Documentation technique — Cybelia Cloud Security
Cybelia Cloud Security
Portail de supervision cybersécurité
Cette documentation décrit chaque fonctionnalité du portail : ce que vous faites, ce que le système fait pour vous, et ce que vous obtenez concrètement.
👤 DSI & Responsables informatiques
📋 Dirigeants & DPO
🔍 Auditeurs & RSSI
Cybelia Cloud Security est un portail web de supervision de la sécurité informatique. Il collecte en temps réel les événements de sécurité de tous vos équipements (postes, serveurs, équipements réseau), les analyse, les corrèle, et vous permet de réagir — manuellement ou automatiquement — aux incidents détectés. Chaque organisation dispose de son espace cloisonné, de ses rapports et de son propre paramétrage.
Sommaire
24/7
Supervision continue
< 60 s
Délai de détection
10+
Référentiels conformité
100 %
Isolement multi-org.
ℹ️
Comment lire cette documentation ?
Chaque section présente deux colonnes : Ce que vous faites (actions utilisateur) et Ce que le système fait (traitement automatique). Les encadrés Pour le dirigeant reformulent l'essentiel sans jargon technique. Cette doc s'adresse en priorité au DSI / Responsable IT et au Dirigeant / DPO.
Chaque section présente deux colonnes : Ce que vous faites (actions utilisateur) et Ce que le système fait (traitement automatique). Les encadrés Pour le dirigeant reformulent l'essentiel sans jargon technique. Cette doc s'adresse en priorité au DSI / Responsable IT et au Dirigeant / DPO.
01 — Périphériques supervisés
Visibilité complète sur chaque équipement de votre parc
Chaque poste, serveur ou équipement réseau sur lequel l'agent est installé remonte en temps réel dans le portail. Vous disposez d'une vue unifiée quel que soit le site géographique.
Ce que vous faites
- Accédez à la liste depuis le menu Périphériques
- Filtrez par statut, système d'exploitation, société ou site
- Cliquez sur un équipement pour accéder à son détail complet
- Lancez un scan SCA depuis la fiche d'un équipement
- Consultez les alertes associées à cet équipement
Ce que le système fait
- Synchronise l'état de chaque agent Cybelia en temps réel (actif / déconnecté / hors ligne)
- Collecte les métadonnées : OS, version, IP, nom d'hôte, date de dernière vue
- Géolocalise les équipements disposant d'une IP publique sur la carte interactive
- Alerte si un agent ne répond plus depuis N minutes (paramétrable)
- Regroupe les agents par société et par tenant — aucune donnée ne croise d'une organisation à l'autre
🖥️Exemple — liste des périphériques
SRV-PROD-01ActifUbuntu 22.04 · 192.168.1.10 · Vu il y a 2 min
PC-RH-DUPONTActifWindows 11 · 192.168.1.45 · Vu il y a 5 min
LAPTOP-MARTINDéconnectéWindows 11 · Hors connexion depuis 4h12
SRV-BACKUP-03Hors ligneNon vu depuis 7 jours
💡
Pour le dirigeant : vous savez à tout moment combien d'équipements sont opérationnels et lesquels ont décroché du réseau. Un équipement non supervisé est un angle mort. Le portail élimine ces angles morts.
02 — Alertes & Incidents
Détectez, qualifiez et traitez chaque événement de sécurité
Le portail centralise toutes les alertes remontées par le moteur de détection Cybelia. Chaque événement est classé par criticité et peut déclencher une réponse automatisée.
Ce que vous faites
- Consultez le tableau des alertes depuis le menu Alertes
- Filtrez par criticité, équipement, période ou type d'attaque
- Cliquez sur une alerte pour son contexte technique complet
- Marquez une alerte comme traitée ou assignez-la
- Déclenchez manuellement un playbook de réponse depuis la fiche alerte
Ce que le système fait
- Collecte en continu les événements du moteur HIDS Cybelia et les cas d'incidents gérés
- Classe chaque alerte : Critique Élevé Moyen Faible
- Corrèle les événements multi-équipements pour identifier les campagnes d'attaque
- Déclenche les playbooks configurés pour répondre automatiquement
- Notifie par email et/ou Telegram selon la criticité et les seuils
- Conserve un historique complet horodaté pour audit
🔔Exemple — flux d'alertes du jour
CritiqueBrute force SSH — 47 tentatives en 90 secondesSRV-PROD-01 · 14:32
ÉlevéModification de /etc/passwd détectée (FIM)SRV-SQL-02 · 13:18
ÉlevéProcessus avec élévation de droits non autoriséePC-RH-DUPONT · 11:05
MoyenPort scan depuis 185.220.101.x (TOR exit node)FW-BORDEAUX · 09:44
FaibleCompte utilisateur inactif depuis 90 joursAD · 08:00
🔍
Types d'attaques détectées : brute force (SSH, RDP), élévation de privilèges, modification de fichiers critiques (FIM), lateral movement, exécution de code malveillant, exfiltration, port scanning, exploitation de CVE connues, comportements anormaux de processus.
03 — Vulnérabilités CVE
Identifiez les failles connues avant qu'elles ne soient exploitées
Le module analyse en continu les logiciels installés sur chaque équipement et les compare aux bases CVE mondiales. Chaque vulnérabilité inclut son score CVSS et la correction disponible.
Ce que vous faites
- Consultez les vulnérabilités depuis le menu Vulnérabilités
- Filtrez par équipement, score CVSS, logiciel ou statut (ouvert / corrigé)
- Consultez le détail : description, impact, version affectée, correctif à appliquer
- Exportez la liste pour votre équipe ou prestataire de maintenance
Ce que le système fait
- Inventorie automatiquement tous les paquets et versions installés sur chaque agent
- Croise en continu cet inventaire avec les bases CVE (NVD, OVAL, OSV)
- Attribue un score CVSS 3.x à chaque vulnérabilité (0 à 10)
- Identifie la version corrigée disponible et le vecteur d'attaque
- Priorise les CVE avec exploit public connu actif
- Met à jour le statut automatiquement après détection d'un correctif installé
⚠️
Score CVSS : de 0 à 10. ≥ 9.0 = Critique (exploitation sans authentification possible). 7.0–8.9 = Élevé. Le portail priorise les CVE avec exploit public connu, indépendamment du score CVSS.
