PLAN DE SECOURS RESEAU LAN ET WAN A LA SOFAC

Transcription

1 Faculté des Sciences et Techniques Fès SOFAC Mémoire de Projet de Fin d Études Pour l Obtention du Titre Master Sciences et Techniques Option Systèmes Intelligents & Réseaux PLAN DE SECOURS RESEAU LAN ET WAN A LA SOFAC Soutenu par : Sous la direction de : Hassan KERZAZI Yassir DLIAA Mr. Youness LOUAHLIA : SOFAC Mr. Mohamed MANOUN : SOFAC Mr. Said NAJAH : FSTF Année Universitaire

2 Résumé Ce rapport présente le travail effectué lors de notre stage, du 04 février au 31 mais dans le siège de la société SOFAC qui se situe 57, boulevard abdelmoumen, Casablanca. SOFAC est un opérateur marocain dans le secteur du crédit de consommation. Avec un réseau de plus de 50 agences, SOFAC couvre aujourd hui l ensemble du pays et propose aux particuliers une gamme complète de solutions de financement. Notre projet principal consistait à mettre en œuvre un plan de secours du réseau LAN et WAN, et cela à l aide d une méthode standard, internationale d audit et d analyse des risques. En outre, nous avons effectué d autres taches dans le domaine des réseaux et systèmes. L objectif du stage est de mettre en condition les étudiants à une insertion rapide dans le monde professionnel. Ce stage nous a aidés à mettre en pratique tout ce que nous avons appris durant nos études en Master Système Intelligent et Réseau au sein de la Faculté des Sciences et Techniques de Fès, et nous a familiarisés avec l atmosphère du monde du travail.

3 ملخص يعتبر هذا البحث ثمرة تحصيل سنتين من البحث والدراسة بكلية العلوم و التقنيات,وهو يدخل في اطار تحضير دبلوم الماستر التقني. فخالل تواجدنا بمقر شركة صوفاك, عهد الينا بتحديث شبكة االتصال المحلية والواسعة النطاق واقتراح حلول عملية لمواكبة توسعها الجغرافي. وهكذا تمثلت مهمتنا في انجاز مخطط بديل يضمن عدم توقف خدمات الشركة وذلك باستخدام اسلوب تحليل المخاطر ودراسة الوسائل المعمول بها دوليا في هذا االطار.

4 Abstract This report presents the work produce during the training of four months from 04 February to 31 May 2013 in manufacturing SOFAC which is located in 57, boulevard abdelmoumen, Casablanca. SOFAC is the first Moroccan operator in the area of consumer credit. With a network of over 50 agencies, SOFAC now covers the entire country and offers individuals a full range of financing solutions. Our main project was to implement a backup solution of LAN and WAN network, and to do so, we will use an audit and analysis risk methodology. In addition, we also performed other tasks in the field of Networks and Computer systems. The aim of this training is to prepare the students for a fast integration in the professional world. This training helped us to put into practice everything we learned during five years in Faculty of Science and Technology, and also helped us to familiarize ourselves with the atmosphere of the professional world.

5 Liste d abréviations AD Clusif DHCP DNS EBIOS ICMP IPSec ISO LAN LL MARION MEHARI PRI QOS RNIS SNMP STP ToiP VLAN VoiP VPN VRRP WIMAX WAN Active Directory Club de la Sécurité de l Information Français Dynamic Host Configuration Protocol Domain Name System Etude des Besoins et Identification des Objectifs de Sécurité Internet Control Message Protocol IPSec (Internet Protocol Security) Organisation Internationale de Normalisation Local Area Network Liaison Loué Méthode d Analyse de Risques Informatiques Optimisée par Niveau Méthode Harmonisée d analyse des risques Primary Rate Interface Quality of Service Réseau numérique à intégration de services Simple Network Management Protocol Spanning Tree Protocol Telephony Over Internet Protocol Virtual LAN Voice Over Internet Protocol Virtual Private Network Virtual Router Redundancy Protocol Worldwide Interoperability for Microwave Access Wide Area Network

6 Table de matières RESUME ملخص ABSTRACT... 4 LISTE D ABREVIATIONS... 5 TABLE DE MATIERES... 6 LISTE DE FIGURES... 9 LISTE DE TABLEAUX REMERCIEMENTS INTRODUCTION GENERALE CHAPITRE CONTEXTE GENERAL DU PROJET INTRODUCTION PRESENTATION DE L ENTREPRISE : Présentation de l organisme d accueil : Les produits SOFAC : Réseau SOFAC : Organigramme de SOFAC : PRESENTATION DU PROJET : But du projet : Planification : CONCLUSION : CHAPITRE ETUDE DE L EXISTANT INTRODUCTION ARCHITECTURE PHYSIQUE : Schéma synoptique de l architecture WAN de SOFAC : Schéma synoptique de l architecture LAN de SOFAC : DESCRIPTION DU MATERIEL : Inventaire du matériel : Types de connexions physiques : ARCHITECTURE LOGIQUE : Problématique : réseau unifié entre MAROC LEASING et SOFAC : VLAN : Choix de l adressage : Equipement réseau : Serveurs TOIP/VOIP : CONCLUSION : CHAPITRE CRITIQUE DE L EXISTANT ET ANALYSE DES RISQUES INTRODUCTION... 31

7 3.1 AUDIT ET ANALYSE DE L INFRASTRUCTURE : Problématique : Objectif : Moyen : Méthode adoptée : PRESENTATION DE LA METHODE MEHARI Objectif de MEHARI : Utilisation de MEHARI : Base de connaissance : DEMARCHE ADOPTEE : CONFORMITE AVEC LA NORME ISO : PHASE PREPARATOIRE : Périmètre technique : Fixation des paramètres techniques d analyse des risques : PHASE OPERATIONNELLE D ANALYSE DES RISQUES : Analyse des enjeux et la classification des actifs : Le diagnostic de la qualité des services de sécurité : L appréciation des risques : CONCLUSION : CHAPITRE CONCEPTION INTRODUCTION CLASSIFICATION ET TRAITEMENT DES SCENARIOS DE RISQUE: Indisponibilité du réseau local : Indisponibilité du réseau étendu : VPN SUR ADSL : CONSOLIDATION DES LIENS RNIS : SOLUTION RETENUS : PLAN D ACTION : Choix des équipements : Description de la solution technique : CONCLUSION : CHAPITRE REALISATION INTRODUCTION MISE EN PLACE SOLUTION : SOLUTION REDONDANCE LAN : Schéma de la solution : Description du Switch fédérateur 7500 [] : Méthodologie d implémentation : Redondance du serveur DHCP : Redondance du Active Directory : SOLUTION REDONDANCE WAN : Séparation de la plateforme télécom au data center système : Schéma de la nouvelle salle Telecom : Consolidation matériel des routeurs : Consolidation des liens du coté siège par la mise en place de deux moye de concentration : PLAN D ACTION :... 66

8 5.4.1 Conception Technique : Architecture Consolidée METHODOLOGIE D IMPLEMENTATION : Consolidation des liens RNIS : Redondance de routage (VRRP) : SCENARIOS DE MISE EN PRODUCTION : SECURITE : SOLUTION DE SUPERVISION : NAGIOS : Solarwinds Real-time Netflow Analyser : CONCLUSION GENERALE REFERENCES ANNEXES ANNEXE I : CAPTURE D ECRAN BASE MEHARI... 1 ANNEXE II : CONFIGURATION VRRP COMMUTATEUR FEDERATEUR ANNEXE III : CONFIGURATION VRRP COMMUTATEUR FEDERATEUR 7500 BACKUP... 3 ANNEXE IV: CONFIGURATION CONSOLIDATION ROUTEUR... 4 ANNEXE V: CONFIGURATION VRRP ROUTEUR... 5 ANNEXE VI : CONFIGURATION STP... 6 ANNEXE V : INSTALLATION DE NAGIOS... 7

9 Liste de figures FIGURE 1 : DISTRIBUTION RESEAU CORRESPONDANTS A SOFAC... ERREUR! SIGNET NON DEFINI. FIGURE 2 : ORGANIGRAMME SOFAC FIGURE 3 : PLANNING DU STAGE FIGURE 4 : DIAGRAMME DE GANTT FIGURE 5: RESEAU ETENDU DE SOFAC FIGURE 6 : RESEAU LOCAL DE SOFAC FIGURE 6 : COMMUTATEUR FEDERATEUR FIGURE 7 : COMMUTATEUR FIGURE 8: COMMUTATEUR FIGURE 9: VCX V7122 DIGITAL GATEWAY 2 SPAN FIGURE 10 : VCX V71118-CHANNEL ANALOG GATEWAY FXS/FXO FIGURE 11: ROUTEUR FIGURE 12 : BASE DE CONNAISSANCE MEHARI FIGURE 13 : DEMARCHE MEHARI FIGURE 14 : ROSACE RESEAU LOCAL (05LAN) FIGURE 16 : ROSACE RESEAU WAN (04WAN) FIGURE 17 : RESEAU LOCAL REDONDE FIGURE 15 : COMMUTATEUR FEDERATEUR FIGURE 16 : FONCTIONNEMENT DE LA REPLICATION FIGURE 17 : NOUVELLE SALLE TELECOM FIGURE 18 : SOLUTION WAN CONSOLIDEE FIGURE 19 : ROUTEUR CISCO FIGURE 20 : FONCTIONNALITE DE NAGIOS FIGURE 21 : DETAILS FONCTIONNALITES FIGURE 22 : TRAFIC SORTANT ET ENTRANT GROUPE PAR PROTOCOLE FIGURE 23 : TRAFIC SORTANT ET ENTRANT GROUPE PAR APPLICATION... 74

10 Liste de tableaux TABLEAU 1 : VLAN SOFAC TABLEAU 2 : LES DIFFERENTES METHODES D AUDIT ET D ANALYSE DES RISQUES TABLEAU 3 : LA GRILLE D ACCEPTABILITE DES RISQUES TABLEAU 4 : GRILLE D EXPOSITION TABLEAU 5 : TABLEAU D IMPACT INTRINSEQUE TABLEAU 6 : SCHEMA D AUDIT TABLEAU 7 : SCENARIOS D INDISPONIBILITE DU RESEAU LOCAL TABLEAU 8 : SCENARIOS D ALTERATION DU RESEAU LOCAL TABLEAU 9 : SCENARIOS D INDISPONIBILITE DU RESEAU ETENDU TABLEAU 10 : SCENARIOS D ALTERATION DU RESEAU ETENDU TABLEAU 11 : TABLEAU DE RACCORDEMENT TABLEAU 12 : PLAN D ADRESSAGE FEDERATEUR TABLEAU 13 : PLAN ADRESSAGE FEDERATEUR SECOURS TABLEAU 14 : DISTRIBUTION DES AGENCES DANS LES MOYES... 67

11 Remerciements Remerciements On tien à exprimer notre profonde reconnaissance à l ensemble des personnes ayant participées de prés ou de loin à cette expérience professionnelle qui nous a permis de consolider nos acquis théoriques en les confrontant à la réalité du monde professionnel. Outre les formalités de politesse coutumières dans ce genre de rapport, on tient à préciser la bienveillance et l intérêt manifestés à notre égard par l ensemble du personnel, qui nous ont permis d effectuer un stage très formateur. Leur disponibilité nous a permis de recueillir toutes les informations nécessaires à l élaboration de ce rapport. On voudrait aussi remercier nos encadrants au sein de SOFAC, MR Younes LOUAHLIA et MR Mohamed MANOUN pour leurs précieux conseils et leur suivi pendant la réalisation du projet. Nos remerciements les plus sincères vont à MR Saïd NAJAH notre encadrant à la FST de Fès, pour les conseils qu il nous a prodigué, son judicieux encadrement ainsi que son assistance. Nos remerciements vont également à tous nos professeurs et au corps administratif de la FST Fès. Que les membres de jury, trouvent ici l expression de nos reconnaissances pour avoir accepter de juger notre travail. 11

12 Introduction générale Introduction générale Dans le cadre de la 2ème année en Master Système Intelligent et Réseau à la FSTF, nous avons choisi d effectuer notre stage de fin d étude au sein du service système et réseau de la société SOFAC. Sous la tutelle de Mr. Youness LOUAHLIA et de Mr. Mohamed MANOUN, respectivement responsable du système d information, administrateur réseau et télécommunication, on a pu évoluer dans une équipe dynamique et ainsi réaliser le projet qui nous a été proposé : «Plan de secours réseau LAN et WAN». Notre objectif était de découvrir et d aider concrètement à la réalisation complète d un projet en milieu professionnel. L un des points faibles de toute organisation financée demeure les moyens de communication, ces derniers doivent tolérer les dysfonctionnements et les incidents. C est pourquoi il faut mettre en œuvre une alternative efficace à la survenance d un incident. Le plan de secours réseau est donc la parade la plus efficace en cas de survenance de risque concernant l interruption des systèmes d information ou des dommages aux actifs physiques ex : Routeur, Switch, Lien Les objectifs du stage étaient clairement définis. En commençant par l étude de l existant, on devait ensuite réaliser une critique de l existant, en utilisant une méthode d audit et d analyse des risques en tenant compte des besoins propres de SOFAC. Après une phase de conception, dont le but était l élaboration d un plan d action afin de mettre en production les solutions qui offre une haute disponibilité du système en cas de panne, vient une phase d ingénierie où les détails techniques des différentes solutions adoptées dans le plan d action, y sont mis en œuvres et testes. Enfin, le dernier point consistera en la mise en place d une solution de supervision du réseau LAN et WAN au sein de SOFAC pour garantir une remontée d information rapide et une durée d intervention minimale. Notre stage s est donc articulé autour de la mise en place du secours réseau LAN et WAN, notre rapport contient cinq chapitres divisés comme suit : Contexte général du projet. Etude de l existant. Critique de l existant et Analyse des risques. Conception. Réalisation. 12

13 Chapitre 1 Contexte général du projet A travers ce premier chapitre, nous allons d abord présenter l entreprise d accueil, en termes d organisation et d activités. Ensuite nous allons enchaînés ce chapitre par la présentation du cadre général du projet et ces objectifs, enfin nous allons achevés ce chapitre par le planning du déroulement du projet.

