Projet cybersécurité · Architecture · Supervision

Plateforme de détection
& réponse aux incidents

Projet inspiré d'une étude MOA de sécurisation d'une PME critique, décliné en réalisation technique sur un environnement virtualisé exclusivement Linux. Architecture segmentée, résiliente et orientée visibilité opérationnelle.

LinuxWazuhSuricataHAProxyKeepalived / VRRPFail2banSSH par clésSegmentation réseauJournalisation centralisée

Résumé

Architecture segmentée multi-zones, supervision centralisée, détection réseau temps réel et haute disponibilité sur services critiques.

Logique défensive orientée visibilité, corrélation, résilience et durcissement système.

Contexte du projet

Le projet part d'un besoin de montée en maturité sécurité : limiter l'exposition directe entre services exposés et ressources internes, améliorer la détection, centraliser la supervision et réduire le temps de réaction en cas d'incident. La démarche a été pensée à la fois comme un travail de cadrage et comme une implémentation technique concrète en laboratoire virtualisé.

Objectifs

  • 1Réduire l'exposition entre la DMZ et le réseau interne
  • 2Centraliser les logs et améliorer la visibilité sécurité
  • 3Détecter plus rapidement les activités suspectes
  • 4Rendre l'architecture plus résiliente grâce à la redondance
  • 5Présenter une implémentation cohérente entre cadrage MOA et réalisation technique

Architecture technique réalisée

Séparation claire des rôles : services exposés en DMZ, supervision dans une zone dédiée, capteurs de sécurité spécialisés et mécanismes de continuité pour éviter tout point unique de défaillance.

🌐DMZ

Segment dédié aux services exposés, isolé du réseau interne.

HAProxy redondé

Reverse proxy en double sur deux VMs Linux pour la continuité.

🔁Keepalived / VRRP

VIP de service avec basculement automatique entre nœuds.

📡Zone Supervision

Wazuh et centralisation des événements dans un segment séparé.

🔍Suricata IDS

Sonde réseau pour la détection d'activités suspectes en temps réel.

🍯Honeypot isolé

Segment spécifique pour piéger les attaquants sans risque latéral.

Sécurité & durcissement

  • Authentification SSH par clés uniquement
  • Désactivation de la connexion root à distance
  • Fail2ban sur les services administrés et exposés
  • Filtrage réseau avec pare-feu local
  • Réduction des services non nécessaires
  • Journalisation renforcée et supervision continue
  • Mises à jour de sécurité et hygiène système

Haute disponibilité

La haute disponibilité a été pensée côté Linux autour de Keepalived/VRRP pour assurer le basculement d'une IP virtuelle entre nœuds redondés — évitant qu'un seul service critique ne devienne un point de panne unique.

Le reverse proxy HAProxy est ainsi présenté dans une logique de continuité de service cohérente avec une architecture défensive.

Côté réseau, la cohérence repose avant tout sur la segmentation et l'isolation des flux entre chaque zone.

Résultat & intérêt du projet

Ce projet montre ma capacité à relier une réflexion d'architecture et de gouvernance à une implémentation technique crédible. Il met en avant des compétences en systèmes Linux, supervision sécurité, haute disponibilité, segmentation réseau et durcissement, avec une logique d'ensemble orientée exploitation réelle et lisibilité opérationnelle.

← Retour au portfolio