💡
Pour le dirigeant : une CVE est une faille publiée dans un logiciel. Si elle n'est pas corrigée, un attaquant peut l'exploiter pour prendre le contrôle d'un équipement. Le portail vous indique précisément quels postes sont concernés et quelle mise à jour appliquer — sans avoir à consulter un expert à chaque fois.
04 — Conformité & SCA
Mesurez votre niveau de conformité sur 10+ référentiels
Le module SCA (Security Configuration Assessment) audite la configuration de sécurité de chaque équipement au regard des grandes normes. Résultat : un score de conformité en % par référentiel, avec chaque écart détaillé et son guide de correction.
Ce que vous faites
- Accédez aux scores depuis le menu Conformité
- Sélectionnez un référentiel pour voir le détail check par check
- Lancez un scan SCA manuellement sur un ou tous les équipements
- Exportez les résultats pour un audit ou un assureur
Ce que le système fait
- Exécute les scans de conformité Cybelia sur chaque agent à intervalles réguliers
- Mappe les résultats sur les référentiels : CIS, RGPD, NIS2, ISO 27001, PCI DSS, HIPAA, NIST, SOC 2, CMMC
- Calcule un score en % par référentiel et par équipement
- Agrège les scores pour une vue globale de la flotte
- Fournit pour chaque écart la mesure corrective associée
Référentiels détectés automatiquement
ℹ️
Les scores sont calculés à partir des tags de conformité natifs du moteur d'analyse Cybelia. Seuls les référentiels pour lesquels des données existent sur les agents supervisés apparaissent dans le portail — les autres sont masqués automatiquement.
| Référentiel | Cible | Périmètre | Obligation légale France |
|---|---|---|---|
| CIS Benchmarks | DSI / RSSI | Durcissement configuration OS — Windows, Linux, macOS | Non — référence sectorielle |
| RGPD / GDPR | DPO / Dirigeant | Mesures techniques de protection des données personnelles | Oui — amendes jusqu'à 4 % du CA mondial (CNIL) |
| PCI DSS v3.2.1 | DSI | Sécurité des environnements de traitement de cartes bancaires | Contractuel si traitement CB |
| PCI DSS v4.0 | DSI | Version 2024 du standard carte bancaire — exigible depuis mars 2024 | Contractuel si traitement CB |
| HIPAA | DSI | Protection des données de santé (contexte US et international) | Non — applicable si partenaires US/santé |
| NIST SP 800-53 | RSSI | Catalogue de contrôles de sécurité (référence internationale) | Non — base de nombreux référentiels |
| ISO 27001:2013 | RSSI / Auditeur | Système de management de la sécurité de l'information | Non — certification volontaire, reconnue UE |
| CMMC v2.0 | DSI | Cybersecurity Maturity Model — sous-traitants US DoD | Non — si contrats défense US |
| SOC 2 | DSI / Auditeur | Sécurité, disponibilité, confidentialité des services SaaS/cloud | Non — certification volontaire |
| GPG 13 | RSSI | Good Practice Guide — supervision et surveillance UK NCSC | Non — référence UK / MSP |
| TSC | Auditeur | Trust Services Criteria — audit SOC 2 AICPA | Non |
⚠️
NIS2 et ISO 27001:2022 ne disposent pas encore de politique d'audit dédiée dans le moteur Cybelia. La conformité NIS2 est évaluée indirectement via les scores CIS + RGPD + NIST. Une politique dédiée NIS2 est prévue dans les prochaines versions du portail.
💡
Pour le dirigeant : le score RGPD indique dans quelle mesure votre infrastructure respecte les obligations légales de protection des données. Un score de 60 % signifie que 40 % des mesures techniques exigées ne sont pas en place. En cas de contrôle CNIL ou de violation de données, ce rapport constitue une preuve de diligence.
05 — Playbooks automatisés
Des scénarios de réponse aux incidents qui s'exécutent seuls
Un playbook est un enchaînement d'actions qui se déclenche automatiquement lorsqu'une condition est remplie. Vous définissez la règle une fois ; le portail l'applique à chaque occurrence, 24h/24.
Ce que vous faites
- Créez un playbook depuis le menu Playbooks
- Choisissez le déclencheur : type d'alerte, criticité, équipement, règle de détection
- Définissez les actions dans l'ordre souhaité
- Activez, désactivez ou modifiez le playbook à tout moment
- Consultez l'historique d'exécution et le résultat de chaque étape
Ce que le système fait
- Évalue chaque règle en continu sur le flux d'alertes entrant
- Exécute les actions dans l'ordre, avec gestion des erreurs
- Journalise chaque étape avec horodatage et résultat
- Peut interrompre la séquence si une action préalable échoue (mode strict)
- Envoie un compte-rendu d'exécution si configuré
Actions disponibles dans un playbook
🚫
Blocage IP / domaine
Ajoute l'adresse source à la liste de blocage du pare-feu ou de l'équipement cible via le moteur de réponse active Cybelia.
🔌
Isolation réseau
Coupe les communications d'un poste compromis sans l'éteindre, pour stopper la propagation latérale.
📣
Notification
Envoie une alerte par email, Telegram, Slack, Teams ou webhook aux destinataires configurés.
📄
Rapport d'incident
Génère un PDF horodaté avec le contexte, les preuves techniques et les actions réalisées.
🎫
Création de cas
Ouvre automatiquement un dossier d'incident Cybelia ou un ticket via webhook, avec les preuves techniques attachées.
⚙️
Script personnalisé
Exécute une commande définie sur l'équipement distant : redémarrage de service, désactivation de compte, collecte forensique.
▶Exemple — Playbook "Réponse brute force SSH"
1
Déclencheur : alerte Cybelia détectée brute force SSH (47+ tentatives en 90 secondes) ou criticité ≥ Élevé sur port 22
2
Blocage IP : l'IP source est ajoutée aux règles de blocage de l'équipement via le moteur de réponse active Cybelia — délai : ~5 secondes
3
Notification : email au DSI + message Telegram sur #alertes-critiques avec l'IP, l'équipement et le nombre de tentatives
4
Dossier d'incident : création automatique d'un dossier Cybelia avec les 50 derniers événements SSH en pièce jointe
5
Rapport PDF : généré et archivé dans l'espace Rapports du portail
⏱
Temps entre détection et blocage de l'attaquant : < 45 secondes. Sans playbook, délai moyen constaté en intervention humaine : 4 heures.