14 Chapitre 1 Contexte général du projet Introduction A travers ce A travers ce premier chapitre, nous allons d abord présenter l entreprise d accueil, en termes d organisation et d activités. Ensuite nous allons enchaînés ce chapitre par la présentation du cadre général du projet et ces objectifs, enfin nous allons achevés ce chapitre par le planning du déroulement du projet Présentation de l entreprise : Présentation de l organisme d accueil : SOFAC est une entreprise citoyenne dont la mission est de contribuer au développement économique et social du pays en aidant les particuliers à améliorer leur niveau de vie. Elle a été créée à Casablanca le 11 Juillet 1947 sous le nom de SOVAC MAROC et avait pour vocation de soutenir l industrialisation du pays, notamment dans le domaine de l automobile. Le 20 Septembre 1993, la société a changé de dénomination pour devenir SOFAC Crédit et son capital est passé sous le contrôle de l Etat. EN 1973, SOFAC Crédit a été privatisée et introduite à la Bourse de Casablanca. L Etat s est alors progressivement désengagé et le capital de la société a été repris par la caisse de Dépôt et de Gestion, la Banque Marocaine du Commerce Extérieur, la société marocaine SOMACA et la compagnie d assurance CNIA. En 1994, la société a continué sa mutation en opérateur financier du secteur privé. L actionnariat de SOFAC Crédit se répartissait entre la Caisse de Dépôt et de Gestion, la BMCE, la CNIA et la SOMACA. L année 2003 a été marquée par la prise de contrôle du capital de SOFAC Crédit par la Caisse de Dépôt et de Gestion. Celle-ci a été suivie par une augmentation de capital de 100 millions de DH. Cela a permis à la Caisse d atteindre 67% du capital qui passera ensuite à 75% en rachetant en 2005 et 2006 les 8% du capital détenu par la CNIA. A la fin de 2003 et au début de l année 2004, la Caisse de Dépôt et de Gestion a lancé le projet SOFAC. Il comporte 5 volets fondamentaux : L organisation et reeingeniering des process. Le système d information. Le système décisionnel client. Le marketing. Aujourd hui SOFAC a finalisé la première phase de son projet de développement initiée au début de l année 2004 et qui comportait les axes suivants : Définition de la mission, de la vision et des valeurs de l entreprise : 14

15 Chapitre 1 Contexte général du projet Refonte organisationnelle et informatique (organigramme, mise à niveau des RH, organisation, SI). Mise en place des expertises métiers (distribution, gestion relation client, back office). Optimisation de la gestion financière (refinancement, adossement, ALM, trésorerie, opérationnel). Intégration d une nouvelle stratégie marketing (identité visuelle, nouveaux produits, siège). Fore de ses acquis, SOFAC peut à présent déployer son savoir-faire dans le cadre de différents partenariats stratégiques. Il en est ainsi de l accord de principe conclu, tout récemment, entre le Groupe Caisse de Dépôt et de Gestion et la Poste Maroc qui prévoit une prise de participation de cette dernière de 35% du capital détenu par la CDG. En 2009 SOFAC à créer «SOFACASSUR» filiale dans le domaine d assurances Les produits SOFAC : SOFAC est une société de financement voué à la maitrise des risques liés à la gestion des services financiers et des prestations complémentaires des particuliers. Elle opère dans le secteur du crédit à la consommation en commercialisant les familles de produits suivants : Le prêt Affecté : symbolisé par la couleur orange qui représente l une des valeurs de SOFAC (performance). Crédit Automobile Leasing au Particulier : lancé en 2002, SOFAC Autolease est une formule de financement qui permet au particulier d acquérir un véhicule de tourisme neuf importé. Cette formule est régie par un contrat de la location au terme duquel le locataire (client) paie une valeur résiduelle. Crédit Automobile Classique : premier produit lancé par SOFAC depuis sa création, il permet l acquisition d un véhicule de tourisme neuf ou d occasion ayant moins de 4 ans de routage. Crédit Ménager : C est un produit qui vient d être conçu par SOFAC. Il s agit d une formule destinée au financement de l équipement ménager : électroménager, ameublement, informatique ménager, etc. Le prêt non Affecté : symbolisé par la couleur bleue qui représente l une des valeurs de SOFAC (la Citoyenneté). SOFAC Mouadaf : c est un crédit personnel destiné aux fonctionnaires des administrations publiques. SOFAC Confo : il est destiné aux autres catégories socioprofessionnelles, à savoir les salariés du secteur privé, les salariés des sociétés conventionnées et les professions libérales. 15

16 Chapitre 1 Contexte général du projet La Carte Accréditive (en cours de conception) : symbolisée par la couleur grise qui représente l une des valeurs de SOFAC (la proximité). Il s agit des Crédits Revolving et des cartes de paiement. Une carte accréditive fonctionne selon un système revolving. Elle est dotée d une réserve d argent dont le montant est calculé en fonction du profil et du budget client et qui peut entre revue régulièrement. La partie «capital» de la mensualité prélevée du compte client sert à réalimenter la réserve d argent octroyée au départ. Elle est utilisable, dans la limite du montant octroyé, soit dans les magasins agrées, soit dans les guichets automatiques bancaires. Ce produit intègre les services complémentaires relatifs à l activité de l automobile telle la gestion des assurances, des programmes d entretien, etc Réseau SOFAC : SOFAC couvre tout le territoire national. En plus de ses agences propres dans les villes de Casablanca, Rabat, Marrakech, Fès, Tanger, Agadir, Meknès, (prochainement Oujda), elle dispose de 20 correspondants et d un ensemble de partenariats stratégiques (800 agences Poste Maroc et 100 agences crédit immobilier et hôtelier), et commerciaux (concessionnaires de l automobile). Figure 1 : Distribution réseau correspondants à SOFAC. 16

17 Chapitre 1 Contexte général du projet Ces conventions nationales avec les collectivités, les communes, concentration de l activité, plus de 60% sur l axe El Jadida Kenitra contribue à 65% du réseau externe Organigramme de SOFAC : Direction Gènérale Audit & Controle interne Support Risque et Marketing Ressource Humaine Exploitation Organisation & Qualite DSI Finance Administratif Centre d'appel SAV Production Recouvrement Exploitation Dèveloppement Système & Réseaux Controle de Gestion Trésorie Comptabilité Logistiqu e et Moyens généraux Juridique Backoffice Réseau Direct Réseau indirect Figure 2 : Organigramme SOFAC. Zoom sur la Direction des systèmes d information de SOFAC. La direction des systèmes d information de SOFAC est constituée de trois entités. Entité Système et réseau : géré par un responsable et de deux administrateurs cette entité est chargée de l administration du système, réseau et bases des données ainsi assure le support pour le siège social, dix agences et 22 correspondants et aussi le support 2eme niveau pour les partenaires stratégiques (800 agences Poste Maroc, 100 agences CIH et 50 concessionnaires automobile). Entité Exploitation informatique : composée de deux ressources chargées de toute sorte d exploitation informatique. Entité Etude et Développement : Composée de 3 développeurs leur mission c est le développement et la conduite du projet d intégration du progiciel métier «EKIP» Présentation du projet : But du projet : SOFAC crédit est l une des sociétés leader dans le crédit à la consommation sur le marché marocain. Un arrêt du réseau LAN et WAN de l entreprise nuirait gravement aux processus métiers et à l ensemble des collaborateurs de la société. 17

18 Chapitre 1 Contexte général du projet Dans cette optique et suite aux recommandations de banque Al Maghreb (Circulaire 40/G/2007) concernant le respect des normes international (BALE II 1 ), le service système et réseau de SOFAC a de son coté, planifié dans le cadre du plan de continuité d activité, la mise en place d un plan de secours informatique selon une norme internationale pour parer à l arrêt de son activité, et qui permettra de reprendre l activité en un temps minimal. Notre projet est un module qui découle du plan de secours informatique global, qui consiste en un Plan de Secours Réseau à savoir la mise en place d un réseau LAN et WAN parallèle passif au sein du siège de l entreprise afin de garantir la haute disponibilité du réseau avec le moins de craintes possibles Planification : Grace aux réunions tenues avec nos encadrant au sein du service, on a été éclairé sur les différentes étapes et séquence du projet. Le tableau suivant présente le planning du déroulement du projet. Figure 3 : Planning du stage. Figure 4 : Diagramme de Gantt. Ce planning était un fil conducteur tout au long du projet. Il nous a permis d ajuster les dérives et de maîtriser la gestion du temps alloué pour la réalisation du projet. 1 Bâle II : COMITÉ DE BÂLE SUR LE CONTRÔLE BANCAIRE Saines pratiques pour la gestion et la surveillance du risque opérationnel, Banque des règlements internationaux, février

19 Chapitre 1 Contexte général du projet Conclusion : A travers ce chapitre nous avons d abord présenté l organisme d accueil qui est la SOFAC. Ensuite nous avons décrit le contexte général dans lequel s inscrit notre projet. Dans le prochain chapitre intitulé «Etude de l'existant», nous allons faire une étude de l existant qui nous permettra par la suite de comprendre l architecture sous-jacente du réseau existant de SOFAC. 19

20 Chapitre 2 Etude de l existant Dans ce chapitre, nous allons décrire l architecture sous-jacente de fonctionnement du réseau existant de SOFAC, à savoir le matériel utilisé, le type de câblage et la topologie privilégié au sein de la société SOFAC.

