Construire un lab cybersécurité défensif complet avec VirtualBox, Kali Linux, Windows Server 2022 (eval 180 jours), Windows 10 client, Active Directory, pfSense firewall. Setup gratuit, 4 heures, base de pratique pour Security+ et au-delà.
📍 À lire d’abord : Décrocher le CompTIA Security+ SY0-701.
Introduction
Security+ teste autant la théorie que la capacité à manipuler des outils défensifs réels. Un lab Active Directory + Windows + pfSense est l’environnement standard pour pratiquer hardening, audit, IAM, monitoring — exactement ce que demandent les performance-based questions à l’examen. Ce tutoriel construit le lab en 4 heures avec uniquement des logiciels gratuits.
Prérequis
- PC 16 Go RAM, 200 Go SSD, virtualisation matérielle activée.
- VirtualBox 7.x installé (cf. tutoriel CEH lab).
- Connexion Internet stable pour télécharger ~15 Go.
- Niveau intermédiaire Windows + Linux.
- Temps : 4 heures.
Étape 1 — Architecture du lab
┌─────────────────────────────────────────────────┐
│ PC HOST │
│ │
│ ┌────────────┐ NAT (Internet) │
│ │ pfSense │ ←── WAN │
│ │ (firewall) │ Internal "lab-net" │
│ └─────┬──────┘ ←── LAN 192.168.50.1/24 │
│ │ │
│ ┌─────┴────────┐ Internal "lab-net" │
│ │ Win Server │ 192.168.50.10 AD DC │
│ │ 2022 + AD │ Domain "labcorp.local" │
│ └──────────────┘ │
│ ┌──────────────┐ Internal "lab-net" │
│ │ Win 10 │ 192.168.50.20 Client │
│ │ Pro Eval │ Joined to domain │
│ └──────────────┘ │
│ ┌──────────────┐ Internal "lab-net" │
│ │ Kali Linux │ 192.168.50.30 Pentest │
│ └──────────────┘ │
└─────────────────────────────────────────────────┘
Quatre VMs sur un réseau interne lab-net, pfSense fait le firewall + DHCP. Total RAM : 8-12 Go alloués (plus 4 Go host).
Étape 2 — Installer pfSense (firewall open-source)
pfSense est un firewall FreeBSD open-source équivalent commercial Cisco ASA. Téléchargement officiel sur pfsense.org — choisir AMD64 ISO Installer.
1. New VM dans VirtualBox: BSD/FreeBSD 64-bit, 1 Go RAM, 8 Go disque
2. Network Adapter 1 = NAT (WAN)
3. Network Adapter 2 = Internal Network "lab-net" (LAN)
4. Démarrer, Install pfSense (defaults), reboot
5. À la console : assigner em0 = WAN, em1 = LAN
6. LAN IP : 192.168.50.1/24, DHCP server enabled 192.168.50.100-200
Console web pfSense : http://192.168.50.1 depuis n’importe quelle autre VM du lab. Login admin/pfsense, change password, configure NAT outbound, règles firewall LAN par défaut (allow all out).
Étape 3 — Installer Windows Server 2022 + Active Directory
Microsoft propose Windows Server 2022 Evaluation gratuit 180 jours sur microsoft.com/en-us/evalcenter. ISO ~5 Go.
1. New VM : Windows 2022 64-bit, 4 Go RAM, 60 Go disque
2. Network = Internal "lab-net"
3. Install Windows Server 2022 Standard avec Desktop Experience
4. Renommer host en "DC01"
5. IP statique : 192.168.50.10/24, DNS = 127.0.0.1
6. Server Manager > Add Roles > Active Directory Domain Services
7. Promote to Domain Controller, créer nouvelle forêt "labcorp.local"
8. Choisir un mot de passe DSRM solide
9. Reboot, login domain administrator
Crée des utilisateurs et groupes test :
New-ADOrganizationalUnit -Name "Employees" -Path "DC=labcorp,DC=local"
New-ADUser -Name "Diallo Mamadou" -SamAccountName mdiallo -UserPrincipalName mdiallo@labcorp.local -Path "OU=Employees,DC=labcorp,DC=local" -AccountPassword (ConvertTo-SecureString "Lab2026!" -AsPlainText -Force) -Enabled $true
New-ADGroup -Name "ITAdmins" -GroupCategory Security -GroupScope Global -Path "OU=Employees,DC=labcorp,DC=local"
Add-ADGroupMember -Identity ITAdmins -Members mdiallo
Étape 4 — Joindre un Windows 10 Client au domaine
ISO Windows 10 Enterprise Eval 90 jours sur microsoft.com/en-us/evalcenter.