06 — Assistant IA
Un expert cybersécurité disponible à tout moment dans le portail
L'assistant IA est intégré sous forme de bulle de discussion dans le portail. Il connaît le contexte de votre infrastructure et répond en français à vos questions de sécurité, sans nécessiter d'expertise technique avancée.
🤖
L'assistant IA est une option activable par organisation. Il nécessite une clé API Anthropic (Claude), configurable dans Administration → Assistant IA. L'activation est reflétée dans l'abonnement mensuel Cybelia Cloud.
Ce que vous faites
- Cliquez sur la bulle en bas à droite du portail pour ouvrir la conversation
- Posez vos questions en français, sans jargon obligatoire
- L'historique de la session est conservé pendant la conversation
Exemples de questions
- "J'ai une alerte critique sur SRV-PROD-01, qu'est-ce que ça signifie ?"
- "Quel est mon score RGPD et quels sont les écarts prioritaires ?"
- "Comment corriger la CVE-2024-3094 détectée sur 3 serveurs ?"
- "Rédige un résumé de l'incident du 14 mars pour mon assureur cyber"
- "Quel playbook dois-je déclencher si un poste est compromis ?"
Ce que le système fait
- Charge automatiquement le contexte de votre organisation (agents supervisés, alertes récentes)
- Injecte ce contexte dans chaque échange pour des réponses personnalisées à votre parc
- Transmet la requête à Claude (Anthropic) via API chiffrée
- Retourne la réponse formatée en français dans le portail
- Conserve les 10 derniers messages pour maintenir le fil de la conversation
- Applique les contraintes de comportement configurées par l'administrateur
Paramètres de configuration — Administration → Assistant IA
| Paramètre | Description | Valeur par défaut |
|---|---|---|
Nom | Nom affiché dans la bulle de chat | Aria |
Genre | Adapte la conjugaison et les accords dans les réponses | Femme |
Rôle | Titre affiché sous le nom dans la fenêtre | Assistante Cybersécurité |
Mission | Description injectée dans le prompt système | Analyser alertes, guider utilisateur... |
Responsabilités | Périmètre d'action injecté dans le prompt | Surveillance agents, menaces... |
Ne doit jamais faire | Contraintes comportementales absolues — respectées en toutes circonstances | À remplir |
Clé API Anthropic | Clé secrète sk-ant-... pour accès au modèle Claude | Non configurée |
Activé | Active ou désactive l'assistant pour toute l'organisation | Désactivé |
07 — Rapports PDF
Des rapports horodatés prêts pour vos audits, votre direction et votre assurance
Le portail génère automatiquement des rapports PDF mensuels et à la demande. Chaque rapport est archivé dans l'espace sécurisé de l'organisation et peut être envoyé par email aux destinataires configurés.
📊 Rapport mensuel automatique
Généré le 1er de chaque mois. KPIs de la période, alertes par criticité, vulnérabilités ouvertes, scores de conformité, agents actifs/inactifs, évolution sur 12 mois.
Destinataires configurables : DSI, DPO, dirigeant, auditeur externe.
🚨 Rapport d'incident
Généré à la clôture d'un incident ou déclenché par playbook. Timeline, preuves techniques, actions effectuées, recommandations. Format accepté par les cyber-assureurs.
Déclenchement : automatique (playbook) ou manuel.
⚖️ Rapport de conformité
Généré à la demande. Score par référentiel, liste des contrôles passés et échoués, plan de remédiation priorisé. Exportable pour prestataire ou auditeur.
Accès : Conformité → Exporter le rapport.
💡
Pour le dirigeant : en cas de contrôle CNIL, de sinistre cyber déclaré à l'assurance, ou d'audit client, vous disposez d'un historique complet et horodaté de toutes les actions de sécurité réalisées. Ces documents constituent la preuve de votre diligence.
08 — Sécurité du portail
Le portail qui surveille votre sécurité est lui-même sécurisé
🔑Authentification
- Email + mot de passe (bcrypt, coût ≥ 12)
- Double authentification TOTP (Google Authenticator, Authy) — activable par compte
- Tokens JWT RS256 (asymétrique) — expiration 60 minutes
- Refresh token rotation automatique — validité 7 jours
- Rate limiting sur l'endpoint de connexion : 10 tentatives / minute / IP
- Réinitialisation de mot de passe par lien signé (expiration 24h)
📋Journaux d'audit
- Chaque action est journalisée : connexion, consultation, modification, export, déclenchement playbook
- Chaque entrée contient : utilisateur, IP source, horodatage UTC, action et résultat
- Journal en lecture seule — non modifiable par les utilisateurs
- Rétention configurable (défaut : 90 jours)
🔒Chiffrement & Transport
- Toutes les communications chiffrées TLS 1.3 — HTTPS uniquement via Traefik
- Certificats Let's Encrypt — renouvellement automatique
- Secrets (clés API, SMTP) stockés chiffrés en base
- Clés JWT RS256 stockées hors base (
/opt/cybelia/portal/keys/) - Le frontend ne communique jamais directement avec les moteurs de détection Cybelia — tout transite par le backend
🇫🇷Souveraineté des données
- Infrastructure hébergée en France (Union Européenne)
- Aucune donnée de sécurité transmise hors UE — sauf si l'option IA Anthropic est activée (API externe)
- Cybelia Cloud n'a pas accès aux données de sécurité de vos équipements
- DPA (Accord de traitement des données) disponible sur demande
09 — Multi-organisations
Un portail, plusieurs organisations, une isolation totale
Cybelia Security est conçu en architecture multi-tenant stricte. Chaque organisation dispose de son espace cloisonné. Aucune donnée ne peut transiter entre organisations, ni au niveau applicatif ni en base de données.
🏢
Cas d'usage : groupe multi-sites (holdings, filiales), expert-comptable gérant plusieurs clients, MSP proposant la cybersécurité en service managé, réseau de franchises.