21 Chapitre 2 Etude de l existant Introduction Dans ce chapitre, nous allons décrire l architecture sous-jacente de fonctionnement du réseau existant de SOFAC, à savoir le matériel utilisé, le type de câblage et la topologie privilégié au sein de la société SOFAC. 2.1 Architecture physique : Schéma synoptique de l architecture WAN de SOFAC : Figure 5: Réseau étendu de SOFAC. SOFAC compte à l heure actuelle 9 agences, relié avec le siège à Casablanca par différent moyens de desserte. Les agences de Rabat, Fès, Casablanca, Meknès Tanger et Agadir sont relié par des liaisons louées de Maroc Télécom de débits, de 512 Kbps où 256 Kbps doublé par des liaisons RNIS. L agence de Marrakech est reliée par une liaison Wimax pris en charge par Méditel. 21

22 Chapitre 2 Etude de l existant Schéma synoptique de l architecture LAN de SOFAC : Figure 6 : Réseau local de SOFAC. 22

23 Chapitre 2 Etude de l existant 2.2 Description du matériel : Inventaire du matériel : Le réseau de SOFAC est constitué de : i. Commutateur fédérateur : 3Com 8810 [2]: Description : Figure 6 : Commutateur fédérateur Le commutateur modulaire multicouche intelligent pour LAN, le 3Com Switch 8810 trouve sa place dans les entreprises exigeantes en matière de disponibilité permanente des applications critiques et des niveaux maximum de performance et de sécurité. Le Switch 3Com 8810, dispose de 10 emplacements dont 2 pour matrices à partage de charge et 8 pour modules de commutation, soit au total 32 ports 10-Gigabit ou 384 ports 10/100/1000. Le châssis du 3Com Switch 8810 installé au niveau du LAN est équipé des modules de commutations suivants : Deux Switch fabric 3Com Deux module 3Com Switch Port 1000BASE-X (SFP). Deux Module 3Com Switch Port 10/100/1000BASE-T. Deux alimentations redondantes à partage de charge. Rôle : Le Switch fédérateur 3Com Switch 8810 relie l ensemble des commutateurs d étages 3Com SuperStack 4400PWR et 4500 par des liens en fibre optique redondants et agrégés. 2 H3C Manuel d installation du Switch fédérateur 3Com 8810, détails [i] 23

24 Chapitre 2 Etude de l existant Ce fédérateur assure aussi la fonction de routage inter VLAN niveau 3 pour l ensemble des VLAN crées, la concentration des connexions des ressources critiques notamment les serveurs de téléphonie, passerelles, serveurs data et le routage avec les équipements de routage WAN. ii. Commutateur d étages : 4500, 4400 [3]: Ces commutateurs sont au nombre de 21 dans le parc réseau de SOFAC. Figure 7 : Commutateur Description : commutateur 4400 PWR (3C17205). Le Switch 4400 est un dispositif à 10/100 Mbps empilable et offrant des groupes de travail à hautes performances avec connexion entre dorsal et serveur. Le Switch 4400 autorise les connexions en cascade, Gigabit-Ethernet et FastEthernet Fibre lorsque les modules d extension sont installés dans les logements arrière de l unité. Il est également possible d ajouter le Switch 4400 à tout système SuperStack à mesure que le réseau grossit. Description : commutateur Figure 8: Commutateur Le commutateur 4500, est un commutateur empilables de 10/100 et 10/100/1000 Mbps, qui fournit un accès sécurisé, une connectivité LAN et des fonctionnalités vocale avancées optimisées, tels que Power over Ethernet (PoE) et VLAN VoIP automatiques et la QoS. C est un modèles Gigabit offrant également en option des liaisons montantes 10-Gigabit via les modules de connexion locale. Rôle : commutateur 4400 et Au sein de SOFAC ces types de Switch jouent le rôle de Switch d accès au niveau des étages. 3 H3C Manuel d installation du Switch d étage superstack 3Com 4500/440, détails [ii] 24

25 Chapitre 2 Etude de l existant iii. Gateway numérique (1 E1 IAM) de la marque 3Com qui sont au nombre de deux[4]: Figure 9: VCX V7122 Digital Gateway 2 Span. Description : La passerelle V7122 permet à la voix, fax, et le trafic de données à être écouler sur le même Réseau IP. La passerelle offre une excellente qualité vocale et l optimisation des paquets vocaux sur les réseaux IP. La passerelle utilisé, intègre deux lien E1 pour la connexion, directement au réseau téléphonique public commuté «(RTC)/ Private Branch Exchange (PBX)» les liaisons téléphoniques, et comprend deux 10/100 Base-TX Ethernet ports pour le raccordement au réseau. Rôle : SOFAC utilise les deux passerelles pour la VOIP conjointement avec Maroc Leasing, la première est réservée à SOFAC et reçois un E1 Maroc Télécom avec le numéro XX, la deuxième passerelle reçois deux E1 Maroc Télécom, une pour SOFAC numéro XX et l autre Maroc Leasing numéro XX. iv. Gateway analogique : 1 FXS, 1 FXO. Description : Figure 10 : VCX V71118-channel analog Gateway FXS/FXO. La passerelle analogique VCX V7111 (FXS et FXO) permet aux téléphones analogiques et d autres périphériques analogiques d utiliser les propriétés du protocole SIP de téléphonie. C est une caractéristique particulièrement utile lors des transitions, permettant aux employés de continuer à utiliser les équipements familiers et interfaces, y compris les plans de numérotation, systèmes, les télécopieurs et les modems. 4 Manuel d installation et update des Gateways HP VCX V7XX, détails [iii] 25

26 Chapitre 2 Etude de l existant Rôle : SOFAC utilise deux passerelles analogiques, une passerelle avec 8 ports FXO et une autre avec 8 ports FXS. La passerelle FXS est utilisé pour brancher quatre lignes fax physique, la passerelle FXO était utilisée pour le routage des flux GSM sortant via des LOBOX Maroc télécom de la marque Ericsson, mais cette passerelle n est plus utilisée, ceci est du à une qualité de service médiocre et à l avènement de nouvelles offres opérateurs bien plus intéressantes. Ces passerelles analogique et numérique font partie du VLAN passerelles. v. Routeurs : Dans le cadre du réseau étendu, SOFAC a fait confiance aux routeurs de la marque Cisco, vu la renommée de la marque, et la possibilité de les manager par le personnel exploitant qui sont certifié Cisco. CISCO 1841 [5]: Figure 11: Routeur Description : Les routeurs à intégration de service de la gamme 1800 ont évolué à partir des routeurs d accès modulaires. Le routeur 1841 se caractérise par la multiplication par cinq des performances sécurité ainsi qu une augmentation considérable en termes de capacités et de densité d emplacements d interfaces. Le routeur Cisco 1841 supporte plus de 30 cartes interfaces. Rôle : Cette gamme de routeur est utilisée au niveau du siège de SOFAC et au niveau de chaque agence pour assurer l interconnexion avec le siège. Il utilise une carte WIC (WAN Interface Card) où est branchée une liaison Maroc Telecom de 512 Kbps et/ou 256 Kbps, et une carte ISDN où est branchée une ligne RNIS infinix Maroc Telecom de 128 Kbps Types de connexions physiques : Les liaisons entre le commutateur fédérateur «3Com 8810» et les commutateurs d étages 3Com 4400 ou 4500 sont faites via deux raccordements en fibre optique en agrégations. La bande passante de chaque liaison est de 2 Gbps en full duplex. Des câbles de catégorie 6 sont utilisés pour raccordé les ordinateurs des utilisateurs et d autres équipements sur le réseau via les prises murale réseau connecté au commutateur d étages. 5 Cisco 1800 Series Integrated Services Routers, détails [iv] 26

27 Chapitre 2 Etude de l existant 2.3 Architecture logique : Problématique : réseau unifié entre MAROC LEASING et SOFAC : Le réseau déployé a la particularité d être partagé entre SOFAC et Maroc Leasing, c est-à-dire que lors de la mise en place du réseau LAN supportant la commutation du trafic data et le trafic voix de la téléphonie, il a été convenu la mise en plan des VLAN pour la segmentation et la répartition des domaines de diffusion «Broadcaste» VLAN : Le nombre des VLAN niveau 3 implémenté est de 8 montrés dans le tableau qui suit : ID VLAN Nom VLAN Description Choix de l adressage : 1 Management VLAN par défaut 2 Serveur VLAN Serveurs 3 SOFAC Utilisateurs SOFAC 4 ML Utilisateurs Maroc Leasing 5 Visiteurs Visiteurs 10 Call Processor Call processor (VCX) 11 Gateway Gateway téléphoniques 12 IPPhone Poste IP Phone 80 Agences VLAN Agences Tableau 1 : VLAN SOFAC. Le choix de l adressage IP du réseau LAN a été fait suivant les exigences du plan d adressage IPv4, la classe X.X.X.X /24 dédiée au VLAN des serveurs et 7 sous-réseau ont été ajoutés. Chaque sous réseau permet de recevoir 254 host sauf au niveau du VLAN IP Phone dont le réseau IP est X.X.0.0/16 qui permet la réception de host Equipement réseau : Serveurs. i. Dynamic Host Configuration Protocol (DHCP) : L affectation des paramètres DHCP est assurée par un serveur DHCP dans le VLAN serveur 2 paramétré avec l adresse X.X.X.X. Pour servir les autres VLAN, un DHCP Relay est paramétré sur l ensemble des interfaces VLAN avec l adresse IP du serveur DHCP X.X.X.X. 27

28 Chapitre 2 Etude de l existant Au niveau du serveur DHCP, 5 pool ont été crées, pour chacun des pools crées, l option serveur délivre le complément des paramètres TCP/IP notamment la passerelle par défaut, le serveur DNS, WINS etc. Particulièrement pour le pool du VLAN IP PHONE «X.X.X.X», on trouve les paramètres option 184 : notamment l adresse IP du call processor primaire et secondaire, l option 120 pour le boot et le téléchargement du fichier de boot des IP PHONE. ii. Contrôleur de domaine : Le contrôleur de domaine utilisé est exécuté sous Windows Server 2007, il appartient au VLAN serveur 2, il se caractérise par le fait qu il soit utilisé par SOFAC et MAROC LEASING. Le domaine utilisé est DOMSOFAC. Ce serveur fourni des services centralisés d identification et d authentification au réseau d ordinateurs utilisant le système Windows. Il permet également l attribution et l application de stratégie mise en place au sein de SOFAC, et répertorie les éléments du réseau administré tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes TOIP/VOIP : i. Description : L architecture de la solution téléphonique adoptée respecte les points suivant : 2 IPBX FULL IP et totalement redondant : 3Com VCX 7205 sur serveur IBM XSeries 346 et supportant les fonctions Call Processor. La messagerie unifiée 3Com VCX V7335 sur un troisième serveur IBM XSERIES 306. Les postes IP sont soit 3103, 3102, 3101, HP 3500b, HP La solution de téléphonie implémentée est notamment ouverte : Serveurs standard de l industrie OS Linux RedHat optimisé par 3Com, Les bases de données embarquées sont Oracle avec support des protocoles d accès standard : ODBC, JDBC, RADIUS, 3Q. La messagerie unifiée est basée sur SIP/IP et non pas TDM. Jusqu à 5000 accès simultanés, la messagerie est assurée par 3Com VCX Messaging Server. ii. Call processeur : Call processor 3Com VCX V7205 : L implémentation des calls processors est faite pour assurer une redondance totale au niveau des services Call processing Base de données d annuaires. Le serveur VCXSOFAC V7205 «@IP : X.X.X.X» est le serveur principal : qui assure en premier lieu le traitement des appels internes, le routage des appels vers les médias Gateway, l authentification des utilisateurs lors de la connexion au service VCXData. 28

29 Chapitre 2 Etude de l existant Serveur UMS VCX V7335 : Le 3éme serveur V7335 est le serveur de messagerie unifiée de 3Com qui assure l exploitation du service de messagerie vocale, fax et mails électronique. Le serveur est configuré en mode redondant en réplication de base de données d annuaire pour synchroniser l annuaire des extensions utilisateurs. Conclusion : Dans ce chapitre, nous avons fait une étude de l existant, ensuite nous avons décrit les fonctionnalités des déférents équipements réseau utilisé au sien de SOFAC, ainsi que l architecture adopté. Dans le chapitre suivant, nous allons entamer une critique de l existant et analyse des risques. 29

30 Chapitre 3 Critique de l existant et Analyse des risques Dans ce chapitre, nous allons adapter au cadre de notre projet une méthode d audit et d analyse des risques. Afin d identifier les risques réels, comprendre l'émergence des risques et construire des solutions qui respectent les recommandations de Banque Al Maghreb (Circulaire 40/G/2007).

