← Retour au carnet Projet 03 · En production · v4
Supervision temps réel · SIEM · COMCYBER · 2023 → présent

HERMES

Highly Efficient Real-time Monitoring and Event System, plateforme de monitoring et SIEM conteneurisée, déployable en une seule commande.

v4.0
Nov. 2025
9
Services conteneurisés
Couches de détection
1 cmd
Déploiement
↳ Tout voir. Tout corréler. Tout garder.
En productionCOMCYBER · 2023→
i.

L'observatoire : tout voir, tout comprendre.

HERMES agrège métriques système, logs réseau et alertes de sécurité en temps réel. Déploiement en une commande, credentials générés automatiquement.

Les systèmes que l'on surveille produisent un flux continu d'événements. Sans centralisation, la détection d'anomalies est impossible. HERMES répond à ce besoin : tout remonter, tout corréler, tout visualiser depuis un dashboard unifié.

Le cœur repose sur une stack d'observabilité open-source (Grafana, Loki, Prometheus), choisie pour sa légèreté. Un moteur SIEM Wazuh y est intégré pour la détection d'intrusions, le suivi d'intégrité des fichiers et le croisement avec les vulnérabilités connues.

↳ Voir l'ensemble. Le Blue Team ne réagit pas, il anticipe.

Tout passe par une CLI : hermes install pose la stack clé en main, génère et fait tourner les secrets, chiffre les sauvegardes. Détection, labo, diagnostic : l'exploitation tient en quelques commandes.

ii.

Architecture : trois couches, un pipeline.

Collecte → Stockage → Visualisation. Neuf services sur un réseau Docker isolé, chaque couche indépendante et remplaçable.

Collecte
Wazuh Manager:1514
Promtail:9080
Node Exporter:9100
Stockage
Loki:3100
Prometheus:9090
Wazuh Indexer:9200
InfluxDB:8086
Visualisation
Grafana:3000
Wazuh Dashboard:5601

Des agents légers collectent logs et métriques ; une couche de stockage les indexe ; Grafana restitue le tout dans quatre dashboards unifiés. Tout le trafic reste sur un réseau bridge isolé ; seuls les ports explicitement publiés sont exposés.

iii.

Détection sur trois couches.

Trois moteurs complémentaires : règles portables, corrélation temps réel, seuils métriques.

  • Sigma : 5 règles portables au format YAML, exportables vers Splunk, Elastic ou QRadar. La référence vendor-neutral.
  • Wazuh : 10 règles natives de corrélation temps réel (fréquence, même IP, même utilisateur), alertes de niveau 8 à 14.
  • Grafana Alerting : seuils sur les métriques Prometheus : CPU, saturation mémoire, erreurs réseau.
  • Intégrité & CVE : suivi des fichiers critiques, croisement avec les bases de vulnérabilités publiques.
iv.

Le labo : simuler pour détecter.

Un mode lab intégré génère des logs d'attaque réalistes, sans exposer l'hôte, pour valider la détection de bout en bout, cartographiée sur MITRE ATT&CK.

  • nmap_scan · T1046 · Discovery
  • brute_force_ssh · T1110 · Credential Access
  • lateral_movement · T1021 · Lateral Movement
  • c2_beacon · T1071 · Command & Control
  • dns_exfiltration · T1048 · Exfiltration

Deux playbooks multi-étapes enchaînent ces scénarios (apt_simulation et insider_threat) pour rejouer une intrusion complète et vérifier que chaque couche réagit comme prévu.

Ce que ça dit de moi

Voir l'ensemble. Détection, triage, alerte.

HERMES est né d'une conviction : on ne peut pas auditer ce qu'on ne surveille pas. Le déployer au COMCYBER, dans un environnement où les erreurs ont des conséquences réelles, m'a appris à concevoir des systèmes qui doivent fonctionner sans supervision constante.

Le choix d'une stack légère plutôt qu'une usine à gaz, c'est du pragmatisme : juste ce qu'il faut pour voir clair, sans surcharge inutile.