Architecture tenant
- Chaque tenant a ses propres utilisateurs, agents, alertes, rapports et paramètres
- Un tenant peut contenir plusieurs sociétés (multi-company)
- Les agents Cybelia sont assignés à une société précise dans chaque tenant
- Toutes les requêtes SQL filtrent sur le
tenant_idextrait du JWT — non contournable - Un utilisateur d'un tenant A ne peut jamais accéder aux données du tenant B
Gestion superadmin Cybelia
- Création et configuration des tenants depuis Administration → Tenants
- Assignation des agents Cybelia à chaque société
- Définition des quotas de périphériques par contrat
- Activation des options (IA, rapports avancés) par organisation
- Vue de supervision globale en lecture seule (aucun accès aux données clients)
10 — Déploiement de l'agent
Supervisez un nouvel équipement en moins de 5 minutes
L'agent Cybelia est le composant installé sur chaque équipement supervisé. Il collecte les événements et les remonte vers le manager central. Aucun port entrant à ouvrir sur l'équipement — l'agent initie la connexion sortante.
ℹ️
Flux réseau : connexion sortante de l'agent vers le manager Cybelia (UDP ou TCP). Compatible équipements derrière NAT, VPN ou pare-feu. Après installation, l'agent doit être approuvé dans le portail Cybelia (automatique si
auto_enrollment activé).Linux — Debian / Ubuntu
# Ajout du dépôt Cybelia Agent curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --dearmor -o /usr/share/keyrings/cybelia-agent.gpg echo "deb [signed-by=/usr/share/keyrings/cybelia-agent.gpg] https://packages.wazuh.com/4.x/apt/ stable main" \ | tee /etc/apt/sources.list.d/cybelia-agent.list apt update # Installation avec configuration du manager Cybelia WAZUH_MANAGER="<MANAGER_IP>" WAZUH_AGENT_NAME="NOM-DU-POSTE" \ apt install -y wazuh-agent # Démarrage du service systemctl daemon-reload systemctl enable --now wazuh-agent
Windows — PowerShell (en tant qu'administrateur)
# Téléchargement de l'agent Cybelia Invoke-WebRequest -Uri "https://packages.wazuh.com/4.x/windows/wazuh-agent-4.12.0-1.msi" ` -OutFile "$env:TEMP\cybelia-agent.msi" # Installation silencieuse msiexec.exe /i "$env:TEMP\cybelia-agent.msi" /q ` WAZUH_MANAGER="<MANAGER_IP>" WAZUH_AGENT_NAME="NOM-DU-POSTE" # Démarrage NET START WazuhSvc
macOS
# Téléchargement de l'agent Cybelia curl -L https://packages.wazuh.com/4.x/macos/wazuh-agent-4.12.0-1.pkg -o /tmp/cybelia-agent.pkg # Installation sudo launchctl setenv WAZUH_MANAGER "<MANAGER_IP>" sudo launchctl setenv WAZUH_AGENT_NAME "NOM-DU-POSTE" sudo installer -pkg /tmp/cybelia-agent.pkg -target / # Démarrage sudo /Library/Ossec/bin/wazuh-control start
⚠️
Après installation, l'agent apparaît dans le portail Cybelia avec le statut Pending. Il doit être approuvé (manuellement ou via
auto_enrollment) pour commencer à remonter des événements dans Cybelia Security.
11 — Architecture technique
Vue d'ensemble des composants
🌐 Navigateur client — React 18 / HTTPS uniquement
↕ TLS 1.3
🔀 Traefik — Reverse proxy · TLS termination · Let's Encrypt · Port 443
↕
⚡ FastAPI
Port 8000 — API REST async
Port 8000 — API REST async
📦 Nginx
Port 3000 — Frontend statique
Port 3000 — Frontend statique
↕
🗄️ PostgreSQL
:5432
:5432
🛡️ Cybelia SIEM
:55000
:55000
🐝 Cybelia Cases
:9000
:9000
| Composant | Rôle |
|---|---|
| Traefik v3 | Reverse proxy, TLS, routage /api → FastAPI, / → Nginx |
| FastAPI + Python 3.11 | API REST async — auth JWT, isolation tenant, agrégation SIEM |
| React 18 + Vite | Interface web — build statique servi par Nginx |
| PostgreSQL 15 | Données portail : tenants, users, contrats, rapports, audit |
| Wazuh 4.12 | HIDS : agents, alertes, FIM, SCA, vulnérabilités |
| TheHive 5 | Gestion de cas d'incidents et alertes qualifiées |
| Cortex 3 | Analyse d'observables IOC (optionnel) |
| APScheduler | Tâches planifiées : rapports mensuels, sync agents |
| Systemd | Supervision des services — pas de Docker |
🖥️
Serveur :
172.0.50.30 — Ubuntu 22.04 LTS. Wazuh, TheHive et Cortex sont installés indépendamment du portail et doivent être opérationnels avant le déploiement de Cybelia Security.
12 — Rôles & Droits
Gestion fine des accès par rôle
4 niveaux d'accès. Les restrictions sont appliquées au niveau backend — elles ne sont pas uniquement visuelles. Le tenant_id est extrait du JWT RS256 signé et filtré à chaque requête SQL.
| Fonctionnalité | Viewer | Admin tenant | Admin société | Superadmin |
|---|---|---|---|---|
| Tableau de bord, alertes, agents | ✓ | ✓ | ✓ | ✓ |
| Télécharger rapports PDF | ✓ | ✓ | ✓ | ✓ |
| Utiliser l'assistant IA | ✓ | ✓ | ✓ | ✓ |
| Déclencher un playbook | ✗ | ✓ | Limité | ✓ |
| Créer / modifier des playbooks | ✗ | ✓ | ✗ | ✓ |
| Gérer les utilisateurs du tenant | ✗ | ✓ | ✗ | ✓ |
| Configurer les notifications | ✗ | ✓ | ✓ | ✓ |
| Activer / configurer l'assistant IA | ✗ | ✓ | ✓ | ✓ |
| Gérer tous les tenants | ✗ | ✗ | ✗ | ✓ |
| Configuration SMTP globale | ✗ | ✗ | ✗ | ✓ |
| Paramètres système (inscriptions, maintenance) | ✗ | ✗ | ✗ | ✓ |
🔐
Garantie d'isolation : le
tenant_id est extrait du token JWT signé RS256. Il est impossible, même en manipulant les paramètres d'URL ou les en-têtes HTTP, d'accéder aux données d'une autre organisation avec un token valide d'un autre tenant.
