serveur minimal
Douala doivent être protégées.
 Les accès aux données sensibles doivent être strictement contrôlés (permissions selon rôle, audit) ce
qui implique audits réguliers pour vérifier conformité et sécurité
 Les messageries internes et fichiers stratégiques ne doivent pas être accessibles à tous, même sur site.
 Les activités de surveillance et supervision doivent respecter la vie privée des utilisateurs tout en
garantissant la sécurité.

Les normes en vigueur

 Mesures techniques et organisationnelles : le réseau multi-site doit avoir VPN, segmentation

LAN/DMZ, contrôles d’accès via AD, politiques de sécurité, surveillance et journalisation des activités.

 Gestion continue des risques : la mise en place d’IDS/IPS, alertes sur anomalies, sauvegardes régulières.

 Protection des systèmes : sécurisation des serveurs centraux à Yaoundé et du serveur minimal à Douala,
chiffrement des données, contrôle des accès aux fichiers critiques et messagerie.

 Authentification et non-répudiation : authentification forte, certificats SSL/TLS pour messagerie et

applications, journalisation des actions sensibles.

 Confidentialité et sécurité physique : protection physique des salles serveurs et contrôle des accès
locaux.

 Sensibilisation des utilisateurs

 Informer les employés à Douala et Yaoundé sur les risques liés à l’usage des postes et applications.
 Mettre en place des procédures simples pour signaler les activités suspectes.

 Protection technique

 Tous les postes clients doivent avoir antivirus/anti-malware et mises à jour automatiques.
 Les pare-feu et systèmes de détection d’intrusions doivent être activés sur le réseau interne et sur les
serveurs.

 Contrôle d’accès aux services

 Restreindre l’accès aux données critiques (BD, fichiers sensibles, messagerie interne) en fonction des
profils utilisateurs via AD/Zero Trust.
 Garantir que les flux critiques passent par VPN chiffré pour éviter toute interception externe.

Menaces courantes

On distingue les menaces locales caractérisées par des logiciels malveillants diffusés via des supports
physiques, les menaces en ligne, les attaques exploitant les failles de sécurité, attaques ciblant des accès
distants non protégés, attaques donnant un accès clandestin aux systèmes des entreprises et administration

1. Phishing et Ingénierie Sociale :

Menace : Les cybercriminels utilisent des emails, messages ou appels trompeurs pour obtenir des informations
sensibles.
Protection :

 Mise en œuvre de Zero Trust avec authentification forte via MFA (Okta) et 802.1X pour vérifier
l'authenticité des accès.

 Formation des équipes via workshops pour sensibilisation.

 Détection d'anomalies via IDS hybride (Suricata + ML comme XGBoost) pour identifier communications
suspectes.

2. Ransomwares :

Menace : Des logiciels malveillants chiffrent les données, demandant une rançon pour les débloquer.

Protection :

 Plan de Reprise d’Activité (PRA) avec containment via VLAN Quarantaine, éradication de malwares, et
restauration depuis backups (Bacula/Veeam).
 Patch compliance mesurée (>95%) dans les métriques de succès pour mises à jour régulières.
 Détection proactive via pipeline ML (Autoencoder pour anomalies) intégré à l’IDS.

3. Attaques par Déni de Service (DDoS) :

Menace : Des attaquants inondent un service en ligne, le rendant inaccessible.

Protection :

 QoS et limitation de flux sur VPN et pare-feux (pfSense) pour mitigation.

 Surveillance du trafic réseau via Zabbix avec alertes SNMP/syslog.
 Tests simulés avec Metasploit des tests avancés pour validation.

4. Vulnérabilités des Applications Web :

Menace : Les failles dans les applications web peuvent être exploitées pour accéder à des données sensibles.

Protection :

 Segmentation DMZ pour services web (Zimbra) avec firewall rules strictes (deny by default).
 Pentest pour tests de sécurité.
 Audits de conformité (ISO 27001) pour correction rapide des vulnérabilités.

5. Accès Non Autorisé et Identités Compromises :

Menace : Des attaquants exploitent des identifiants compromis pour accéder à des systèmes sensibles.

Protection :

 Gestion des identités via Active Directory (AD) avec politiques d’accès et MFA.
 Principle of least privilege appliqué aux ACL et VLAN pour isolation.
 Surveillance des activités anormales via IDS/ML (LSTM pour patterns temporels) et Zabbix pour détection
en temps réel.

Source : Les 5 Principales Menaces en Cybersécurité au Cameroun et Comment s'en Protéger

Cameroun : 19 millions de cyberattaques contre les entreprises et les institutions en 2024

Identifier ressources
Outils
EVE-NG

EVE-NG sert d'environnement de simulation virtuel principal pour la construction, la configuration et les
tests de l'infrastructure réseau multi-site sécurisée entre Yaoundé et Douala. Il permet de reproduire
fidèlement la topologie réseau sans déploiement physique, en intégrant des équipements virtuels pour valider
les composants comme le VPN site-à-site, les VLAN, le routage OSPF, l'IDS/IPS hybride, et la supervision
Zabbix. Son utilisation est centrée sur les phases de mise en place et de tests.

Datasets ML
CSE-CIC-IDS2018
Un projet de collaboration entre le Centre de la Sécurité des Télécommunications (CST) et l’Institut
Canadien sur la Cyber sécurité (CIC)

L’objectif principal de ce projet est de développer une approche systématique pour générer un ensemble de
données de référence diversifiées et complètes pour la détection des intrusions basée sur la création de
profils d’utilisateurs, combinés pour générer un ensemble diversifié d’ensembles de données, contenant des
représentations abstraites des événements et des comportements observés sur le réseau.

L’ensemble de données final comprend sept scénarios d’attaque différents : Brute-force, Heartbleed, Botnet,
DoS, DDoS, attaques Web et infiltration du réseau de l’intérieur.

Contenu
Feature Name Description

Dst Port Destination port of connection/Port de destination de la connexion

Protocol Protocol used during connection/Protocole utilisé durant la connexion

Timestamp Time that connection occurred/Temps que la connexion a eu lieu

Flow Duration Duration that connection occurred/Durée pendant laquelle la connexion a eu lieu

Tot Fwd Pkts Total number of forward packets/Nombre total de paquets en avant

Tot Bwd Pkts Total number of backward packets/Nombre total de paquets en arrière

TotLen Fwd Pkts Total length of forward packets/Longueur totale des paquets en avant

TotLen Bwd Pkts Total length of backward packets/Longueur totale des paquets en arrière

Fwd Pkt Len Max Maximum length of forward packets/Longueur maximale des paquets en avant

Fwd Pkt Len Min Minimum length of forward packets/Longueur minimale des paquets en avant
Téléchargement
1. Complet

aws s3 sync --no-sign-request s3://cse-cic-ids2018/ C:\Users\Yerdua\Downloads

2. Partiel (Kaggle)

IDS 2018 Intrusion CSVs (CSE-CIC-IDS2018)

Source : L’IDS 2018 | Jeux de données | Recherche | Institut canadien sur la cybersécurité | UNB