1. New VM : Windows 10 64-bit, 4 Go RAM, 50 Go disque
2. Internal "lab-net"
3. Install Windows 10 Enterprise (skip Microsoft account)
4. IP statique 192.168.50.20/24, DNS = 192.168.50.10 (DC01)
5. Settings > About > Rename PC = "WS01", reboot
6. Settings > Accounts > Access work or school > Connect > Join domain
Domain = labcorp.local
Compte admin = Administrator/MotDePasse
7. Reboot, login mdiallo@labcorp.local
Étape 5 — Configurer une Group Policy de hardening
Sur DC01, ouvre Group Policy Management Console :
1. Default Domain Policy > Edit
2. Computer Configuration > Policies > Windows Settings > Security Settings
3. Account Policies > Password Policy:
- Minimum password length: 14
- Password must meet complexity requirements: Enabled
- Maximum password age: 90 days
4. Account Lockout Policy:
- Account lockout threshold: 5 invalid attempts
- Account lockout duration: 30 minutes
5. Local Policies > Audit Policy:
- Audit logon events: Success, Failure
- Audit account management: Success, Failure
6. Apply, Run gpupdate /force sur WS01
C’est exactement le hardening attendu en PBQ Security+ : mot de passe complexe, lockout, audit logging.
Étape 6 — Installer Kali Linux dans le lab
Cf. tutoriel CEH lab Kali. Différence ici : adapter unique Internal « lab-net », IP statique 192.168.50.30.
Installer outils défensifs supplémentaires :
sudo apt install -y wireshark suricata fail2ban auditd
Étape 7 — Tester le lab : scénario incident
Simule un incident pour valider que la stack fonctionne :
- Sur WS01, tente de te connecter avec un mauvais password 6 fois → account lockout déclenche.
- Sur DC01, ouvre Event Viewer > Security → tu vois Event ID 4625 (échec) et 4740 (lockout).
- Sur Kali, lance
nmap -sV 192.168.50.10→ pfSense le détecte (logs). - Sur pfSense, observe le scan dans Status > System Logs > Firewall.
Si chaque étape fonctionne, ton lab est opérationnel.
Étape 8 — Snapshots et reset rapide
Snapshot chaque VM en état « clean » pour pouvoir tester des scénarios destructifs (ransomware sim, crash, etc.) et revenir en 30 secondes.
Erreurs fréquentes
| Erreur | Solution |
|---|---|
| Win 10 ne joint pas le domaine | Vérifier DNS = 192.168.50.10 sur le client |
| pfSense pas d’Internet | Vérifier NAT outbound activé |
| AD ne démarre pas après reboot | Vérifier IP statique conservée et DSRM password |
| Kali ne ping pas WS01 | Vérifier Windows Defender Firewall (autoriser ICMP) |
| RAM saturée | Démarrer uniquement les VMs nécessaires par scénario |
Adaptation au contexte ouest-africain
Pour la majorité des étudiants ouest-africains, le lab fait sur PC de 8 Go RAM nécessite de démarrer max 2 VMs simultanées. Privilégier pfSense + 1 cible. Pour les centres de formation, équiper postes 32 Go RAM permet le lab complet à 5 VMs en parallèle.
FAQ
Combien de temps les VMs Microsoft restent gratuites ? 180 jours pour Windows Server 2022, 90 jours pour Windows 10. Réinstaller depuis snapshot reset le compteur.
Active Directory en prod = même chose ? Architecture identique, plus complexe (multi-DC, sites, replication). Le lab basique couvre 80 % des concepts Security+.
Faut-il pfSense ou OPNsense ? Les deux sont équivalents pour le lab. OPNsense fork de pfSense, plus moderne UI. Au choix.
Pour aller plus loin
- 🔝 Décrocher le CompTIA Security+ SY0-701
- ➡️ Suite : Cryptographie pour Security+ (à venir).
- Documentation : pfSense docs, Microsoft AD documentation.