Documentation technique — Cybelia Cloud Security
Cybelia Cloud Security
Portail de supervision cybersécurité
Cette documentation décrit chaque fonctionnalité du portail : ce que vous faites, ce que le système fait pour vous, et ce que vous obtenez concrètement.
👤 DSI & Responsables informatiques
📋 Dirigeants & DPO
🔍 Auditeurs & RSSI
Cybelia Cloud Security est un portail web de supervision de la sécurité informatique. Il collecte en temps réel les événements de sécurité de tous vos équipements (postes, serveurs, équipements réseau), les analyse, les corrèle, et vous permet de réagir — manuellement ou automatiquement — aux incidents détectés. Chaque organisation dispose de son espace cloisonné, de ses rapports et de son propre paramétrage.
Sommaire
24/7
Supervision continue
< 60 s
Délai de détection
10+
Référentiels conformité
100 %
Isolement multi-org.
ℹ️
Comment lire cette documentation ?
Chaque section présente deux colonnes : Ce que vous faites (actions utilisateur) et Ce que le système fait (traitement automatique). Les encadrés Pour le dirigeant reformulent l'essentiel sans jargon technique. Cette doc s'adresse en priorité au DSI / Responsable IT et au Dirigeant / DPO.
Chaque section présente deux colonnes : Ce que vous faites (actions utilisateur) et Ce que le système fait (traitement automatique). Les encadrés Pour le dirigeant reformulent l'essentiel sans jargon technique. Cette doc s'adresse en priorité au DSI / Responsable IT et au Dirigeant / DPO.
01 — Périphériques supervisés
Visibilité complète sur chaque équipement de votre parc
Chaque poste, serveur ou équipement réseau sur lequel l'agent est installé remonte en temps réel dans le portail. Vous disposez d'une vue unifiée quel que soit le site géographique.
Ce que vous faites
- Accédez à la liste depuis le menu Périphériques
- Filtrez par statut, système d'exploitation, société ou site
- Cliquez sur un équipement pour accéder à son détail complet
- Lancez un scan SCA depuis la fiche d'un équipement
- Consultez les alertes associées à cet équipement
Ce que le système fait
- Synchronise l'état de chaque agent Cybelia en temps réel (actif / déconnecté / hors ligne)
- Collecte les métadonnées : OS, version, IP, nom d'hôte, date de dernière vue
- Géolocalise les équipements disposant d'une IP publique sur la carte interactive
- Alerte si un agent ne répond plus depuis N minutes (paramétrable)
- Regroupe les agents par société et par tenant — aucune donnée ne croise d'une organisation à l'autre
🖥️Exemple — liste des périphériques
SRV-PROD-01ActifUbuntu 22.04 · 192.168.1.10 · Vu il y a 2 min
PC-RH-DUPONTActifWindows 11 · 192.168.1.45 · Vu il y a 5 min
LAPTOP-MARTINDéconnectéWindows 11 · Hors connexion depuis 4h12
SRV-BACKUP-03Hors ligneNon vu depuis 7 jours
💡
Pour le dirigeant : vous savez à tout moment combien d'équipements sont opérationnels et lesquels ont décroché du réseau. Un équipement non supervisé est un angle mort. Le portail élimine ces angles morts.
02 — Alertes & Incidents
Détectez, qualifiez et traitez chaque événement de sécurité
Le portail centralise toutes les alertes remontées par le moteur de détection Cybelia. Chaque événement est classé par criticité et peut déclencher une réponse automatisée.
Ce que vous faites
- Consultez le tableau des alertes depuis le menu Alertes
- Filtrez par criticité, équipement, période ou type d'attaque
- Cliquez sur une alerte pour son contexte technique complet
- Marquez une alerte comme traitée ou assignez-la
- Déclenchez manuellement un playbook de réponse depuis la fiche alerte
Ce que le système fait
- Collecte en continu les événements du moteur HIDS Cybelia et les cas d'incidents gérés
- Classe chaque alerte : Critique Élevé Moyen Faible
- Corrèle les événements multi-équipements pour identifier les campagnes d'attaque
- Déclenche les playbooks configurés pour répondre automatiquement
- Notifie par email et/ou Telegram selon la criticité et les seuils
- Conserve un historique complet horodaté pour audit
🔔Exemple — flux d'alertes du jour
CritiqueBrute force SSH — 47 tentatives en 90 secondesSRV-PROD-01 · 14:32
ÉlevéModification de /etc/passwd détectée (FIM)SRV-SQL-02 · 13:18
ÉlevéProcessus avec élévation de droits non autoriséePC-RH-DUPONT · 11:05
MoyenPort scan depuis 185.220.101.x (TOR exit node)FW-BORDEAUX · 09:44
FaibleCompte utilisateur inactif depuis 90 joursAD · 08:00
🔍
Types d'attaques détectées : brute force (SSH, RDP), élévation de privilèges, modification de fichiers critiques (FIM), lateral movement, exécution de code malveillant, exfiltration, port scanning, exploitation de CVE connues, comportements anormaux de processus.
03 — Vulnérabilités CVE
Identifiez les failles connues avant qu'elles ne soient exploitées
Le module analyse en continu les logiciels installés sur chaque équipement et les compare aux bases CVE mondiales. Chaque vulnérabilité inclut son score CVSS et la correction disponible.
Ce que vous faites
- Consultez les vulnérabilités depuis le menu Vulnérabilités
- Filtrez par équipement, score CVSS, logiciel ou statut (ouvert / corrigé)
- Consultez le détail : description, impact, version affectée, correctif à appliquer
- Exportez la liste pour votre équipe ou prestataire de maintenance
Ce que le système fait
- Inventorie automatiquement tous les paquets et versions installés sur chaque agent
- Croise en continu cet inventaire avec les bases CVE (NVD, OVAL, OSV)
- Attribue un score CVSS 3.x à chaque vulnérabilité (0 à 10)
- Identifie la version corrigée disponible et le vecteur d'attaque
- Priorise les CVE avec exploit public connu actif
- Met à jour le statut automatiquement après détection d'un correctif installé
⚠️
Score CVSS : de 0 à 10. ≥ 9.0 = Critique (exploitation sans authentification possible). 7.0–8.9 = Élevé. Le portail priorise les CVE avec exploit public connu, indépendamment du score CVSS.