31 Chapitre 3 Critique de l existant et Analyse des risques Introduction Dans ce chapitre, nous allons adapter au cadre de notre projet une méthode d audit et d analyse des risques. Afin d identifier les risques réels, comprendre l'émergence des risques et construire des solutions qui respectent les recommandations de Banque Al Maghreb (Circulaire 40/G/2007). 3.1 Audit et analyse de l infrastructure : Problématique : La sécurité du système d information d une entreprise est un requis important pour la poursuite de ses activités. Qu il s agisse de la dégradation de son image de marque, du vol de secrets de fabrication ou de la perte de ses données clients ; une catastrophe informatique a toujours des conséquences fâcheuses pouvant aller jusqu au dépôt de bilan. Organiser cette sécurité n est pas chose facile, c est pourquoi il existe des méthodes reconnues pour aider les responsables informatiques à mettre en place une bonne politique de sécurité et à procéder aux audits permettant d en vérifier l efficacité. Business=Confiance o Augmentation de l utilisation des NTIC. o Augmentation des transferts EDI (B2B) o Augmentation des transactions online Augmentation de la cybercriminalité o Apparition des réseaux sociaux o Spam o Espionnage industriel o 80% des attaques proviennent de l intérieur Objectif : Améliorer la sécurisation des systèmes d information, pour faire face à la concurrence, la mise en conformité avec la loi et l image commerciale. Justifier le budget alloué à la sécurisation du SI. Prouver la crédibilité de son SI à des donneurs d ordre. Obtenir une certification ISO (mise en place SMSI) Moyen : Apres avoir effectué plusieurs recherches, plusieurs méthodes basées sur la gestion des risques ont émergé, chacune présentant des avantages et des inconvénients. Elles sont basées sur des analyses en fonction des recommandations de la norme ISO27000, référence de la gestion de la sécurité informatique. 31

32 Chapitre 3 Critique de l existant et Analyse des risques Méthodes d analyse de risque : MEHARI (Méthode Harmonisée d analyse de risque), maintenu par CLUSIF. EBIOS (Expressions des besoins et identification des objectifs de sécurité), maintenu par la DCSSI. Base de connaissance d l ISO Ci-dessous, le récapitulatif des principaux méthodes d audit et d analyse des risques : Les principales méthodes d audit de sécurité Nom Signification Origine Caractéristiques Cobit Control objectives for information and technology ISACA Méthode accessible à tous, dans un langage simple. Les outils fournis permettent la mesure des performances mais la méthode est aujourd hui davantage assimilée à une méthode de gouvernance des SI. Ebios Expression des Besoins et Identification des Objectifs de sécurité DCSSI Notamment déployée au sien de l administration française, cette méthode comprend une base de connaissance et un recueil de bonnes pratiques. Elle est téléchargeable sur le site de la DCSSI et s accompagne d un logiciel Feros Fiche d Expression Rationnelle des Objectifs de Sécurité SCSSI Ce n est pas une méthode à proprement parler mais un document permettant à une autorité donnée (secteur secret défense notamment) de définir le niveau d engagement de sa responsabilité dans l application d une politique de sécurité Marion Méthodologie d Analyse de Risques Informatiques Orientée par Niveaux CLUSIF Fonctionne par questionnaires débouchant sur 27 indicateurs repartis en 6 catégories. 2 phases (audit des vulnérabilités et analyse) permettant la définition et la mise en œuvre de plans d actions personnalisés. Tableau 2 : Les différentes méthodes d audit et d analyse des risques Méthode adoptée : Afin de choisir une méthode parmi tout le panel existant, on doit répondre à une question précise : Sur quels critères faire ce choix? Les critères de choix pour une méthode d analyse des risques étaient les suivants : L origine géographique de la méthode, la culture du pays jouant beaucoup sur le fonctionnement interne des entreprises et leur rapport au risque. 32

33 Chapitre 3 Critique de l existant et Analyse des risques La langue de la méthode, car il est essentiel de maitriser le vocabulaire employé. L existence d un club d utilisateurs afin d avoir un retour d expériences. La qualité de la documentation. La facilité d utilisation et le pragmatisme de la méthode. La compatibilité avec une norme nationale ou internationale. Le cout de la mise en œuvre. Le support de la méthode par son auteur, une méthode abandonnée n offre plus la possibilité de conseil et de support de la part son éditeur. Après études des différents critères de choix et des recherches consistantes, finalement notre choix s est porté sur la méthode MEHARI car : C est une méthode française proche de notre culture d entreprise marocaine. Le vocabulaire employé, est un vocabulaire français facilement maitrisable. La méthode MEHARI (Méthode Harmonisé d Analyse des Risques) a été développée par le CLUSIF (Club de la Sécurité des Systèmes d Information Français) pour cerner les risques liés à l information. La qualité de la documentation est exemplaire et très détaillée qui ne laisse lieu à aucune ambigüité. MEHARI est compatible avec la norme ISO/IEC :2005. L utilisation de la méthode est gratuite et sa distribution est réalisée selon les dispositions du logiciel libre (Open Source). Le support de la méthode est assuré par le CLUSIF (Club de la Sécurité des Systèmes d Information Français) qui en est maintenant à la version Présentation de la méthode MEHARI : La méthode MEHARI a été développée par le CLUSIF pour cerner les risques liés à l information. Cette méthode fournit un cadre, des procédés et des bases de connaissances permettant de se pencher sur plusieurs points tels que : Les enjeux majeurs de l entreprise et notamment les dysfonctionnements potentiels et la gravité de ces derniers. Les vulnérabilités, en évaluant la qualité des mesures de sécurité en place. Les risques de manière à définir les mesures les mieux adaptées à mettre en œuvre. L entreprise auditée se soumet à un certain nombre de questionnaires débouchant sur différentes notes de 0 à 4 (en tout, 27 indicateurs repartis en 6 catégories) évaluant sa 33

34 Chapitre 3 Critique de l existant et Analyse des risques performance à la fois par rapport à un standard jugé satisfaisant mais aussi par rapport au autre entreprises ayant procèdé à l audit Objectif de MEHARI : L objectif premier de MEHARI est de fournir une méthode d analyse et de gestion des risques et, plus particulièrement pour le domaine de la sécurité de l information, une méthode conforme aux exigences de la norme ISO/IEC ; 2008, avec l ensemble des outils et moyens requis pour sa mise en œuvre. A cet objectif premier s ajoutent deux objectifs complémentaires : Permettre une analyse directe et individualisée de situations de risque décrites par des scenarios de risque. Fournir une gamme complète d outils adaptée à la gestion à court, moyen et long terme, de la sécurité, quelle que soit la maturité de l organisme en matière de sécurité. Compte tenu de ces objectifs, MEHARI propose un ensemble méthodologique cohérent, faisant appel à des base de connaissance adaptées, et structurés, afin d accompagner l élaboration des différentes phases Utilisation de MEHARI : Base de connaissance : La démarche MEHARI s appuie sur une base de connaissance de situations de risques et sur les mécanismes d évaluation des facteurs caractérisant chaque risque et permettant d en apprécier le niveau. Le processus d utilisation des bases de connaissances est le suivant : Un ensemble de feuille de calcul permettant d intégrer les résultats des divers modules de MEHARI. Ces fonctions permettant d évaluer les niveaux de risques actuels et de proposer des mesures additionnelles pour réduire la gravité des scenarios. Figure 12 : Base de connaissance MEHARI. 34

35 Chapitre 3 Critique de l existant et Analyse des risques Des captures d écran concernant les différentes feuilles de calculs sont consultables au niveau de l annexe. Présentation de la démarche MEHARI : La démarche MEHARI comprend trois phases, conformément au schéma ci-dessous : 3.3 Démarche adoptée : Figure 13 : Démarche MEHARI. La démarche MEHARI est claire précise et même complète, c est pourquoi on a décide après les différentes réunions avec l ensemble des personne concernée de suivre la méthode MEHARI à la lettre, tout en essayant de l adapter au contexte du stage. Cette démarche permet de s aligner sur les préconisations de l ISO en termes de différentes activités. La phase préparatoire (qui correspondant à l établissement du contexte dans ISO 27005) permet en synthèse de : Définir le contexte Les objectifs de la démarche de gestion des risques. Les contrainte (légales, réglementaires, normatives, ). Définir le cadre de la mission (périmètre de l analyse des risques, périmètre d audit, ). Et surtout définir les critères dans l ISO d acceptabilité des risques et critère d impact. La phase opérationnelle d analyses des risques : L analyse des enjeux qui débouche sur une classification des actifs (principaux et de support). 35

36 Chapitre 3 Critique de l existant et Analyse des risques Le diagnostic de la qualité des mesures de sécurité en place. L appréciation des risques : La sélection des scenarios de risques à traiter (suivant les critères d évaluation des risques). L estimation de la gravité des risques (à partir des bases de connaissance MEHARI 2010). La phase de planification et de traitement des risques a été renommée en phase de plan d action ou à chaque risque mis en avant par MEHARI sera traité avec ses avantages et inconvénients. 3.4 Conformité avec la norme ISO : La question qui se pose ici, c est le positionnement de MEHARI vis-à-vis des normes internationales et en particulier celles de série ISO/IEC L approche MEHARI est, en réalité, totalement conciliable avec celle de l ISO 27002, car, bien qu elles ne poursuivent pas les mêmes objectifs, il est possible de représenter facilement (si cela est souhaité) les résultats obtenus à l issue de la démarche MEHARI en indicateurs de conformité de l organisation aux objectifs de contrôle figurant dans ISO MEHARI permet de répondre à la demande des deux normes (ISO et 27002) et de s appuyer sur une analyse de risque pour définir les mesures à mettre en œuvre. 3.5 Phase préparatoire : Périmètre technique : Dans le cadre du projet, il se doit de formaliser les limites du cadre du travail pour effectuer une bonne analyse et traitement des risques. A ce niveau notre encadrant, nous a aidé à les définir, et a les identifier. Les points suivants vont être traités : Périmètre géographiques : L audit et l analyse du risque sera effectué au niveau du siège de SOFAC à Casablanca(LAN), et des différentes agences dans d autre ville(wan) (Rabat, Fès,.). Système d information concerné : Les acteurs concernant sont le responsable système et réseaux, et le responsable de l exploitation réseau. Types de supports d information concernés : Les équipements réseaux (commutateur fédérateurs, routeurs, commutateurs d étages etc. ), et équipements de gestion d adressage de téléphonie IP, responsable du fonctionnement et du transite des données au niveau du siège (LAN) et des agences (WAN). 36

37 Chapitre 3 Critique de l existant et Analyse des risques Fixation des paramètres techniques d analyse des risques : Les paramètres à fixer avant l analyse des risques proprement dite sont : La grille d acceptabilité des risques. La grille de potentialités intrinsèques ou grille d expositions naturelles. i. La grille d acceptabilité des risques : La méthode MEHARI propose une grille d aversion au risque, construite sur la base de l appréciation du risque par rapport à son impact et à sa potentialité. Permettant de fixer le niveau qui sera jugées soit acceptable, inadmissible et insupportable. Impact Tableau 3 : La grille d acceptabilité des risques. ii. La grille des expositions naturelles : Potentialité Les scenarios de la base de connaissance de MEHARI se référent ainsi à une liste de menaces.ses menaces sont elles-mêmes décrites par des événements types, et par des descriptions complémentaires de circonstances et d acteurs. La potentialité intrinsèque ou exposition naturelle (valeur 1 à 4) dépond essentiellement du type d événement, qu il s agisse d accidents, d erreurs ou d actes volontaires (malveillants ou non), pour lesquels une évaluation a priori de l exposition est donnée. Le processus d élaboration de la grille d exposition a été validé par nos différents encadrant, et on a décidé de gardé les valeurs par défaut de MEHARI. 37

38 Chapitre 3 Critique de l existant et Analyse des risques Type Accident grave d environnement Code type Evénement Code Exposition naturelle standard CLUSIF A.C.E Foudroiement AC.E. Fou 2 Incendie AC.E.Inc 2 Inondation AC.E.Ino 2 Accident matériel AC.M Pane d équipement AC.M.Equ 3 Erreur matérielle ou de comportement du personnel Incident dû à l environnement Incident logique ou fonctionnel ER.P Panne d équipement de servitude (alimentation électrique, alimentation en fluide, etc...) Perte ou oubli de document ou de media AC.M.Ser 2 ER.P.Peo 3 Erreur manipulation dans le suivi ER.P.Pro 3 d une procédure Erreur de saisie ou frappe ER.P.Prs 3 IC.E Dégât dû au vieillissement IC.E.Age 2 Dégât des eaux IC.E.De 3 Dégât dû à la pollution IC.E.Pol 2 Surcharge électrique IC.E.Se 2 IF.L Incident d exploitation IF.L.Expo 3 Bug bloquant dans un logiciel système IF.L.Lso 2 ou un progiciel Saturation bloquante pour cause IF.L.Ver 3 externe (ver) Virus IF.L.Vir 4 Tableau 4 : Grille d exposition. 3.6 Phase opérationnelle d analyse des risques : Analyse des enjeux et la classification des actifs : Lors d une appréciation des risques MEHARI, elle fait appel à la notion d impact intrinsèque d un scenario qui est l évaluation des conséquences de l occurrence du risque, indépendamment de toute mesure de sécurité. Plus précisément la base de connaissance de MEHARI qui fait référence à un tableau d impact intrinsèque qui peut être rempli à partir des tableaux de classification ou bien directement. Notre choix a été de remplir le tableau directement sans passé par la démarche classique, vu que le périmètre établie est limite à la partie services informatique et réseaux et non pas à la partie processus métier. 38