Mots-clés : home lab cybersécurité gratuit, Active Directory lab, pfSense firewall, Windows Server 2022 evaluation, hardening Group Policy, Security+ PBQ pratique.
Approfondissement et cas pratiques
Études de cas réelles ouest-africaines
Cas 1 — Banque régionale, Dakar, 2024. Une banque de niche sénégalaise avec 12 agences et 350 employés a subi une intrusion par phishing ciblé d’une assistante de direction. Le compte compromis avait des droits étendus sur le SI bancaire faute de RBAC granulaire. L’attaquant a fait du lateral movement en 6 heures, exfiltré 25 Go de données clients, et activé un ransomware qui a chiffré 60 % des serveurs. Coût de l’incident : 1,2 milliards FCFA en remédiation, perte d’image, amendes ARTP, indisponibilité 11 jours. Leçons appliquées post-incident : MFA obligatoire (Conditional Access), Zero Trust segmentation, EDR sur tous endpoints, exercices phishing trimestriels, séparation des privilèges admin avec PIM.
Cas 2 — Opérateur télécom, Abidjan, 2025. Un opérateur ivoirien a découvert lors d’un audit annuel ISO 27001 que 40 % de ses serveurs Linux n’avaient pas été patchés depuis 18 mois. Un scan Nessus a révélé 1 200 CVE haute criticité dont 18 actuellement exploitées (tracées dans CISA Known Exploited Vulnerabilities). Plan de remédiation 90 jours : déploiement Ansible pour patching automatisé, fenêtre maintenance hebdomadaire, KPI patch cadence reportée mensuellement à la direction.
Cas 3 — Fintech, Lomé, 2024. Une fintech togolaise opérant sur 5 pays UEMOA a déployé une architecture Zero Trust dès sa création : MFA pour 100 % des employés, ZTNA en remplacement de VPN, micro-segmentation Kubernetes, vérification continue de la posture des devices via Microsoft Intune. Résultat : 0 incident sécurité en 24 mois, conformité PCI DSS validée du premier coup, baisse de 70 % du temps d’onboarding employé.
Cinq scénarios PBQ type examen détaillés
PBQ 1 : Configurer un firewall ACL. Tu as 10 règles à classer dans le bon ordre dans une UI drag-and-drop. La règle d’or : les règles les plus spécifiques d’abord, deny global en dernier. Block trafic Tor exit nodes en haut, allow flux internes connus, deny implicit any en fin.
PBQ 2 : Classifier un incident. On te présente 5 alertes SIEM. Tu dois les ranger par criticité (Critical / High / Medium / Low) en suivant le framework NIST. Critical = exfiltration confirmée + données sensibles. High = malware détecté avec persistence. Medium = scan réseau récurrent. Low = brute force basique sans succès.
PBQ 3 : Implémenter Zero Trust. Tu as une architecture legacy avec VPN + Active Directory + apps on-prem. On te demande quelles 5 décisions architecturales prendre pour migrer Zero Trust. Réponse : ZTNA replace VPN, MFA partout, identity-based segmentation, continuous verification, least-privilege RBAC.
PBQ 4 : Configurer un risk register. Tableau Excel à compléter avec 6 risques pré-listés. Tu dois calculer ALE pour chacun (AV × EF × ARO), choisir stratégie traitement (Mitigate/Transfer/Accept/Avoid), et assigner risk owner. Le calcul ALE est testé directement.
PBQ 5 : Forensic chain of custody. Scénario incident, tu dois ordonner 8 actions chronologiquement. La séquence canonique : isolate machine (pas éteindre), capture RAM avec FTK Imager, capture disque avec write-blocker, hash SHA-256 pour chaque image, signer formulaire chain of custody, transporter au labo, faire copie travail, analyser uniquement la copie.
Architecture défensive de référence pour PME africaine
[Internet] → [pfSense FW + Suricata IDS] → [DMZ : web public, mail]
→ [LAN segmenté]
├── VLAN-Data (postes utilisateurs)
├── VLAN-Voice (téléphonie IP)
├── VLAN-Mgmt (admin réseau)
├── VLAN-IoT (caméras, imprimantes)
└── VLAN-Invité (Wi-Fi visiteur)
Identités : Microsoft Entra ID + MFA + Conditional Access + PIM pour admins
Endpoints : Microsoft Defender for Endpoint sur tous postes + serveurs
Backup : Azure Backup GRS + immutability storage (rétention 30j daily, 12 mois mensuel)
Monitoring: Wazuh SIEM agrégant logs FW + endpoints + AD + apps métier
Dashboard live + alertes critiques routées vers SOC
Coût standard PME 50 employés : 8-15 millions FCFA/an tout compris
Cette architecture couvre les contrôles ISO 27001:2022 majeurs et permet de passer un audit PCI DSS niveau 2 sans investissement matériel additionnel au-delà du firewall et serveur de logs.