💡
Pour le dirigeant : une CVE est une faille publiée dans un logiciel. Si elle n'est pas corrigée, un attaquant peut l'exploiter pour prendre le contrôle d'un équipement. Le portail vous indique précisément quels postes sont concernés et quelle mise à jour appliquer — sans avoir à consulter un expert à chaque fois.
04 — Conformité & SCA
Mesurez votre niveau de conformité sur 10+ référentiels
Le module SCA (Security Configuration Assessment) audite la configuration de sécurité de chaque équipement au regard des grandes normes. Résultat : un score de conformité en % par référentiel, avec chaque écart détaillé et son guide de correction.
Ce que vous faites
- Accédez aux scores depuis le menu Conformité
- Sélectionnez un référentiel pour voir le détail check par check
- Lancez un scan SCA manuellement sur un ou tous les équipements
- Exportez les résultats pour un audit ou un assureur
Ce que le système fait
- Exécute les scans de conformité Cybelia sur chaque agent à intervalles réguliers
- Mappe les résultats sur les référentiels : CIS, RGPD, NIS2, ISO 27001, PCI DSS, HIPAA, NIST, SOC 2, CMMC
- Calcule un score en % par référentiel et par équipement
- Agrège les scores pour une vue globale de la flotte
- Fournit pour chaque écart la mesure corrective associée
Référentiels détectés automatiquement
ℹ️
Les scores sont calculés à partir des tags de conformité natifs du moteur d'analyse Cybelia. Seuls les référentiels pour lesquels des données existent sur les agents supervisés apparaissent dans le portail — les autres sont masqués automatiquement.
| Référentiel | Cible | Périmètre | Obligation légale France |
|---|---|---|---|
| CIS Benchmarks | DSI / RSSI | Durcissement configuration OS — Windows, Linux, macOS | Non — référence sectorielle |
| RGPD / GDPR | DPO / Dirigeant | Mesures techniques de protection des données personnelles | Oui — amendes jusqu'à 4 % du CA mondial (CNIL) |
| PCI DSS v3.2.1 | DSI | Sécurité des environnements de traitement de cartes bancaires | Contractuel si traitement CB |
| PCI DSS v4.0 | DSI | Version 2024 du standard carte bancaire — exigible depuis mars 2024 | Contractuel si traitement CB |
| HIPAA | DSI | Protection des données de santé (contexte US et international) | Non — applicable si partenaires US/santé |
| NIST SP 800-53 | RSSI | Catalogue de contrôles de sécurité (référence internationale) | Non — base de nombreux référentiels |
| ISO 27001:2013 | RSSI / Auditeur | Système de management de la sécurité de l'information | Non — certification volontaire, reconnue UE |
| CMMC v2.0 | DSI | Cybersecurity Maturity Model — sous-traitants US DoD | Non — si contrats défense US |
| SOC 2 | DSI / Auditeur | Sécurité, disponibilité, confidentialité des services SaaS/cloud | Non — certification volontaire |
| GPG 13 | RSSI | Good Practice Guide — supervision et surveillance UK NCSC | Non — référence UK / MSP |
| TSC | Auditeur | Trust Services Criteria — audit SOC 2 AICPA | Non |
⚠️
NIS2 et ISO 27001:2022 ne disposent pas encore de politique d'audit dédiée dans le moteur Cybelia. La conformité NIS2 est évaluée indirectement via les scores CIS + RGPD + NIST. Une politique dédiée NIS2 est prévue dans les prochaines versions du portail.
💡
Pour le dirigeant : le score RGPD indique dans quelle mesure votre infrastructure respecte les obligations légales de protection des données. Un score de 60 % signifie que 40 % des mesures techniques exigées ne sont pas en place. En cas de contrôle CNIL ou de violation de données, ce rapport constitue une preuve de diligence.
05 — Playbooks automatisés
Des scénarios de réponse aux incidents qui s'exécutent seuls
Un playbook est un enchaînement d'actions qui se déclenche automatiquement lorsqu'une condition est remplie. Vous définissez la règle une fois ; le portail l'applique à chaque occurrence, 24h/24.
Ce que vous faites
- Créez un playbook depuis le menu Playbooks
- Choisissez le déclencheur : type d'alerte, criticité, équipement, règle de détection
- Définissez les actions dans l'ordre souhaité
- Activez, désactivez ou modifiez le playbook à tout moment
- Consultez l'historique d'exécution et le résultat de chaque étape
Ce que le système fait
- Évalue chaque règle en continu sur le flux d'alertes entrant
- Exécute les actions dans l'ordre, avec gestion des erreurs
- Journalise chaque étape avec horodatage et résultat
- Peut interrompre la séquence si une action préalable échoue (mode strict)
- Envoie un compte-rendu d'exécution si configuré
Actions disponibles dans un playbook
🚫
Blocage IP / domaine
Ajoute l'adresse source à la liste de blocage du pare-feu ou de l'équipement cible via le moteur de réponse active Cybelia.
🔌
Isolation réseau
Coupe les communications d'un poste compromis sans l'éteindre, pour stopper la propagation latérale.
📣
Notification
Envoie une alerte par email, Telegram, Slack, Teams ou webhook aux destinataires configurés.
📄
Rapport d'incident
Génère un PDF horodaté avec le contexte, les preuves techniques et les actions réalisées.
🎫
Création de cas
Ouvre automatiquement un dossier d'incident Cybelia ou un ticket via webhook, avec les preuves techniques attachées.
⚙️
Script personnalisé
Exécute une commande définie sur l'équipement distant : redémarrage de service, désactivation de compte, collecte forensique.
▶Exemple — Playbook "Réponse brute force SSH"
1
Déclencheur : alerte Cybelia détectée brute force SSH (47+ tentatives en 90 secondes) ou criticité ≥ Élevé sur port 22
2
Blocage IP : l'IP source est ajoutée aux règles de blocage de l'équipement via le moteur de réponse active Cybelia — délai : ~5 secondes
3
Notification : email au DSI + message Telegram sur #alertes-critiques avec l'IP, l'équipement et le nombre de tentatives
4
Dossier d'incident : création automatique d'un dossier Cybelia avec les 50 derniers événements SSH en pièce jointe
5
Rapport PDF : généré et archivé dans l'espace Rapports du portail
⏱
Temps entre détection et blocage de l'attaquant : < 45 secondes. Sans playbook, délai moyen constaté en intervention humaine : 4 heures.