39 Chapitre 3 Critique de l existant et Analyse des risques Actifs de type Données et informations Tableau d'impact Intrinsèque D I C Sélection d'actifs Données et informations D01 Fichiers de données ou bases de données applicatives 0 D02 Fichiers bureautiques partagés 0 D03 Fichiers bureautiques personnels (gérés dans environnement personnel) 0 D04 Informations écrites ou imprimées détenues par les utilisateurs, archives personnelles 0 D05 Listings ou états imprimés des applications informatiques 0 D06 Données échangées, écrans applicatifs, données individuellement sensibles 0 D07 Courrier électronique 0 D08 Courrier postal et télécopies 0 D09 Archives patrimoniales ou documentaires 0 D10 Archives informatiques 0 D11 Données et informations publiées sur des sites publics ou internes 0 Actifs de type Services D I C Services généraux communs G01 Environnement de travail des utilisateurs 0 G02 Services de télécommunication (voix, télécopies, visioconférence, etc.) Services informatiques et réseaux R01 Service du réseau étendu R02 Service du réseau local S01 Services applicatifs S02 Services bureautiques communs (serveurs de données, gestionnaires de documents, 0 imprimantes partagées, etc.) S03 Equipements mis à la disposition des utilisateurs (PC, imprimantes locales, périphériques, 0 interfaces spécifiques, etc.) Nota : Considérer ici la perte massive de ces services et non celle d'un seul utilisateur S04 Services systèmes communs : messagerie, archivage, impression, édition, etc. 0 S05 Services de publication d'informations sur un site web interne ou public 0 Tableau 5 : Tableau d Impact Intrinsèque Le diagnostic de la qualité des services de sécurité : Les services de sécurité tels que décrits dans MEHARI sont des fonctions de sécurité et ces fonctions sont assurées par des solutions effectivement mises en place dans l entreprise ou l organisme. Le diagnostic de l état de la sécurité consiste, en pratique, à analyser ou auditer les solutions pour assurer la même fonction générale. C est pour cela, et avant même de s engager dans un processus d analyse et d évaluation ses services de sécurité, la première question à se poser est celle d identifier les solutions distances à analyser ou à auditer. C est le but de ce que MEHARI appelle le «plan d audit» ou «schéma d audit». Etablissement du schéma d audit : Le schéma d audit, permet de raisonner au niveau de chaque service de sécurité et identifier toutes les solutions différentes qui existent dans l entreprise pour assurer chaque service, afin de les auditer une par une. 39

40 Chapitre 3 Critique de l existant et Analyse des risques Le schéma d audit résultant est le suivant : Domaine Sous-domaine Sous-ensemble Réseau local (LAN) Sécurité de l architecture du réseau local. Contrôle, détection et traitement des incidents Organisation de la maintenance des équipements du réseau local Procédure et plan de reprise de l activité du réseau local sur incident PRA du réseau local. Surveillance (en temps réel) du réseau local Réseau entendu intersites (WAN) Sécurité de l architecture du réseau étendu et continuité du service Procédures et plans de reprise du réseau étendu sur incidents Plan de Reprise d Activité (PRA) du réseau étendu Tableau 6 : Schéma d audit. Diagnostic de la qualité des services de sécurité. Les questionnaires de MEHARI ont été construits avec l objectif d être aussi «experts» que possible et dans l optique d une utilisation dans le cadre d une gestion individualisée des risques. Ceci conduit à adopter une attitude de «précaution» et à plutôt sous-évaluer la qualité des services de sécurité pour ne pas risquer de sous-évaluer un risque qui pourrait être critique. Pour chaque question, on rencontre la ou les personnes concernées par celle-ci et ayant le profil associé au type de questions. Les questions étant dichotomique, le répondant se devrait d indiquer une réponse selon un barème de 0 à 4 pour chaque question, les questions d audit ne concernant pas le projet (hors sujet), le répondant se devait d indiquer hors sujets (X). Dans le cadre du projet et suivant le schéma d étude mis en place, les questionnaires abordes étaient ceux du réseau local (LAN) et réseau étendu (WAN). 40

41 Chapitre 3 Critique de l existant et Analyse des risques Diagnostic du réseau local (LAN) : Réseau local (05 Lan) Organisation de la maintenance des équipements du réseau local F3 1,5001,231 Traitement des incidents du réseau local H1,667 1,00,500 Procédures et plans de reprise du réseau local sur incidents E1,00,00 Surveillance (en temps réel) du réseau local H1,444,00,615 Plan de sauvegarde des configurations du réseau local F2 Plan de Reprise d'activité (PRA) du réseau local F1 Figure 14 : Rosace Réseau local (05lan). Cette rosace représente le diagnostic du domaine du réseau locale par rapport au sous domaines choisi, où chaque sous domaine est noté suivant les réponses du questionnaire soumis aux responsables concerné. Chaque question est évaluée dans une échelle de 0 à 4. On remarque qu au niveau de SOFAC aucun plan et procédure de reprise d activité (PRA) n est mis en place et que les autres sous domaine ne sont pas optimal, ceci représente un résultat significatif dans la suite de la démarche MEHARI afin d aboutir à une appréciation des risques. 41

42 Chapitre 3 Critique de l existant et Analyse des risques Diagnostic du réseau étendu intersites(wan) : Réseau étendu intersites (04 Wan) Sûreté de fonctionnement des éléments d'architecture du réseau étendu C1 2 1,5 1 Surveillance (en temps réel) du réseau étendu H1 0, ,5 0 0, Organisation de la maintenance des équipements du réseau étendu F3 0 Plan de Reprise d'activité (PRA) du réseau étendu F1 2 Procédures et plans de reprise du réseau étendu sur incidents E1 Figure 16 : Rosace réseau WAN (04Wan). Cette rosace représente le diagnostic du domaine du réseau par rapport au sous domaines choisi, où chaque sous domaine est noté suivant le nombre de réponse positive ou négative du questionnaire soumis au responsable concerné. On remarque qu au niveau du domaine WAN, SOFAC possède un plan de reprise d activité optimal(pra), et que les autres sous domaine ne le sont pas, ceci représente un résultat significatif qui sera pris en compte dans la suite de la démarche MEHARI afin d aboutir à une appréciation des risques optimal L appréciation des risques : i. Sélection des scenarios de risque : Dans cette phase, nous avons opère à une sélection des scenarios de risque parmi les 800 figurant dans la base de connaissance afin de limiter l analyse aux situations pouvant s avérer critique et pertinente et suivant les résultats du diagnostic de sécurité. Les scenarios ont été regroupé suivant leur critère, à savoir, l indisponibilité du service du réseau local, c est-à-dire l indisponibilité des équipements réseau, et l altération du service du réseau local, en d autre mots, tout ce qui touche l intégrité des équipements réseau, sur ce dernier point, une chose est a précisé, cela concerne des altérations accidentel dû à des erreurs de configuration des équipements réseau. 42

43 Chapitre 3 Critique de l existant et Analyse des risques En pratique la sélection des scenarios, se fait au niveau de la feuille «scenarios» de la base de connaissance: R02-D : indisponibilité du service du réseau locale. R01-D : indisponibilité du service du réseau étendu. R02-l : altération du service du réseau local. R01-l : altération du service du réseau étendu. Ci-dessus sont joints les scénarios de risque, par rapport au risque d indisponibilités, intégrités, et leur gravité évalué suivant la méthode MEHARI. ii. Scénarios de risques : Indisponibilité du service du réseau local : Famille de scénarios Endommagement accidentel de système hôte de services du réseau local, dans les locaux de l'exploitation, due à un dégât des eaux Endommagement accidentel de système hôte de services du réseau local, dans les locaux de l'exploitation, due à une surcharge électrique Indisponibilité de longue durée, destruction ou perte accidentelles de système hôte de services du réseau local, dans les locaux de l'exploitation, due à un foudroiement Indisponibilité de longue durée, destruction ou perte accidentelles de système hôte de services du réseau local, dans les locaux de l'exploitation, due à un incendie Indisponibilité de longue durée, destruction ou perte accidentelles de système hôte de services du réseau local, dans les locaux de l'exploitation, due à une inondation Indisponibilité temporaire accidentelle de système hôte de services du réseau local, due à une panne d'équipement Indisponibilité temporaire accidentelle de système hôte de services du réseau local, due à une défaillance ou à une indisponibilité de moyens de servitude Indisponibilité temporaire accidentelle de système hôte de services du réseau local, due à un manque d'alimentation en énergie (défaut externe) Arrêt de fonctionnement de services du réseau local, dû à une incapacité de la maintenance système (panne non réparable ou défaillance du partenaire) Gravité Arrêt de fonctionnement de services du réseau local, dû à un ver 4 Tableau 7 : Scénarios d indisponibilité du réseau local. 43

44 Chapitre 3 Critique de l existant et Analyse des risques Altération du service du réseau local (intégrité) : Famille de scénarios Altération, par erreur de procédure, de configuration de services du réseau local, par un membre du personnel de maintenance Altération, par erreur de procédure, de configuration de services du réseau local, par un membre du personnel d'exploitation Gravité 3 3 Tableau 8 : Scénarios d altération du réseau local. Indisponibilité du service du réseau entendu : Famille de scénarios Endommagement accidentel de système hôte de services du réseau étendu, dans les locaux de l'exploitation, due à un dégât des eaux Endommagement accidentel de système hôte de services du réseau étendu, dans les locaux de l'exploitation, due à une surcharge électrique Indisponibilité de longue durée, destruction ou perte accidentelles de système hôte de services du réseau étendu, dans les locaux de l'exploitation, due à un foudroiement Indisponibilité de longue durée, destruction ou perte accidentelles de système hôte de services du réseau étendu, dans les locaux de l'exploitation, due à un incendie Indisponibilité de longue durée, destruction ou perte accidentelles de système hôte de services du réseau étendu, dans les locaux de l'exploitation, due à une inondation Indisponibilité temporaire accidentelle de système hôte de services du réseau étendu, due à une panne d'équipement Indisponibilité temporaire accidentelle de système hôte de services du réseau étendu, due à une défaillance ou à une indisponibilité de moyens de servitude Indisponibilité temporaire accidentelle de système hôte de services du réseau étendu, due à un manque d'alimentation en énergie (défaut externe) Arrêt de fonctionnement de services du réseau étendu, dû à une incapacité de la maintenance système (panne non réparable ou défaillance du partenaire) Gravité Arrêt de fonctionnement de services du réseau étendu, dû à un ver 3 Tableau 9 : Scénarios d indisponibilité du réseau étendu. 44

45 Chapitre 3 Critique de l existant et Analyse des risques Altération du service du réseau étendu (intégrité) : Famille de scénarios Altération, par erreur de procédure, de configuration de services du réseau étendu, par un membre du personnel de maintenance Altération, par erreur de procédure, de configuration de services du réseau étendu, par un membre du personnel d'exploitation Gravité 2 2 Tableau 10 : Scénarios d altération du réseau étendu. Conclusion : Dans ce chapitre, nous avons détaille la démarche MEHARI ainsi que la phase préparatoire et la phase opérationnelle du réseau LAN et WAN de l entreprise SOFAC. Dans le but de mieux prendre en compte les ressources et les contraintes propres à l'entreprise dans l'élaboration des solutions et leurs mises en œuvre. Dans le chapitre «Conception», nous allons présenter la classification des scenarios de risque pour ensuite décrire les différentes étapes nécessaire pour le plan d action. 45

46 Chapitre 4 Conception L'activité de ce chapitre est la classification des scenarios de risque suivant les critères de disponibilté, où les scenarios de risque seront traités par famille, ainsi pour chaque famille de scenarios de risque une solution sera proposé avec ses avantages et ses inconvénients, et sera ensuite validée et incluse dans le plan d action.

