Détectez les attaques
avant qu'elles causent des dégâts

SecureDash surveille votre réseau en temps réel avec Suricata et Wazuh. Une alerte critique bloque l'IP en moins de 90 secondes, vous appelle sur votre téléphone et crée l'incident automatiquement.

Voir le dashboard Mémoire et code source

Self-hosted  ·  Aucune donnée vers l'extérieur

Compatible avec
Suricata 7.0.10 Wazuh 4.14.3 Elasticsearch 9.3 Logstash 9.3.0 Flask 3.0 Python 3.13 Telegram Bot Infobip TTS
Plateforme

Tout ce qu'il faut, rien de superflu

Six pages, chacune avec un rôle précis. Pas besoin de formation pour s'en servir.

Vue d'ensemble

Tableau de bord principal

La situation sécurité de l'infrastructure en un coup d'oeil. Les données se rafraîchissent toutes les 30 secondes via WebSocket, sans aucune action.

  • 4 compteurs temps réel : alertes critiques, élevées, agents connectés, total 24h
  • Timeline horaire et heatmap sur 7 jours
  • Répartition Suricata / Wazuh par source
  • Top 10 adresses IP suspectes avec blocage en un clic
  • État actif / inactif des agents Wazuh
Tableau de bord SecureDash
Gestion des alertes

Toutes les alertes, filtrées et classées

L'historique complet des événements détectés par Suricata et Wazuh. Chaque alerte est automatiquement mappée vers le framework MITRE ATT&CK.

  • Filtres par sévérité, source et période
  • Recherche plein texte par IP ou signature
  • Badge MITRE ATT&CK sur chaque alerte
  • Déduplication SHA1 — une attaque = un seul événement
  • Blocage IP directement depuis le tableau
Page alertes SecureDash
Suivi des incidents

Du détecté au clôturé

Chaque alerte CRITICAL crée automatiquement un incident. L'opérateur documente ses actions et génère le rapport PDF depuis l'interface, sans quitter le dashboard.

  • Création automatique par le daemon à chaque alerte CRITICAL
  • 4 états : Détecté, En cours, Résolu, Clôturé
  • Chaque transition est horodatée — journal d'audit complet
  • Rapport PDF généré par ReportLab
  • Envoi automatique par email SMTP à la clôture
Gestion des incidents SecureDash
Agents Wazuh

Visibilité sur chaque machine

La page agents interroge l'API REST Wazuh en temps réel (port 55000). Chaque machine surveillée affiche son statut, son OS et son historique d'alertes.

  • Statut actif / inactif avec date du dernier contact
  • Compteur d'alertes par agent sur les 24 dernières heures
  • Actions : redémarrer, quarantaine, isoler réseau
  • Scans Syscheck et Rootcheck depuis l'interface
  • Changement de groupe Wazuh en un clic
Page agents Wazuh SecureDash
Blocage proactif

Les IP malveillantes isolées en moins de 90 secondes

Quand une alerte CRITICAL est confirmée, le daemon applique quatre règles iptables simultanément. L'adresse IP est coupée de tout le réseau — elle ne peut plus rien atteindre ni être atteinte.

  • IP WiFi et LAN bloquées 120 minutes, IP externes 60 minutes
  • Whitelist permanente : passerelle, DNS, serveur SOC
  • Déblocage manuel depuis la page Blocklist
  • Historique complet : raison, durée, date, opérateur
  • Synchronisation iptables vérifiable en un clic
Page blocklist SecureDash
Ce qui est inclus

Six modules qui tournent sur votre serveur

Aucun abonnement, aucune donnée qui part vers un cloud externe. Les seules connexions sortantes sont vos notifications.

Dashboard temps réel

WebSocket toutes les 30 secondes, ECharts 5 pour les graphiques, déduplication SHA1. La page ne se recharge jamais.

Double détection

Suricata surveille le réseau avec 43 règles personnalisées (SIDs 9000001–9000043). Wazuh surveille les hôtes avec plus de 3 000 règles intégrées.

Gestion des incidents

Cycle en 4 états : Détecté, En cours, Résolu, Clôturé. Chaque transition est horodatée. Rapport PDF envoyé par email à la clôture.

Notifications automatiques

HIGH → Telegram. CRITICAL → Telegram + appel Infobip TTS + blocage IP + création d'incident. Cooldown de 30 minutes par IP pour éviter le spam.

Rapports PDF

ReportLab génère le rapport complet à la clôture d'incident : IP source, signature, tactique MITRE, cause racine, recommandations. Envoyé par SMTP.

MITRE ATT&CK

Chaque alerte est mappée automatiquement vers une tactique et une technique MITRE via le module mitre_mapper.py. L'opérateur voit où en est l'attaque dans son cycle.

Notifications

La bonne alerte au bon moment

Le daemon interroge Elasticsearch toutes les 60 secondes. Trois niveaux, trois comportements distincts. Le bruit est filtré avant d'atteindre l'opérateur.

