B3 CYBERSÉCURITÉ & ETHICAL HACKING — EFREI BORDEAUX 2026

Axes d'Amélioration

Ce dossier regroupe les axes d'amélioration qu'on a identifiés pour notre infra SOC & Honeypot. On a pas eu le temps de tout implémenter, du coup on détaille ici ce qu'on aurait fait avec plus de temps et de ressources.

C5 RedondanceC6 MonitoringC7 IncidentsC8 Automatisation

Qu'est-ce qu'on aurait redondé ?

Chaque composant (pfSense, Cowrie, ELK) est présent en un seul exemplaire. Si un seul élément tombe, toute la chaîne de détection est cassée. On a identifié 5 axes de redondance qu'on aurait mis en place avec plus de temps.

pfSense HA (CARP)

C'est probablement l'axe le plus important. pfSense est le point d'entrée et de sortie de tout le trafic — s'il tombe, plus rien ne communique entre les VLANs. L'idée c'est d'utiliser CARP pour avoir deux pfSense qui partagent une IP virtuelle.

# Architecture CARP proposée
VIP LAN:  10.10.10.1  (partagée)
VIP DMZ:  10.10.20.1  (partagée)

Master:   10.10.10.2 / 10.10.20.2
Backup:   10.10.10.3 / 10.10.20.3

Sync: pfsync (State Table) + XMLRPC (Config)
Basculement: < 3 secondes, transparent

Elasticsearch Cluster 3 nœuds

Avec un seul nœud, une panne disque = perte totale des données. ES fonctionne nativement en cluster. Avec 3 nœuds, on peut perdre un nœud sans perdre de données grâce aux replicas.

cluster.name: soc-honeypot-cluster
discovery.seed_hosts:
  - "10.10.10.20"  # es-node-1 (existant)
  - "10.10.10.21"  # es-node-2 (nouveau)
  - "10.10.10.22"  # es-node-3 (nouveau)

# Réplication automatique
index.number_of_replicas: 1

2 instances Cowrie

Deux instances (10.10.20.10 + 10.10.20.11) avec répartition du trafic par pfSense. Si une tombe, l'autre continue à capturer. Chaque instance envoie ses logs via Filebeat avec un champ pour identifier la source.

RAID 1 stockage ELK

On avoue que celui-là est un peu théorique dans notre contexte. Vu qu'on est sur VirtualBox, le RAID 1 protègerait contre la corruption logique mais pas contre une panne du disque physique de l'hôte.

systemd + watchdog

Le plus simple à mettre en place. On configure systemd pour redémarrer automatiquement les services critiques (Restart=on-failure, RestartSec=10). Redémarrage en moins de 30 secondes.

Synthèse

Composant	Type de redondance	SPOF éliminé	Basculement
pfSense	CARP HA + LACP	Pare-feu unique	< 3s
Elasticsearch	Cluster 3 nœuds	Nœud ES unique	Transparent
Cowrie	2 instances	Honeypot unique	< 5s
Stockage ELK	RAID 1	Disque unique	Transparent
Services	systemd + watchdog	Arrêt de service	< 30s