06 — Assistant IA
Un expert cybersécurité disponible à tout moment dans le portail
L'assistant IA est intégré sous forme de bulle de discussion dans le portail. Il connaît le contexte de votre infrastructure et répond en français à vos questions de sécurité, sans nécessiter d'expertise technique avancée.
🤖
L'assistant IA est une option activable par organisation. Il nécessite une clé API Anthropic (Claude), configurable dans Administration → Assistant IA. L'activation est reflétée dans l'abonnement mensuel Cybelia Cloud.
Ce que vous faites
- Cliquez sur la bulle en bas à droite du portail pour ouvrir la conversation
- Posez vos questions en français, sans jargon obligatoire
- L'historique de la session est conservé pendant la conversation
Exemples de questions
- "J'ai une alerte critique sur SRV-PROD-01, qu'est-ce que ça signifie ?"
- "Quel est mon score RGPD et quels sont les écarts prioritaires ?"
- "Comment corriger la CVE-2024-3094 détectée sur 3 serveurs ?"
- "Rédige un résumé de l'incident du 14 mars pour mon assureur cyber"
- "Quel playbook dois-je déclencher si un poste est compromis ?"
Ce que le système fait
- Charge automatiquement le contexte de votre organisation (agents supervisés, alertes récentes)
- Injecte ce contexte dans chaque échange pour des réponses personnalisées à votre parc
- Transmet la requête à Claude (Anthropic) via API chiffrée
- Retourne la réponse formatée en français dans le portail
- Conserve les 10 derniers messages pour maintenir le fil de la conversation
- Applique les contraintes de comportement configurées par l'administrateur
Paramètres de configuration — Administration → Assistant IA
| Paramètre | Description | Valeur par défaut |
|---|---|---|
Nom | Nom affiché dans la bulle de chat | Aria |
Genre | Adapte la conjugaison et les accords dans les réponses | Femme |
Rôle | Titre affiché sous le nom dans la fenêtre | Assistante Cybersécurité |
Mission | Description injectée dans le prompt système | Analyser alertes, guider utilisateur... |
Responsabilités | Périmètre d'action injecté dans le prompt | Surveillance agents, menaces... |
Ne doit jamais faire | Contraintes comportementales absolues — respectées en toutes circonstances | À remplir |
Clé API Anthropic | Clé secrète sk-ant-... pour accès au modèle Claude | Non configurée |
Activé | Active ou désactive l'assistant pour toute l'organisation | Désactivé |
07 — Rapports PDF
Des rapports horodatés prêts pour vos audits, votre direction et votre assurance
Le portail génère automatiquement des rapports PDF mensuels et à la demande. Chaque rapport est archivé dans l'espace sécurisé de l'organisation et peut être envoyé par email aux destinataires configurés.
📊 Rapport mensuel automatique
Généré le 1er de chaque mois. KPIs de la période, alertes par criticité, vulnérabilités ouvertes, scores de conformité, agents actifs/inactifs, évolution sur 12 mois.
Destinataires configurables : DSI, DPO, dirigeant, auditeur externe.
🚨 Rapport d'incident
Généré à la clôture d'un incident ou déclenché par playbook. Timeline, preuves techniques, actions effectuées, recommandations. Format accepté par les cyber-assureurs.
Déclenchement : automatique (playbook) ou manuel.
⚖️ Rapport de conformité
Généré à la demande. Score par référentiel, liste des contrôles passés et échoués, plan de remédiation priorisé. Exportable pour prestataire ou auditeur.
Accès : Conformité → Exporter le rapport.
💡
Pour le dirigeant : en cas de contrôle CNIL, de sinistre cyber déclaré à l'assurance, ou d'audit client, vous disposez d'un historique complet et horodaté de toutes les actions de sécurité réalisées. Ces documents constituent la preuve de votre diligence.
08 — Sécurité du portail
Le portail qui surveille votre sécurité est lui-même sécurisé
🔑Authentification
- Email + mot de passe (bcrypt, coût ≥ 12)
- Double authentification TOTP (Google Authenticator, Authy) — activable par compte
- Tokens JWT RS256 (asymétrique) — expiration 60 minutes
- Refresh token rotation automatique — validité 7 jours
- Rate limiting sur l'endpoint de connexion : 10 tentatives / minute / IP
- Réinitialisation de mot de passe par lien signé (expiration 24h)
📋Journaux d'audit
- Chaque action est journalisée : connexion, consultation, modification, export, déclenchement playbook
- Chaque entrée contient : utilisateur, IP source, horodatage UTC, action et résultat
- Journal en lecture seule — non modifiable par les utilisateurs
- Rétention configurable (défaut : 90 jours)
🔒Chiffrement & Transport
- Toutes les communications chiffrées TLS 1.3 — HTTPS uniquement via Traefik
- Certificats Let's Encrypt — renouvellement automatique
- Secrets (clés API, SMTP) stockés chiffrés en base
- Clés JWT RS256 stockées hors base (
/opt/cybelia/portal/keys/) - Le frontend ne communique jamais directement avec les moteurs de détection Cybelia — tout transite par le backend
🇫🇷Souveraineté des données
- Infrastructure hébergée en France (Union Européenne)
- Aucune donnée de sécurité transmise hors UE — sauf si l'option IA Anthropic est activée (API externe)
- Cybelia Cloud n'a pas accès aux données de sécurité de vos équipements
- DPA (Accord de traitement des données) disponible sur demande
09 — Multi-organisations
Un portail, plusieurs organisations, une isolation totale
Cybelia Security est conçu en architecture multi-tenant stricte. Chaque organisation dispose de son espace cloisonné. Aucune donnée ne peut transiter entre organisations, ni au niveau applicatif ni en base de données.
🏢
Cas d'usage : groupe multi-sites (holdings, filiales), expert-comptable gérant plusieurs clients, MSP proposant la cybersécurité en service managé, réseau de franchises.