CRITICAL ≥ 12

Appel + blocage IP

Infobip TTS passe un appel téléphonique en français. L'IP est bloquée via iptables en moins de 90 secondes. Un incident est créé automatiquement.

Infobip TTS + iptables + Telegram
HIGH 9–11

Message Telegram

Un message structuré part sur Telegram : niveau, signature, IP source avec GeoIP, nom de l'agent et horodatage en heure de Cotonou (UTC+1).

Telegram Bot uniquement
MEDIUM 4–8

Dashboard uniquement

L'alerte est enregistrée et visible dans la page Alertes. Aucune notification externe — les événements informatifs ne saturent pas les canaux critiques.

Dashboard SecureDash
Niveau Wazuh (rule.level) Sévérité Exemples d'événements Actions déclenchées
≥ 12 CRITICAL Brute force réussi, rootkit, malware actif, reverse shell Telegram + Infobip TTS + blocage IP + incident
9 – 11 HIGH Nombreux échecs d'auth, scan actif, exploit tenté Telegram uniquement
4 – 8 MEDIUM Quelques échecs d'auth, modification config système Dashboard uniquement
1 – 3 LOW Événements informatifs Supprimé par le pipeline Logstash, non indexé
Architecture

Comment les données circulent

De la détection réseau à la notification sur votre téléphone, tout se passe en moins de 90 secondes et sans sortir de votre infrastructure.

Suricata 7.0.10 IDS réseau · 43 règles custom
Wazuh 4.14.3 HIDS · EDR · 3 000+ règles
Logstash 9.3.0 ETL · Grok · SHA1 dedup
Elasticsearch 9.3 Index soc-alerts-* · REST
Flask 3.0 + Dashboard Python 3.13 · SocketIO · ECharts
Python 3.13 Flask 3.0 Elasticsearch 9.3 Logstash 9.3.0 Wazuh 4.14.3 Suricata 7.0.10 Flask-SocketIO ECharts 5 PyJWT ReportLab Telegram Bot API Infobip TTS iptables 1.8.11 hostapd 2.11 dnsmasq 2.91 Ubuntu 25.10
Validation

Testé avec de vraies attaques

Cinq scénarios simulés dans l'environnement WiFi SOC-LAB-PME (192.168.50.0/24). Machine attaquante Kali Linux. Cibles : Windows 10, Kali Linux, serveur SOC.

< 90s
Délai de détection
Cycle daemon 60s + traitement ~30s
< 5%
Taux de faux positifs
Mesuré sur 48h de trafic réseau normal
43
Règles Suricata custom
SIDs 9000001 à 9000043, 7 catégories
7,2 Go
RAM consommée
Sur serveur 8 Go — matériel courant
Scénario Outil Règle déclenchée Sévérité Délai Blocage IP Telegram Infobip
Scan réseau Nmap -sS CUSTOM SCAN Nmap + ET SCAN HIGH < 5s Non Oui Non
Brute force SSH Hydra CUSTOM BRUTEFORCE SSH + Wazuh CRITICAL < 30s 2h Oui Oui
Canal C2 / Reverse shell Metasploit CUSTOM C2 REVERSE SHELL inter-WiFi CRITICAL < 3s 2h Oui Oui
Injection SQL SQLmap CUSTOM EXPLOIT SQLmap + ET WEB CRITICAL < 3s 2h Oui Oui
Scan web Nikto CUSTOM WEB SCAN + ET SCAN Nikto HIGH < 10s Non Oui Non
Ressources

Mémoire et code source

Le mémoire complet et le code source sont accessibles sur demande. Chaque demande est examinée individuellement avant envoi.

Mémoire de licence

Rapport complet — 75 pages

Le document de soutenance complet : revue de littérature, architecture détaillée, implémentation technique et résultats des tests avec captures réelles.

  • Architecture en trois couches expliquée
  • Pipeline Logstash complet et commenté
  • 43 règles Suricata personnalisées
  • Résultats des 5 scénarios d'attaque
  • Métriques de performance mesurées
Code source

Application Flask complète

Le code source complet — application Flask, configuration Logstash, règles Suricata et scripts systemd. Livré avec une licence nominative à votre nom.

  • Application Flask 3.0 — Python 3.13
  • Pipeline Logstash soc-pipeline.conf
  • Scripts systemd et point d'accès WiFi
  • 43 règles Suricata custom.rules
  • Fichier .env.example documenté
Services

Vous avez besoin de nous ?

On déploie SecureDash dans votre infrastructure, ou vous pouvez nous recruter directement.

Déploiement pour votre entreprise

On vient installer SecureDash chez vous

Votre infrastructure a besoin d'un SOC mais vous n'avez pas les ressources pour le configurer ? Nous prenons en charge le déploiement complet — du serveur jusqu'au premier tableau de bord opérationnel.

