Les meilleurs outils open source pour enseigner la cybersécurité
Monter un cours de cybersécurité crédible ne dépend pas d'un budget logiciel. L'écosystème open source couvre aujourd'hui l'intégralité de la chaîne pédagogique : virtualisation, exploitation web, attaques sur Active Directory, analyse réseau, forensics et automatisation des environnements. Bien choisis, ces outils sont gratuits, maintenus, documentés et surtout identiques à ceux que vos étudiants retrouveront en entreprise.
Le vrai défi n'est pas de trouver des outils, mais de construire une stack cohérente : des briques qui s'assemblent, se réinitialisent entre deux promos et survivent à la veille sécurité. Cet article vous propose une sélection organisée par thème, avec pour chaque outil une ligne claire sur ce qu'il apporte concrètement en cours.
Socle : VMs, snapshots, réseaux virtuels
Avant de parler d'attaque ou de défense, il faut un environnement isolé, jetable et reproductible. Personne n'apprend la sécurité offensive sur sa machine de production. Le socle de virtualisation est donc la première décision structurante de votre lab.
Les briques de base
- VirtualBox — L'hyperviseur de type 2 le plus accessible. Gratuit, multiplateforme, parfait pour les TP individuels sur les postes étudiants. À quoi ça sert en cours : faire tourner une ou deux VMs sur le poste de chaque apprenant sans infrastructure centrale.
- Proxmox VE — Hyperviseur de type 1 sous licence libre, pensé pour un serveur partagé. À quoi ça sert en cours : héberger un lab multi-VM accessible à toute la promo, avec gestion fine des snapshots et des réseaux internes.
- GNS3 — Simulateur de topologies réseau qui interconnecte VMs, conteneurs et équipements émulés. À quoi ça sert en cours : construire des architectures réseau réalistes (routeurs, pare-feu, DMZ) pour des exercices de segmentation et de pivoting.
- Kali Linux — La distribution offensive de référence, livrée avec des centaines d'outils préinstallés. À quoi ça sert en cours : fournir aux étudiants un poste d'attaquant prêt à l'emploi, sans installation manuelle de chaque outil.
Le réflexe à enseigner dès la première séance : le snapshot. Chaque étudiant prend un instantané de sa VM saine avant de l'attaquer. En cas de casse, un retour arrière de quelques secondes évite une réinstallation complète. C'est aussi votre filet de sécurité pour réinitialiser les machines entre deux groupes.
Côté réseau, privilégiez systématiquement des réseaux virtuels isolés (host-only sous VirtualBox, vmbr internes sous Proxmox). Une VM vulnérable ne doit jamais être joignable depuis le réseau de l'établissement. Cette règle d'or se transmet aux étudiants : on attaque dans un bac à sable, jamais en dehors.
Si vous partez de zéro, le guide créer un lab pentest gratuit détaille pas à pas l'assemblage de ce socle.
Par thème : web, Active Directory, réseau, forensics
Une fois le socle posé, on remplit le lab par domaine pédagogique. Chaque thème a ses outils de référence, volontairement vulnérables ou volontairement neutres, qui transforment une notion abstraite en manipulation concrète.
Sécurité web
Le web est souvent la porte d'entrée idéale pour débuter : la surface d'attaque est visible, immédiate et parlante. Adossez ces outils à un cours structuré sur la sécurité web et sur l'OWASP Top 10.
- DVWA (Damn Vulnerable Web Application) — Application PHP/MySQL volontairement trouée, avec des niveaux de difficulté progressifs. À quoi ça sert en cours : faire pratiquer injection SQL, XSS et inclusion de fichiers de façon graduée, du débutant au confirmé.
- OWASP Juice Shop — Boutique en ligne moderne (Node.js) bourrée de vulnérabilités réalistes et gamifiées. À quoi ça sert en cours : organiser des challenges type chasse au trésor, avec un tableau de score qui motive la promo.
- Burp Suite Community — Le proxy d'interception incontournable pour analyser et rejouer des requêtes HTTP. À quoi ça sert en cours : montrer comment un attaquant intercepte, modifie et rejoue le trafic entre le navigateur et le serveur.
- OWASP ZAP — Alternative entièrement open source à Burp, scanner web automatisé et proxy. À quoi ça sert en cours : illustrer le scan automatisé de vulnérabilités et l'intégrer à des exercices d'analyse de rapports.
Conseil pédagogique : commencez par DVWA pour la mécanique, puis passez à Juice Shop pour le réalisme. Le couple Burp/ZAP permet de comparer un outil commercial bridé et un outil 100 % libre, ce qui ouvre une discussion utile sur le choix d'outillage en entreprise.
Active Directory sécurisé
L'attaque et la défense d'Active Directory sont au cœur des compétences attendues en entreprise. C'est aussi l'un des labs les plus formateurs, car il met en scène un système d'information réaliste. Reliez ces TP à votre cours sur l'Active Directory sécurisé.