Compliance et conformité régionale 2026
Sénégal : loi 2008-12 sur la cybercriminalité (sanctionne accès non autorisé à un système informatique jusqu’à 7 ans de prison), loi 2008-08 sur les transactions électroniques, code des communications électroniques. CDP (Commission de Protection des Données) supervise traitements de données personnelles, déclaration obligatoire sous 72h en cas de breach affectant données nominatives.
Côte d’Ivoire : loi 2013-451 sur la cybercriminalité, ARTCI (Autorité de Régulation des Télécommunications) audite obligatoirement les opérateurs et plateformes financières. Sanctions jusqu’à 100 millions FCFA + 5 ans prison.
UEMOA / CEDEAO : règlement 08/2013/CM/UEMOA sur la protection des données personnelles, Acte additionnel A/SA.1/01/10 sur la lutte contre la cybercriminalité. Reconnaissance mutuelle des décisions judiciaires entre 8 pays UEMOA et 15 pays CEDEAO.
International applicable : RGPD pour toutes les données de citoyens UE (extraterritorialité), PCI DSS v4.0 obligatoire pour tout processeur de paiement carte (Wave, Orange Money, banques), HIPAA pour santé numérique avec patients américains.
Pour un poste d’analyste GRC ou compliance officer en banque africaine, maîtriser au minimum : ISO 27001, PCI DSS, RGPD, et la réglementation nationale (CDP/ARTCI) est requis.
Plan de carrière post-Security+ détaillé
0-6 mois post-cert : décrocher un poste analyste SOC L1 dans une banque régionale, opérateur télécom, ou ESN cybersec (Wari, NSIA Tech, Atlantique IT, Avizo, Smart Africa). Salaire de départ 500 000-700 000 FCFA. Activités : monitoring SIEM 24/7 en équipes tournantes, triage d’alertes, rédaction de tickets, escalade L2.
6-18 mois : monter en compétence sur l’investigation, suivre formation CySA+ (CompTIA Cybersecurity Analyst) ou GCIH (SANS GIAC). Salaire 700 000-1 000 000 FCFA. Activités : threat hunting, analyse forensic basique, contribution aux runbooks, formation des nouveaux L1.
18-36 mois : pivoter selon affinité — pentest (CEH puis OSCP), analyste senior (CySA+ puis GCIH), architecture (CISSP). Salaire 1 200 000-1 800 000 FCFA. Possibilité de remote pour clients européens via plateformes comme Toptal ou Malt.
36+ mois : positions de management (CISO adjoint, responsable SOC), consultant senior indépendant, ou freelance international. Salaire 2 000 000-4 000 000 FCFA si en local, 4-8 millions FCFA en remote international.
Évolution alternative — entrepreneur : créer son cabinet d’audit cybersec ou MSSP (Managed Security Service Provider) régional. Investissement initial 5-15 millions FCFA, rentabilité dès la 2e année avec 4-6 clients PME récurrents. Modèle qui se développe rapidement à Dakar et Abidjan en 2026.
Outils complémentaires recommandés
Pour le SOC analyst : Wazuh (SIEM open-source gratuit, alternative à Splunk pour PME), TheHive (case management open-source), MISP (threat intelligence sharing), VirusTotal Enterprise, Shodan Membership.
Pour le pentester : Burp Suite Pro (450 USD/an), Cobalt Strike (alternative open-source : Sliver, Havoc), Bloodhound (mapping AD), Responder (LLMNR/NBT-NS poisoning).
Pour le compliance : Vanta ou Drata (automation SOC 2 / ISO 27001), Rapid7 InsightVM (vulnerability management), Tenable.io (alternative).
Pour la formation continue : SANS Cyber Aces (gratuit), Cybrary (gratuit + premium 60 USD/mois), TryHackMe (14 USD/mois), Blue Team Labs Online.