  • Audit de votre infrastructure réseau existante
  • Installation et configuration ELK + Wazuh + Suricata
  • Mise en place des règles Suricata adaptées à votre contexte
  • Configuration des alertes Telegram et Infobip
  • Formation des opérateurs sur le dashboard
  • Documentation technique remise à votre équipe
Nous contacter pour un devis
Recrutement

Vous cherchez un profil cybersécurité ?

Nous sommes deux diplômés en Sécurité des Systèmes et Réseaux Informatique, disponibles pour des missions, stages ou postes dans les domaines suivants.

  • Administration et supervision des systèmes de sécurité
  • Déploiement et configuration SIEM / IDS / EDR
  • Développement d'outils de monitoring (Python, Flask)
  • Analyse d'incidents et réponse aux cyberattaques
  • Audit de sécurité réseau et rédaction de rapports
Nous envoyer un message
Le projet

Qui sommes-nous

Deux diplômés en cybersécurité de l'Institut Les Cours Sonou, Cotonou. Ce projet est notre mémoire de licence.

RO
ODJOUADE Riyad Eriyomi
Développement · Sécurité réseau
Institut Universitaire Les Cours Sonou
Filière SSRI — Promo 2025-2026
MO
OSSENI Mafaze Abiola
Développement · Intégration système
Institut Universitaire Les Cours Sonou
Filière SSRI — Promo 2025-2026

Directeur de mémoire : Dr. Ing Hospice OLUBI  ·  Maître de stage : M. Christopher Gbassi

Questions fréquentes

Ce que les gens demandent

Les questions les plus courantes sur SecureDash, SecureDash et les services proposés.

Qu'est-ce que SecureDash ?
SecureDash est un tableau de bord SOC (Security Operations Center) miniature développé par deux étudiants en cybersécurité à l'Institut Universitaire Les Cours Sonou, au Bénin. Il centralise les alertes de Suricata (IDS réseau) et Wazuh (surveillance des hôtes) dans une interface web développée avec Python et Flask. Le système détecte et bloque automatiquement les cyberattaques en moins de 90 secondes.
Quelle est la différence entre SecureDash et Splunk ou IBM QRadar ?
Splunk et IBM QRadar sont des solutions SIEM commerciales dont le coût annuel peut dépasser 20 000 dollars, hors de portée des PME. SecureDash repose entièrement sur des technologies open source (ELK Stack, Wazuh, Suricata) et tourne sur un serveur standard avec 8 Go de RAM. Il est conçu pour des équipes sans analyste SOC dédié, avec une interface accessible aux non-experts.
Peut-on déployer SecureDash dans une entreprise ?
Oui. Les auteurs proposent un service de déploiement complet : installation d'Elasticsearch, Logstash, Kibana, Wazuh Manager, Suricata, configuration du tableau de bord Flask, mise en place des alertes Telegram et Infobip, et formation des opérateurs. Contactez riyadodjouade@gmail.com ou abiolmafa@gmail.com pour discuter de votre projet.
Quelles attaques SecureDash détecte-t-il ?
SecureDash détecte les scans réseau (Nmap, Masscan), les attaques par force brute (SSH, HTTP, RDP, FTP), les canaux de commande et contrôle (C2), les reverse shells, l'injection SQL, les attaques web (LFI, XSS, webshells), l'exfiltration de données, les mouvements latéraux WiFi et les tentatives d'évasion. Les 43 règles Suricata personnalisées couvrent les scénarios d'attaque les plus fréquents en contexte PME.
Combien de temps faut-il pour détecter une attaque ?
Le délai de détection mesuré en test réel est inférieur à 90 secondes pour l'ensemble du pipeline (détection → alerte Telegram). Pour certaines attaques comme un reverse shell Metasploit ou une injection SQL SQLmap, la détection par Suricata est quasi-instantanée (moins de 3 secondes). Le délai de 90 secondes correspond au cycle du daemon Python qui interroge Elasticsearch toutes les 60 secondes.
Comment obtenir le mémoire ou le code source ?
Le mémoire de 75 pages et le code source complet sont accessibles sur demande via le formulaire de la section Ressources. Chaque demande est examinée individuellement. Le code source est livré avec une licence nominative — un watermark avec votre nom est intégré dans les fichiers avant envoi pour protéger le travail des auteurs.
Quelle infrastructure faut-il pour faire tourner SecureDash ?
SecureDash a été déployé sur un serveur avec un processeur 4 cœurs, 8 Go de RAM et un SSD de 256 Go sous Ubuntu 25.10. La consommation totale est d'environ 7,2 Go de RAM (Elasticsearch : 3,8 Go, Logstash : 900 Mo, reste : ~2,5 Go). Un serveur dédié ou un VPS avec 8 Go de RAM est recommandé pour un déploiement en production.

On peut le faire pour vous

Vous voulez ce système dans votre entreprise ? Contactez-nous. On s'occupe du déploiement complet.

Nous contacter Voir la démo