- GOAD (Game of Active Directory) — Lab AD multi-domaines volontairement vulnérable, déployable via Vagrant et Ansible. À quoi ça sert en cours : offrir un terrain de jeu complet pour les attaques classiques (Kerberoasting, délégation, mouvement latéral) sans tout configurer à la main.
- BadBlood — Script qui peuple un annuaire AD avec des milliers d'objets réalistes (utilisateurs, groupes, OU). À quoi ça sert en cours : donner du volume et du bruit à un domaine de test, pour que la reconnaissance et l'analyse ressemblent à un vrai SI.
À noter : GOAD est gourmand en ressources (plusieurs VMs Windows simultanées). Réservez-le à un serveur Proxmox dédié et anticipez le temps de déploiement. BadBlood, lui, se greffe sur n'importe quel contrôleur de domaine de test pour le rendre crédible en quelques minutes.
Réseau
L'analyse réseau développe une compétence transversale : lire le trafic pour comprendre ce qui se passe vraiment. C'est la base de la détection et de la réponse à incident.
- Wireshark — L'analyseur de paquets de référence, libre et universel. À quoi ça sert en cours : décortiquer un handshake TCP, repérer un mot de passe en clair ou suivre un flux suspect paquet par paquet.
- Suricata — Moteur IDS/IPS open source à haute performance, compatible avec les règles Emerging Threats. À quoi ça sert en cours : montrer comment une sonde détecte une attaque en temps réel et générer des alertes à analyser.
- pfSense — Pare-feu et routeur open source basé sur FreeBSD. À quoi ça sert en cours : faire construire aux étudiants une segmentation réseau, des règles de filtrage et une DMZ dans une topologie GNS3 ou Proxmox.
Enchaînement type : capturez du trafic d'attaque avec Wireshark, montrez comment Suricata l'aurait détecté, puis demandez aux étudiants d'écrire une règle de filtrage pfSense pour le bloquer. Le même incident vu sous trois angles ancre durablement la logique défense en profondeur.
Forensics
Le forensics et la réponse à incident ferment la boucle : après l'attaque, on analyse les traces. C'est un thème qui passionne car il a une dimension d'enquête.
- Autopsy — Interface graphique open source d'analyse de disques et de fichiers, bâtie sur The Sleuth Kit. À quoi ça sert en cours : faire mener une investigation guidée (fichiers supprimés, chronologie, artefacts) sans ligne de commande au départ.
- Volatility — Framework d'analyse de mémoire vive (RAM). À quoi ça sert en cours : extraire processus, connexions et injections d'un dump mémoire pour détecter un malware résident.
- The Sleuth Kit — La boîte à outils en ligne de commande sous-jacente à Autopsy. À quoi ça sert en cours : passer à l'analyse fine en CLI une fois les concepts acquis via l'interface graphique.
Astuce pour le prof : préparez à l'avance une image disque et un dump mémoire « contaminés » que vous distribuez à toute la promo. L'exercice devient répétable, comparable et corrigeable, sans avoir à recréer un incident à chaque session.
Tableau récapitulatif thème → outils
| Thème | Outils open source clés |
|---|---|
| Socle / virtualisation | VirtualBox, Proxmox VE, GNS3, Kali Linux |
| Sécurité web | DVWA, OWASP Juice Shop, Burp Community, OWASP ZAP |
| Active Directory | GOAD, BadBlood |
| Réseau | Wireshark, Suricata, pfSense |
| Forensics | Autopsy, Volatility, The Sleuth Kit |
| Automatisation | Vagrant, Ansible, Docker |
Automatisation et reproductibilité
Un lab qui se monte à la main ne tient pas sur la durée. Au bout de trois promos, vous passez plus de temps à réparer des environnements cassés qu'à enseigner. L'automatisation n'est pas un luxe : c'est ce qui rend votre cours soutenable d'année en année.
- Vagrant — Décrit une ou plusieurs VMs dans un fichier texte versionnable. À quoi ça sert en cours : distribuer un
Vagrantfileque chaque étudiant lance avec une seule commande pour obtenir exactement le même environnement. - Ansible — Outil de configuration déclarative qui installe et paramètre les machines automatiquement. À quoi ça sert en cours : provisionner des services vulnérables, créer des comptes ou déployer GOAD sans intervention manuelle.
- Docker — Conteneurisation légère pour les applications isolées. À quoi ça sert en cours : lancer DVWA ou Juice Shop en quelques secondes, sans VM complète, idéal pour un TP web rapide.
Penser le reset entre promos
Le bénéfice majeur de cette approche est le reset propre. Plutôt que de nettoyer manuellement des dizaines de machines, vous détruisez et reconstruisez tout l'environnement à partir du code :
- Versionnez vos fichiers Vagrant, playbooks Ansible et
docker-composedans un dépôt Git dédié au cours. - Documentez la commande unique de déploiement dans un README, pour que n'importe quel collègue reprenne le lab.