Architecture tenant
- Chaque tenant a ses propres utilisateurs, agents, alertes, rapports et paramètres
- Un tenant peut contenir plusieurs sociétés (multi-company)
- Les agents Cybelia sont assignés à une société précise dans chaque tenant
- Toutes les requêtes SQL filtrent sur le
tenant_idextrait du JWT — non contournable - Un utilisateur d'un tenant A ne peut jamais accéder aux données du tenant B
Gestion superadmin Cybelia
- Création et configuration des tenants depuis Administration → Tenants
- Assignation des agents Cybelia à chaque société
- Définition des quotas de périphériques par contrat
- Activation des options (IA, rapports avancés) par organisation
- Vue de supervision globale en lecture seule (aucun accès aux données clients)
10 — Déploiement de l'agent
Supervisez un nouvel équipement en moins de 5 minutes
L'agent Cybelia est le composant installé sur chaque équipement supervisé. Il collecte les événements et les remonte vers le manager central. Aucun port entrant à ouvrir sur l'équipement — l'agent initie la connexion sortante.
ℹ️
Flux réseau : connexion sortante de l'agent vers le manager Cybelia (UDP ou TCP). Compatible équipements derrière NAT, VPN ou pare-feu. Après installation, l'agent doit être approuvé dans le portail Cybelia (automatique si
auto_enrollment activé).Linux — Debian / Ubuntu
# Ajout du dépôt Cybelia Agent curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --dearmor -o /usr/share/keyrings/cybelia-agent.gpg echo "deb [signed-by=/usr/share/keyrings/cybelia-agent.gpg] https://packages.wazuh.com/4.x/apt/ stable main" \ | tee /etc/apt/sources.list.d/cybelia-agent.list apt update # Installation avec configuration du manager Cybelia WAZUH_MANAGER="<MANAGER_IP>" WAZUH_AGENT_NAME="NOM-DU-POSTE" \ apt install -y wazuh-agent # Démarrage du service systemctl daemon-reload systemctl enable --now wazuh-agent
Windows — PowerShell (en tant qu'administrateur)
# Téléchargement de l'agent Cybelia Invoke-WebRequest -Uri "https://packages.wazuh.com/4.x/windows/wazuh-agent-4.12.0-1.msi" ` -OutFile "$env:TEMP\cybelia-agent.msi" # Installation silencieuse msiexec.exe /i "$env:TEMP\cybelia-agent.msi" /q ` WAZUH_MANAGER="<MANAGER_IP>" WAZUH_AGENT_NAME="NOM-DU-POSTE" # Démarrage NET START WazuhSvc
macOS
# Téléchargement de l'agent Cybelia curl -L https://packages.wazuh.com/4.x/macos/wazuh-agent-4.12.0-1.pkg -o /tmp/cybelia-agent.pkg # Installation sudo launchctl setenv WAZUH_MANAGER "<MANAGER_IP>" sudo launchctl setenv WAZUH_AGENT_NAME "NOM-DU-POSTE" sudo installer -pkg /tmp/cybelia-agent.pkg -target / # Démarrage sudo /Library/Ossec/bin/wazuh-control start
⚠️
Après installation, l'agent apparaît dans le portail Cybelia avec le statut Pending. Il doit être approuvé (manuellement ou via
auto_enrollment) pour commencer à remonter des événements dans Cybelia Security.
11 — Architecture technique
Vue d'ensemble des composants
🌐 Navigateur client — React 18 / HTTPS uniquement
↕ TLS 1.3
🔀 Traefik — Reverse proxy · TLS termination · Let's Encrypt · Port 443
↕
⚡ FastAPI
Port 8000 — API REST async
Port 8000 — API REST async
📦 Nginx
Port 3000 — Frontend statique
Port 3000 — Frontend statique
↕
🗄️ PostgreSQL
:5432
:5432
🛡️ Cybelia SIEM
:55000
:55000
🐝 Cybelia Cases
:9000
:9000
| Composant | Rôle |
|---|---|
| Traefik v3 | Reverse proxy, TLS, routage /api → FastAPI, / → Nginx |
| FastAPI + Python 3.11 | API REST async — auth JWT, isolation tenant, agrégation SIEM |
| React 18 + Vite | Interface web — build statique servi par Nginx |
| PostgreSQL 15 | Données portail : tenants, users, contrats, rapports, audit |
| Wazuh 4.12 | HIDS : agents, alertes, FIM, SCA, vulnérabilités |
| TheHive 5 | Gestion de cas d'incidents et alertes qualifiées |
| Cortex 3 | Analyse d'observables IOC (optionnel) |
| APScheduler | Tâches planifiées : rapports mensuels, sync agents |
| Systemd | Supervision des services — pas de Docker |
🖥️
Serveur :
172.0.50.30 — Ubuntu 22.04 LTS. Wazuh, TheHive et Cortex sont installés indépendamment du portail et doivent être opérationnels avant le déploiement de Cybelia Security.
12 — Rôles & Droits
Gestion fine des accès par rôle
4 niveaux d'accès. Les restrictions sont appliquées au niveau backend — elles ne sont pas uniquement visuelles. Le tenant_id est extrait du JWT RS256 signé et filtré à chaque requête SQL.
| Fonctionnalité | Viewer | Admin tenant | Admin société | Superadmin |
|---|---|---|---|---|
| Tableau de bord, alertes, agents | ✓ | ✓ | ✓ | ✓ |
| Télécharger rapports PDF | ✓ | ✓ | ✓ | ✓ |
| Utiliser l'assistant IA | ✓ | ✓ | ✓ | ✓ |
| Déclencher un playbook | ✗ | ✓ | Limité | ✓ |
| Créer / modifier des playbooks | ✗ | ✓ | ✗ | ✓ |
| Gérer les utilisateurs du tenant | ✗ | ✓ | ✗ | ✓ |
| Configurer les notifications | ✗ | ✓ | ✓ | ✓ |
| Activer / configurer l'assistant IA | ✗ | ✓ | ✓ | ✓ |
| Gérer tous les tenants | ✗ | ✗ | ✗ | ✓ |
| Configuration SMTP globale | ✗ | ✗ | ✗ | ✓ |
| Paramètres système (inscriptions, maintenance) | ✗ | ✗ | ✗ | ✓ |
🔐
Garantie d'isolation : le
tenant_id est extrait du token JWT signé RS256. Il est impossible, même en manipulant les paramètres d'URL ou les en-têtes HTTP, d'accéder aux données d'une autre organisation avec un token valide d'un autre tenant.