47 Chapitre 4 Conception Introduction L'activité de ce chapitre est la classification des scenarios de risque suivant les critères de disponibilté, où les scenarios de risque seront traités par famille, ainsi pour chaque famille de scenarios de risque une solution sera proposé avec ses avantages et ses inconvénients, et sera ensuite validée et incluse dans le plan d action. 4.1 Classification et traitement des scénarios de risque: Indisponibilité du réseau local : Le risque d indisponibilité du local d exploitation (salle des machines) est un risque que l entreprise ne peut pas se permettre vu qu il représente le cœur de l entreprise, cela est aussi mis en avant dans les résultats de la méthode MEHARI. Ceci implique une série de mesure pour remédier à ce risque. Le principe de redondance consiste à disposer de plusieurs exemplaires d un même équipement afin de réduire le risque de panne, ceci est possible par l identification des équipements critique qui doivent être redondés, cette identification représente le périmètre sur lequel est basé notre travail. La redondance représente une solution adéquate, ainsi chaque équipement critique sera dupliquer et aura son image sur le réseau, soit sous forme actif, passif ou backup inactif. Reste maintenant l emplacement, car assurés la redondance est une chose très recommandée, mais mettre les équipements dans le même local n est pas une bonne idée, la solution serait de placer les équipements dans un autre local, qui représente un site de secours LAN. Ainsi le risque est diminué, car dans le cas où un sinistre frapperait le local technique, le site secours reprend le relais suivant un temps précis, ainsi l indisponibilité du réseau local sera évitée Indisponibilité du réseau étendu : L indisponibilité du réseau étendu constitue un risque tout aussi important que celui du réseau local. L architecture adoptée est une architecture centralisée, toutes les signalisations passe par le siège, ceci implique une haute disponibilité du réseau. La redondance des équipements réseau concerné (routeurs) dans le site secours représente la solution à adopté, mais reste le choix de l architecture de secours. Les deux routeurs mis en place dans la salle des machines sont liés avec l operateur avec deux MOYE. L operateur à son tour relis, les différentes agences par deux liaisons, une primaire sous forme d une liaison LL+, et une secondaire sous forme de liaison RNIS (infinifix). Dans le cadre du projet, la solution à l indisponibilité du réseau étendu, se fera sous forme de proposition, où des solutions seront mises en avant après différentes études. Après avoir étudié les différentes solutions de backup possible, nous avons aboutis à deux solutions. 47

48 Chapitre 4 Conception 4.2 VPN sur ADSL : L ADSL est une technologie de communication qui permet d utiliser une ligne téléphonique pour transmettre et recevoir des données numériques de manière indépendante du service téléphonique proprement dit. Cette technologie est massivement mise en œuvre par les fournisseurs d accès à internet pour le support des accès dits «haut-débit». La VPN est vu comme une extension des réseaux locaux et préserve la sécurité logique que l on peut avoir à l intérieur d un réseau local. Il correspond en fait à une interconnexion de réseaux locaux via une technique de «tunnel». Les offres des opérateurs sont intéressantes, d un point de vue débits et coût offert, cette technique peut même emprunter la fibre optique si disponible. Mais l inconvénient majeur de cette technique est le passage des paquets par internet qui représente un risque majeurs que SOFAC ne peut pas se permettre. 4.3 Consolidation des liens RNIS : La consolidation des liens RNIS représente la concentration des liens RNIS sur un seul routeur au niveau de l operateur de service, ainsi la redondance des liens primaires LL+ sera assurée. Cette solution représente plusieurs avantages en terme d ergonomie, ou les liens seront localisés au niveau d un seul local, sur un seul équipement, et aussi offrir une liaison point à point sécurisé. L inconvénient majeur de cette solution, reste le débit offert par cette dernière, vu la nature de cette technologie qui utilise le réseau RTC (Réseau téléphonique commuté) qui n est pas connu pour sa bonne qualité de service offerte. 4.4 Solution retenus : Après approbation de l entreprise, le choix s est porté sur la consolidation des liens RNIS, vu les avantages en terme de sécurité que le VPN sur ADSL n offre pas vu qu on passe sur le réseau internet qui regorge de menaces pour la société. La motivation de ce choix s explique aussi par la vision adoptée qui est une vision à moyen terme, car dans le long terme, toute l architecture du réseau WAN sera revue pour suivre la politique du nouvel acquéreur (CIH), sans oublier la prise en compte de l aspect financier causé par la crise mondiale. Dans la phase d ingénierie, nous abordons cette consolidation, et les problèmes qui y sont lié. i. Altération du service du réseau local : L altération du réseau local, représente un grand risque pour l intégrité du réseau et des données qui y circule, une erreur malveillante ou accidentelle aurait des répercussions sur la qualité de service du réseau. 48

49 Chapitre 4 Conception Ainsi, un outil de supervision garantira un suivi et un pilotage informatique grâce à l acquisition de données (mesures, alarmes, retour de fonctionnement), qui réduiront les risque d intégrité et d indisponibilité du réseau. 4.5 Plan d action : Dans cette partie on abordera les solutions définitives adoptées pour remédier au risque dégagé à partir de la méthode MEHARI où chaque solution par rapport à chaque critère de risque sera citée, pour les détails techniques ils seront dans la partie ingénierie Choix des équipements : Le marché des équipements du réseau d entreprise regorge d offres diverses et variés, plus spécialement les offres du constructeurs CISCO qui est bien implanté au MAROC. Dans un souci d homogénéité, et vu la robustesse exemplaire des équipements en production actuellement, il a été décidé de gardé le même constructeur à savoir 3Com, mais sous une nouvelle appellation H3C, issu de son rachat par HP, une entreprise d informatique et d électronique multinationale américaine, qui figure parmi les 40 plus grosses entreprises du monde Description de la solution technique : Site secours : i. Haute disponibilité : Le choix s est porté sur le local technique qui se situe au niveau du deuxième étage pour accueillir le site secours où, seront logés les différentes solutions de redondance afin de garantir la haute disponibilité du réseau. Ce choix s explique par la disponibilité d espace et de la climatisation conforme au niveau du local technique, un circuit électrique ondulé isolé, et aussi afin de minimiser le risque en l éloignant au maximum du neuvième étage. Commutateur fédérateur : La solution de commutation du réseau de la SOFAC est basée sur un Core-Switch (fédérateur)- 3Com Switch 8810 qui relie chaque étage par deux liaisons fibre optique agrégées, pour assurer le partage et la redondance au niveau de chaque étage. Par contre au niveau de la redondance, il existe un seul fédérateur, qui n est pas recommandée. Afin de remédier à cela, la mise en service d un second fédérateur est vivement conseillée. Cette dernière sera basée sur un Core-Switch (fédérateur) H3C-Switch 7500 qui va être relié avec chaque étage de SOFAC par une liaison fibre optique, pour assurer le partage de charge et la redondance passif et actif avec le Switch Fédérateur 3Com

50 Chapitre 4 Conception Redondance du serveur DHCP : La méthode conseillé par Microsoft pour assurer ce qui peut ressembler à une redondance du serveur DHCP sous Windows 2003, est d utilisé la règle des 80/20 pour équilibrer la distribution des adresses en étendue lorsque plusieurs serveurs DHCP sont déployés pour servir la même étendue. Cette solution ne représente pas une solution de redondance pure vu qu il existe un risque de rareté d adresse IP attribué si le serveur DHCP qui s occupe de 80% des adresses venait à tomber en panne. Une autre solution existe, qui est une astuce intégré dans le service DHCP de Windows server 2003, l astuce est d activer la détection de conflit qui permet de tester une adresse IP avant de l affecter à un client. Si l adresse est utilisée, elle est marquée comme indisponible dans la base DHCP du serveur secondaire. Redondance du contrôleur de domaine (Active directory) : L environnement SOFAC fonctionne sous Windows 2003 serveur, l ajout d un second contrôleur de domaine qui stocke une copie de la base d annuaire Active Directory est essentielle. Cela permet d avoir une forte tolérance aux pannes car le second contrôleur de domaine dispose de la même information. La répartition de charge est assurée puisqu un client faisant une recherche dans Active Directory pourra consulter le contrôleur de domaine disponible à cet instant. Dans le cadre de ce projet, on parle de réplication intra-site qui correspond à la duplication de la base d annuaire Active Directory à l intérieur d un site (siège SOFAC) c est-à-dire entre contrôleur de domaine connectés par des liaisons rapides et fiables. Call processor et VCX UMS messager : La solution de communication implémentée présente l avantage de prendre en compte les risques lié à l indisponibilité du service, car elle assure la redondance totale au niveau des services Call processing, base de données d annuaires et du serveur de messagerie vocal et fax. L action a mené, sera de déplacer le second Call processor et le second serveur de messagerie au niveau du site secours et de le brancher au nouveau commutateur fédérateur, sans y apporté aucune modification. Solution de backup réseau étendu : Comme cité précédemment le choix de la solution de secours réseau s est porté sur la consolidation des liens RNIS. Cette consolidation se fera au niveau du l operateur. Au niveau du siège SOFAC deux routeur de la gamme 2912 on était installé pour réaliser la maquette, et ainsi remplacer les huit routeurs de la gamme 1800 qui assurai l interconnexion et le backup avec les routeurs des agences, en utilisant un protocole approprié où la redondance des liaisons sera sous forme actif/passif, c est-à-dire que quand une liaison E1 viendrai a coupé, la liaison de secours PRI correspondante au deuxième MOYE prendra le relais. 50

51 Chapitre 4 Conception ii. Solution de supervision : Nagios : Le choix de Nagios comme solution de supervision et de monitoring a été encouragé par la nature de sa licences, qui est open source, performante et ayant une forte communauté. Cette solution est en effet la référence en matière de supervision dans le monde de l open source. Cette solution permettra de : Cardé un œil sur les équipements réseaux (routeurs, commutateurs), afin de s assurer de leurs intégrités et de leurs disponibilités. Centraliser la gestion du réseau et de ses entités. Alerter l administrateur lorsqu un problème survient. Solarwinds NetFlow Analyzer nous a permis d isoler et contenir plus rapidement des menaces telles que les vers ou les attaques virales. Il nous a permis aussi de résoudre efficacement des incidents réseaux et de mieux planifier des interventions curatives. La surveillance de la bande passante du réseau est l'une des activités les plus cruciales d'un administrateur de réseau d'entreprise. Conclusion : Dans ce chapitre, nous avons détaillé la conception de la solution qui passe par l identification des différents scenarios de risque ainsi que la description de la solution technique. Dans le chapitre suivant, nous allons présenter les technologies adoptées pour la réalisation et la mise en œuvre du projet. 51

52 Chapitre 5 Réalisation Ce chapitre a pour but la description de la phase de réalisation de la solution, nous présentons d abord la solution et la méthodologie d implémentation de la solution pour le réseau LAN et WAN, et enfin nous aborderons les besoins de supervision Nagios et SolarWinds Real-Time NetFlow Analyzer.

53 Chapitre 5 Réalisation Introduction Ce chapitre a pour but la description de la phase de réalisation de la solution, nous présentons d abord la solution et la méthodologie d implémentation de la solution pour le réseau LAN et WAN, et enfin nous aborderons les besoins de supervision Nagios et SolarWinds Real-Time NetFlow Analyzer. 5.1 Mise en place solution : Dans le cadre de ce projet, SOFAC a fait appel à un prestataire de service, NETCOM technologies afin d accompagner la mise en place du plan de secours réseau. Ce choix s explique par le fait que SOFAC possède avec NETCOM technologies un contrat de maintenance concernant les équipements déjà en place et par le fait de leur très bonne maitrise de l existant, et leur rigueur dans le travail. 5.2 Solution redondance LAN : 53

54 Chapitre 5 Réalisation Schéma de la solution : Figure 17 : Réseau local redondé. 54

55 Chapitre 5 Réalisation La solution de redondance comme montré dans le schéma se base sur un core-switch (fédérateur) H3C-Switch qui reliera chaque étage de SOFAC par une liaison fibre optique une du coté Switch fédérateur 8810 et la deuxième du coté du nouveau Switch fédérateur 7500, pour assurer la redondance passif et actif. Cette redondance a été assurée par le protocole STP (Spanning Tree Protocol) qui fournit un mécanisme permettant de désactiver des liaisons redondantes sur un réseau LAN. Les configurations effectuées au niveau des deux fédérateurs sont consultable au niveau de l annexe E Description du Switch fédérateur 7500 [6] : i. Description : Figure 15 : Commutateur fédérateur Les commutateurs de la série HP A7500 comprennent un noyau modulaire de 10 Gigabit conçus pour les besoins d applications d entreprise du centre de données. Ces commutateurs multicouches répondent aux besoins évolutifs des réseaux de services intégrés, et peut être déployé dans des environnements de réseaux multiples, y compris le noyau d entreprise LAN, La couche d agrégation, et le bord de l armoire de câblage. Ils disposent de 10 ports Gigabit Ethernet pour fournir le débit et la bande passante nécessaire pour les données critiques de la redondance aident les commutateurs de la gamme HP A7500 à offrir une haute disponibilité. ii. Rôle : Le Switch fédérateur A7503S se compose d un châssis de 4 modules. Sur le premier module on peut retrouver 2 alimentations redondantes, sur le 2éme on retrouve le module LSQ1 SFP de 24 ports qui relient les différents étages de SOFAC, avec 8 ports combo cuivre sur lesquels on a installé des serveurs. 6 HP 7500 Switch Series, détails [v] 55