- Conservez un snapshot de référence de l'état « propre » comme solution de secours rapide en séance.
Cette logique d'infrastructure-as-code rejoint directement les pratiques DevSecOps : vous enseignez la sécurité tout en montrant l'exemple d'un environnement reproductible et auditable. Pour les étudiants, voir leur prof manipuler Git et Ansible est déjà une leçon de professionnalisme.
Maintenance et veille sécurité des outils
Un piège classique : croire qu'un outil open source installé une fois reste fiable pour toujours. Vos outils sont aussi des logiciels exposés à des vulnérabilités, et un lab négligé devient vite une dette technique, voire un risque.
Gérer les versions
- Figez les versions dans vos fichiers Vagrant et Docker. Une mise à jour automatique en pleine séance peut casser un TP que vous aviez validé la veille.
- Testez chaque nouvelle version de votre stack avant la rentrée, jamais devant la promo.
- Gardez une trace écrite des versions utilisées par cours, pour reproduire un environnement à l'identique même un an plus tard.
Suivre les CVE des outils
Les outils eux-mêmes font l'objet de CVE. Un hyperviseur ou un pare-feu non patché peut devenir une faille réelle, surtout sur un serveur mutualisé :
- Abonnez-vous aux annonces de sécurité de vos briques critiques (Proxmox, pfSense, les hyperviseurs).
- Distinguez les VMs volontairement vulnérables, qu'il ne faut surtout pas patcher pour préserver l'exercice, des outils d'infrastructure, qu'il faut maintenir à jour.
- Isolez les machines vulnérables sur des réseaux internes : leur obsolescence est voulue, mais elle ne doit jamais exposer l'établissement.
Snapshots de référence
Maintenez une bibliothèque de snapshots de référence datés et étiquetés. Pour chaque cours, vous savez exactement quel état restaurer. Cette discipline transforme la maintenance d'une corvée en une opération de quelques minutes, et vous protège le jour où une manipulation tourne mal en plein TP.
Alternatives si l'open source est bloqué en école
La réalité du terrain rattrape parfois les meilleures intentions. Certaines DSI interdisent l'installation d'hyperviseurs, bloquent les outils offensifs ou verrouillent les droits administrateur sur les postes. Plutôt que d'abandonner la pratique, contournez intelligemment.
Quand les politiques IT sont restrictives
- VMs préconstruites importables — Fournissez des appliances toutes prêtes (format OVA) que les étudiants importent sans configurer ni installer le moindre paquet. La barrière des droits administrateur tombe.
- Cloud éducation isolé — Un environnement cloud cloisonné (compte dédié, réseau privé) permet de monter des labs sans toucher au réseau interne de l'école. La facturation à l'usage reste maîtrisée si vous éteignez les ressources après chaque séance.
- Plateformes hébergées — Les plateformes de type CTF en ligne ou les ranges d'entraînement hébergés offrent des exercices clés en main, accessibles depuis un simple navigateur. Aucune installation locale, aucune VM à gérer.
Garder la valeur pédagogique
Ces alternatives ne sont pas des sous-solutions. Elles déplacent simplement la charge technique :
- Vous perdez un peu de contrôle sur l'infrastructure, mais vous gagnez en simplicité de déploiement et en compatibilité avec les contraintes de l'établissement.
- Documentez clairement la procédure d'accès, car le support se fait à distance plutôt que sur le poste.
- Combinez les approches : un lab local pour ce qui passe les politiques IT, une plateforme hébergée pour les outils offensifs sensibles.
L'essentiel reste inchangé : les étudiants manipulent, observent et raisonnent. Que le moteur soit une VM locale ou un conteneur dans le cloud, la compétence acquise est la même.
Ce qu'il faut retenir
L'open source couvre toute la chaîne de l'enseignement en cybersécurité, du socle de virtualisation jusqu'au forensics, en passant par le web, l'Active Directory et le réseau. La force de cette stack ne tient pas à un outil miracle, mais à la cohérence de l'ensemble : des briques qui s'assemblent, se versionnent et se réinitialisent proprement. Automatisez avec Vagrant, Ansible et Docker dès le départ, et votre cours restera soutenable promo après promo.
Traitez vos outils comme une infrastructure vivante : figez les versions, suivez les CVE des briques critiques, gardez des snapshots de référence. Et si la DSI vous bloque, ne renoncez pas à la pratique : VMs préconstruites, cloud éducation isolé et plateformes hébergées préservent l'essentiel, c'est-à-dire la manipulation concrète par les étudiants.
Vous construisez vos TP et cherchez à échanger avec d'autres formateurs sur les stacks qui marchent vraiment ? Rejoignez la communauté de Cyber Teachers pour partager vos labs, vos snapshots de référence et vos retours de terrain.