56 Chapitre 5 Réalisation iii. Tableau de raccordement : Tableau 11 : Tableau de raccordement Méthodologie d implémentation : i. Redondance de routage (VRRP) : Le protocole de routage VRRP (Virtuel Router Redundancy Protocol) permet de configurer une route par défaut vers la passerelle pour chaque hôte sur un réseau, permettant à tous les paquets destinés aux réseaux extérieurs d être envoyés sur la route par défaut vers les passerelles. Ceci permet aux hôtes sur un réseau de communiquer avec d autres réseaux extérieurs. Les configurations effectuées au niveau des deux fédérateurs sont consultable au niveau de l annexe A et B. ii. Redondance des liens (Link Aggregation): Le lien d agrégation permet d avoir une certaine tolérance de panne et d assurer ainsi la continuité de service en cas de perte de lien physique. Un lien TRUNK assure la transition entre plusieurs VLANs sur un seul lien agrège par l étiquetage des trames Ethernet afin d'augmenter la bande passante, le lien Trunk permet aux Switchs fédérateurs de savoir à quel VLAN appartient une trame. iii. Plan d adressage des fédérateurs : Afin de prendre en considération le rajout du nouveau fédérateur 7500, nous avons dû mettre en place les modifications ci-dessous sur le plan d adressage réseau : L adresse VRRP X.X.X.X (représente l ancienne adresse du Switch fédérateur 8810) La nouvelle adresse du Switch fédérateur 8810 : X.X.X.X 56

57 Chapitre 5 Réalisation L adresse du nouveau fédérateur 7500 : X.X.X.X Ci-dessous listées les modifications au niveau du Switch fédérateur 8810 core01 du 9 éme étage : Interface VLAN Description IP Adresse VRRP Adresse Rôle 1 Management Confidentielle Confidentielle Master 2 VLAN_SERVEUR Confidentielle Confidentielle Master 3 VLAN_SOFAC Confidentielle Confidentielle Master 4 VLAN_ML Confidentielle Confidentielle Master 5 VLAN_VISITEURS Confidentielle Confidentielle Master 10 VLAN_CALL_PROCESSOR Confidentielle Confidentielle Master 11 VLAN_GATEWAY Confidentielle Confidentielle Master 12 VLAN_IPHONE Confidentielle Confidentielle Master 80 VLAN_AGENCE Confidentielle Confidentielle Master Tableau 12 : Plan d adressage fédérateur Ci-dessous, les modifications au niveau du Switch fédérateur H3C 7500 core02 du deuxième étage. Interface VLAN Description IP Adresse VRRP Adresse Rôle 1 Management Confidentielle Confidentielle Backup 2 VLAN_SERVEUR Confidentielle Confidentielle Backup 3 VLAN_SOFAC Confidentielle Confidentielle Backup 4 VLAN_ML Confidentielle Confidentielle Backup 5 VLAN_VISITEURS Confidentielle Confidentielle Backup 10 VLAN_CALL_PROCESSOR Confidentielle Confidentielle Backup 11 VLAN_GATEWAY Confidentielle Confidentielle Backup 12 VLAN_IPHONE Confidentielle Confidentielle Backup 80 VLAN_AGENCE Confidentielle Confidentielle Backup Tableau 13 : Plan adressage fédérateur secours. 57

58 Chapitre 5 Réalisation iv. Description de la solution LAN pour Switch serveurs : Comme montré dans le schéma de la solution LAN, un Switch serveur 4200G a été ajouté, l objectif de la mise en place de ce Switch 4200G est d augmenter la capacité en termes de ports GigaEthernet, afin de raccorder les serveurs et les routeurs. Ces derniers sont stackés entre eux avec des câbles cuivre cat 6. Concernant le raccordement avec les Switch fédérateurs 8810 et 7500, ils sont liés avec les deux fédérateurs via des liens d agrégations. L architecture du raccordement des ports avec les deux fédérateurs pourra être consultée sur la figure Redondance du serveur DHCP : Dans cette partie, on abordera l installation et la configuration du serveur DHCP. Les adresses montré dans les figures représentent des exemples, vu la confidentialité des étendus utilisées. Cette partie prend en compte le fait que l installation de Windows server 2003 est déjà réalisée. i. Installation du composant DHCP : DHCP n est pas un composant installé par défaut lors d une installation normale de Windows Server On peut l installer lors de l installation de Windows 2003 ou ultérieurement. Cliquez sur Démarrer, Panneau de Configuration puis Ajout/Suppression de programmes. Cliquez ensuite sur Ajouter ou Supprimer des composants Windows. Faites un double clic sur Services de mise en réseau. Cocher la case Protocole DHCP ( Dynamic Host Configuration Protocol). Cliquez sur OK, puis sur suivant, puis à la fin de l installation cliquer sur Terminer. Si une adresse IP statique n est pas attribuée, l assistant de composants Windows demandera alors de spécifier une adresse IP statique sur le serveur. 58

59 Chapitre 5 Réalisation ii. Création d une étendue : Une fois installé, vous devez démarrer et configurer le serveur DHCP en créant une étendue. Une étendue est une plage d adresses IP qui peuvent être allouées aux clients DHCP sur le réseau. Il est recommandé qu au moins une étendue ne soit pas recoupée avec d autres étendues sur le réseau. Les propriétés d une étendue sont les suivantes : Identificateur de réseau Masque de sous réseau Plage d adresses IP de réseau Durée du bail Routeur (passerelle) Nom de l étendue Plage d exclusion Créer une nouvelle étendue : Cliquez sur Démarrer, outils d administration, DHCP. La console DHCP s ouvre. Cliquez avec le bouton droit sur le serveur DHCP où vous voulez créer une nouvelle étendue, puis cliquez sur Nouvelle étendue. Dans l assistant de création d une nouvelle étendue cliquez sur Suivant. Entrer un nom d étendue dans la zone Nom, ce nom doit être explicite. Il est recommandé de fournir une description à l étendue. 59

60 Chapitre 5 Réalisation Cliquez sur Suivant. Saisissez ensuite la plage d adresses qui sera allouée. Ces adresses vont être par la suite attribuées aux clients, elles doivent être valides et ne doivent pas être déjà utilisées Spécifier ensuite le masque de sous réseau choisi. Cliquez sur Suivant Vous pouvez ajouter différentes plages d exclusion si vous le souhaitez. Les adresses IP exclues ne seront pas attribuées par le serveur. Les adresses exclues peuvent être destinées aux imprimantes, à des serveurs. Cliquez sur suivant. 60

61 Chapitre 5 Réalisation Spécifiez ensuite la durée du bail DHCP. La durée du bail spécifie la durée pendant laquelle un client peut utiliser une adresse IP de l étendue. Pour les réseaux stable la durée du bail peut être longue, alors que pour les réseaux mobiles constitués de nombreux ordinateurs portables des durées courtes de bail son utiles. Cliquez sur suivant, puis cliquez sur Oui je veux configurer ces options maintenant afin que l assistant configure l étendue avec les options les plus courantes. Cliquez sur suivant. Ajoutez ensuite l adresse IP de la passerelle par défaut, puis cliquez sur suivant 61

62 Chapitre 5 Réalisation Si vous utilisez un serveur DNS, tapez le nom du serveur puis cliquez sur Résoudre. Enfin cliquez sur Ajouter pour inclure ce serveur dans la liste des serveurs DNS affectés aux clients DHCP. Cliquer sur suivant. Faites de même si vous devez inclure des serveurs WINS, en ajoutant son nom et son adresse IP. Cliquez sur Oui je veux activer cette étendue maintenant pour activer l étendue et ainsi délivrer des baux aux clients de l étendue. Cliquez sur suivant puis sur terminer. iii. Activer la détection de conflit d adresses : Avant de pouvoir implémenté cette solution, il reste a activé la détection de conflit d adresses qui est la solution qui nous permettra la redondance du serveur 62

63 Chapitre 5 Réalisation Pour activer la détection de conflit d adresses 1. On ouvre DHCP. 2. Dans l arborescence de la console, on clique sur le serveur DHCP valide. Où? o DHCP/serveur DHCP concerné 3. Dans le menu Action, on clique sur Propriétés. 4. On clique sur l onglet Options avancées. 5. Dans Tentatives de détection de conflit, on tape le nombre 3 puis on clique sur OK. Ce nombre détermine le nombre de fois où le serveur DHCP teste une adresse IP avant de l attribuer à un client. Ce choix a été fait, après avoir consulté mon encadrant, et quelque test effectué Redondance du Active Directory : Dans cette partie, on abordera l installation et la configuration du nouveau serveur Active directory. Les adresses montrées dans les figures représentent des exemples seulement, vu la confidentialité de ses données. Cette partie prend en compte le fait que l installation de Windows server 2003 est déjà réalisée. i. Fonctionnement : La solution choisie est la réplication intra-site comme cité précédemment, qui est permit grâce à l utilisation de la part des contrôleurs de domaine du protocole RPC over IP (Remote Procedures Call over Internet Protocol). Ce protocole permet une transaction d informations de manière sure, rapide et non compressée. Une réplication intervient lorsque la base d annuaire Active Directory sur un contrôleur de domaine est modifiée. Les modifications pouvant donner lieu à une réplication sont les suivantes : Ajout d un objet à Active Directory (ex : création d un compte utilisateur). Modification des valeurs d attribut d un objet (ex : modification du prénom d un utilisateur). Modification du nom d un conteneur d objet (ex : suppression d un compte utilisateur). Suppression d un objet de l annuaire Active Directory (ex : suppression d un compte utilisateur). Suite à une modification de la base d annuaire sur un contrôleur de domaine, un temps de latence (par défaut 5 minutes) est observé avant que ce dernier envoie un message de notification aux autres contrôleurs de domaines (partenaires de réplication directs) du même site. Lorsque les partenaires de réplication reçoivent la notification, ils demandent les modifications auprès du contrôleur de domaine. 63

64 Chapitre 5 Réalisation Le contrôleur de domaine, à partir duquel la mise à jour d origine a eu lieu, envoie alors les modifications à ses partenaires de réplication. Figure 16 : Fonctionnement de la réplication Lors d une modification pouvant affecter la sécurité, comme par exemple la désactivation d un compte utilisateur, aucun temps de latence n est observé. Dans ce cas, une réplication urgente est déclenchée (la notification et la duplication sont appliquées immédiatement). ii. Création de sites et de sous-réseaux : Lors de l installation du premier contrôleur de domaine dans la forêt, un site est automatiquement mise en place. Il se nomme Premier-Site-par-défaut, et contient des objets serveurs (contrôleurs de domaine), des sous-réseaux, etc. Lors de l ajout de contrôleurs de domaine supplémentaires, ces derniers seront automatiquement placés dans ce site. iii. Création d un site : La création de sites s effectue via le composant de logiciel enfichable sites et services Active Directory qui se trouve dans les outils d administrateurs de l entreprise soit du groupe Admins du domaine, ou avoir les droits appropriés grâce à une délégation. A partir de cette console, vous pouvez aussi renommer le site Premier-Site-par-défaut. 5.3 Solution redondance WAN : Séparation de la plateforme télécom au data center système : Vue l insuffisance de l espace et pour respecter les normes de la Datacenter en termes de système de climatisation et aération et pour éviter toute charge électrique, il a été convenu de séparer les Télécoms dans une salle réservée et dédiée dans les normes. 64

65 Chapitre 5 Réalisation Schéma de la nouvelle salle Telecom : Nouveau Rack 40U salle de contrôle 40 U Image 24 ports entre nouveau armoire et l armoire du fédérateur U 40 U Les Nouveaux routeurs U 1 U 2 U 2 U Lien FO entre nouveau armoire et l armoire du fédérateur U Les deux nouveaux switch 2960 en stack 1 U 1 U 1 U 1 U 40 U Câble 28 paire entre ss-1 et 9 eme Lien FO entre nouveau armoire et l armoire du fédérateur 7503 du 2 eme ETG 1 U 9 U Réglette accès RTC IAM SS-1 1 U Nouvelle Salle Telecom Figure 17 : Nouvelle salle Telecom Consolidation matériel des routeurs : Mise en place de deux routeurs fédérateurs de gamme 2911 ISR plus performante avec les spécifications suivantes. i. Description : Le routeur 2900 intègre l accélération matérielle des fonctions de chiffrement, le traitement des appels, la messagerie vocale, des services d applications et un pare-feu facultatif. Cette plateforme prenne en charge une connectivité Gigabit Ethernet cuivre ou fibre optiques. ii. Rôle : Chaque routeur est constitué de : deux cartes multicanaux pour les accès E1 2Mbps. L une en production et l autre en backup de l interface E1 de l autre routeur. Une carte PRI multicanaux pour assurer le backup des liens E1. 1GB de ram chacun. 2-carte HWIC2T (2 ports serial smart serial) en cas de besoins des liens par modem. 3-interface Giga Ethernet pour se connecter au réseau LAN. 65

66 Chapitre 5 Réalisation Consolidation des liens du coté siège par la mise en place de deux moye de concentration : Cette solution consiste à mettre en place deux MOYES de concentration en Fibre Optique chacun va soutenir un lien E1 data multi chanel de 2Mbps qui sera réparti sur les liens LL+ existantes selon le débit de chacune avec l opérateur MAROC TELECOM. Les deux liaisons E1 seront secoués avec l accès PRI à 15 canaux (1Mbps) qui va remplacer les anciens accès MARNIS du côté siège reparti sur tous les liens des agences. Pour minimiser le risque de panne des liens des agences en un seul équipement on va utiliser des cartes multi chanel à 2 ports chacune pour chaque routeur. Les deux accès E1 en 2Mbps chacun les 2Mbps restants va servir en backup pour l autre accès pour gérer la tolérance de panne matériel. Le réseau WAN sera divisé en deux régions Nord et Sud. 5.4 Plan d action : Conception Technique : La répartition des accès WAN sera en deux régions équilibrées selon le tableau ci-dessous : Agence Débit (kbps) Agence Débit (kbps) RABAT 512 CASA BAHMAD 256 FES 256 AGADIR HASSAN II 256 TANGER 256 AGADIR ALMOUKAWAMA 256 MEKNES 256 CASA OULFA 128 *OUJDA 256 *MARRAKECH 512 Total débit *Encours (Migration en fin 2013) 66

67 Chapitre 5 Réalisation Architecture Consolidée Figure 18 : Solution WAN consolidée. La répartition logique des agences dans les moyes est résumée dans le tableau ci-dessous : Région Routeurs Interfaces Site distant Bande passante Time slot MOY Nord SOFAC_WAN_NORD S0/0/0:0 Rabat S0/0/0:1 Fès S0/0/0:2 Tanger S0/0/0:3 Meknès Sud SOFAC_WAN_SUD S0/0/1:0 Casa Oulfa S0/0/1:1 S0/0/1:2 S0/0/1:3 Casa Roches noires Agadir Hassan II Agadir Mokawama Tableau 14 : Distribution des agences dans les moyes. 67

68 Chapitre 5 Réalisation i. Description du matériel : Le choix s est porté sur l utilisation du routeur 1921[ 7 ], disponible au niveau du stock après la refonte du réseau. Dans le but de mettre à jour les routeurs de la gamme 1800 du coté des agences. Figure 19 : Routeur Cisco Méthodologie d implémentation : Consolidation des liens RNIS : Afin de réaliser cette consolidation et vu le nombre de ligne à consolidés, nous avons utilisé la technique dialer profiles. Le dialer profil permet de mapper une chaine de numérotation avec un nom d utilisateur pour une certaine destination. De cette façon, le routeur connait le numéro à composer pour différentes destinations RNIS en utilisant le même lien. De multiple interfaces dialer peuvent être configurés sur un routeur. Chaque interface dialer est la configuration complète pour une destination. La commande «interface de numérotation» crée une interface dialer et passe en mode de configuration interface. La configuration de la consolidation RNIS du routeur est consultable au niveau de l annexe C Redondance de routage (VRRP) : Après avoir consolidé les liens, reste à assurés la redondance. Comme utilisé pour le commutateur fédérateur redondant, le protocole VRRP sera utilisé pour assurer la haute disponibilité du réseau étendu avec les agences. Grace au protocole(vrrp), le routeur Nord relié avec le lien E1 sera le routeur maitre de la région nord et jouera le rôle de routeur esclave pour la région sud, et vice-versa pour le routeur Sud. Chaque interface dialer du routeur esclave, sera attentive à l état des interfaces dans le routeur maitre, ceci grâce à des messages échangés sur l adresse multicast avec un numéro de protocole IP 112. A défaut de message de l autre routeur maitre dans le sous-réseau (après 3,6 s par défaut), l interface du routeur backup correspondante se proclamera maitre. 7 Cisco 1900 Series Integrated Services Routers, détails [vi] 68

69 Chapitre 5 Réalisation La configuration VRRP réalisée au niveau du routeur backup est consultable au niveau de l annexe D. 5.6 Scénarios de mise en production : Apres la validation et la mise en place des architectures cibles et aussi l installation des équipements actifs (infrastructure réseau, câblage, installation matériel en rack). Et aussi après l étude et la mise à disposition des moyes de concentration par l opérateur télécom. Nous avons procéder à la mise en production comme suivant : Désignation de deux sites pilotes L Agence de MEKENS sur le Nord et l agence CASABLANCA OULFA sur le Sud chacune était connectée sur une moye, dont nous avons fait les scenarios et tests de disponibilité possibles, soit côté matériel soit côté lien et après nous avons enchainé la phase de basculement des 8 accès LL+ point to point (voie et data) vers les deux accès E1. Chaque routeur va lier 4 liens sur un E1 et les 4 liens de l autre routeur en mode BACKUP et pour terminer on procède à la configuration du backup de chaque lien par un accès PRI. 5.7 Sécurité : Dans ce projet nous avons pu concrétiser tous les aspects de haute disponibilité, d une part nous avons pu implémenter la sécurité des accès WAN ainsi que le routage dynamique et automatique. D autre part on a minimisé les interventions manuelles aux équipements en cas d incident. L authentification des sites bénéficie d une clé cryptée en MD5 via le processus OSPF pour éviter la menace d usurpation d identité des équipements. 5.8 Solution de supervision : Introduction : Dans cette partie, nous aborderons seulement les besoins de supervision et la configuration des différents éléments de cette solution. L installation des différentes composantes ne seront pas abordé, à savoir l installation du système d exploitation, de Nagios, la procédure d installation sera annexé NAGIOS : i. Présentation de Nagios : Nagios est un logiciel de supervision de réseau libre sous licence GPL qui fonctionne sous Linux. Il a pour fonction de surveiller les hôtes et services spécifiés, alertant l'administrateur des états des machines et équipements présents sur le réseau. Bien qu'il fonctionne dans un environnement Linux, ce logiciel est capable de superviser toutes sortes de systèmes d'exploitation (Windows XP, Windows 2000, Windows 2003 Server, Linux, Mac OS entre autres) et également des équipements réseaux grâce au protocole SNMP. 69

70 Chapitre 5 Réalisation Cette polyvalence permet d'utiliser Nagios dans toutes sortes d'entreprises, quel que soit la topologie du réseau et les systèmes d'exploitation utilisés au sein de l'entreprise. Ce logiciel est composé de trois parties: Le moteur de l'application, qui gère et ordonnance les supervisions des différents équipements Les Plugins qui servent d'intermédiaire entre les ressources que l'on souhaite superviser et le moteur de Nagios. Il faut bien noter que pour accéder à une certaine ressource sur un hôte, il faut un plugin coté Nagios et un autre coté hôte administré. L'interface web qui permet d'avoir une vue d'ensemble des états de chaque machine du parc informatique supervisé et ainsi pouvoir intervenir le plus rapidement possible en ciblant la bonne panne. ii. Les fonctionnalités de Nagios : Figure 20 : Fonctionnalité de Nagios. Les fonctionnalités de Nagios sont très nombreuses, aussi il serait quasiment impossible de toutes les citer dans la mesure où tout à chacun est libre d'y développer ses propres plugins, nécessaires à une utilisation bien spécifique. Parmi les fonctionnalités les plus communes, nous pouvons entre autre citer les suivantes : La surveillance de tous les services imaginables (SMTP, POP, HTTP, DNS, DHCP,...), La surveillance des ressources des hôtes (charge CPU, utilisation RAM / disque dur,...), La surveillance de n'importe quel processus (que ce soit sous Windows, Unix ou Mac OS X), Le dessin d'un plan du réseau avec affichage de diverses informations (2D ou 3D), La notification par mail, sms ou encore messagerie instantanée en cas de problème, Une interface web consultable de n'importe quelle machine (avec authentification). Figure 21 : Détails fonctionnalités. 70

71 Chapitre 5 Réalisation i. Fonctionnement de Nagios : Nagios fonctionne grâce à des plugins (ou greffons) écrit en Perl ou en C. Sans eux, il est totalement incapable de superviser quoi que ce soit et se résume à un simple noyau, l un doit être installé sur la machine à superviser et l autre installer sur la machine qui supporte Nagios. Nagios, par l'intermédiaire de son plugin, contact l'hôte souhaité et l'informe des informations qu'il souhaite recevoir. Le plugin correspondant installé sur la machine concernée reçoit la requête envoyée par Nagios et ensuite va chercher dans le système de sa machine les informations demandées. Il renvoi sa réponse au plugin Nagios, qui ensuite le transmet au moteur de Nagios afin d'analyser le résultat obtenu et ainsi mettre à jour l'interface web. Nagios fait ainsi une synthèse par le plus petit commun multiple disponible sur chacun des équipements dont il se charge de vérifier le fonctionnement. Nagios, à la différence d autres outils de monitoring n intègre pas d outil de maintenance en son corps, il se base sur différents adaptateurs. Suivant le schéma figurant ci-dessous : Figure 21 : Fonctionnement de Nagios Il est donc possible d effectuer des tests de toutes sortes (fonctionnement de services, espace disque, charge,...) sur la machine Nagios, ainsi que des tests simples (par exemple Ping) sur une machine distante. Nagios est composé de 3 parties : Un ordonnanceur Des plugins Une interface web Pour récupérer les informations, utilisation de plugins. Il existe différentes méthodes d'interrogation : o Active check : Protocole SNMP NRPE o Passive check : NSCA 71

72 Chapitre 5 Réalisation Solarwinds Real-time Netflow Analyser : Introduction NetFlow Analyzer est un outil Web (sans sonde matérielle) de surveillance de la bande passante, d'analyse du trafic réseau, qui confère des performances et une utilisation optimales de la bande passante, et en offrant la possibilité de suivre en temps réel le comportement du réseau et l'impact du trafic sur l'état général du réseau. Quels sont les problèmes décelés par NetFlow Analyzer? Evaluez l'impact des diverses applications sur votre réseau Validez les règles QoS et leurs effets Optimisez la bande passante Détectez tout le trafic WAN non autorisé sur votre réseau Dépannez agile en cas d'incident Tableau de bord des performances réseau i. Présentation de Solarwinds Real-time Netflow Analyser : Le nouvel outil gratuit de SolarWinds, Real-time NetFlow Analyzer (RNFA), distingue aisément les problèmes réseaux des dysfonctionnements applicatifs et mettent en place un référentiel intelligent afin de bénéficier d'une gestion préventive des applications critiques. ii. Les Fonctionnalités de RNFA : RNFA capte et analyse ces données en temps réel pour vous montrer exactement quels types de trafic sur votre réseau, soit le trafic entrant et sortant séparément pour une analyse granulaire qui permet le diagnostic des problèmes rapide et facile. Encore mieux, vous pouvez exporter les données de flux réseau, qui est repartie selon: Application, Conversation, Domaine, Terminaux, Protocole. On trouve aussi l outil NetFlow Configurator, qui vous aider à configurer à distance NetFlow v5 via SNMP sur les périphériques Cisco prise en charge. Configurer les routeurs NORD et SUD : Dans cet exemple, nous avons rapidement mis en place NetFlow et activer le protocole SNMP sur un Cisco Dans le mode de configuration globale: snmp-server community public RW RO : Read and Write 72

73 Chapitre 5 Réalisation Paramétrage du serveur et le protocole SNMP : Sélection d interface à superviser : 73

74 Chapitre 5 Réalisation Une fois que vous avez activé NetFlow, on distingue une représentation graphique du trafic internet entrant et sortant. Il affiche également le trafic par application, domaine, protocole, ainsi que les adresses IP auxquelles ils accèdent: Figure 22 : Trafic sortant et entrant groupé par protocole. Figure 23 : Trafic sortant et entrant groupé par application. 74

75 Conclusion générale L intégralité de notre travail s articule au tour du plan de secours informatique qui représente la première phase à adopter dans un plan de continuité d activité. Notre travail a été réalisé conformément au standard national et international suivant la méthode d audit et d analyse MEHARI. Cette méthode accorde une liberté qui peut conduire à une appréciation trop superficielle ou trop détaillée. La partie concernant le réseau local a était mené à bien et opérationnel, tous les testes et les vérifications ont été réalisés. Pour la partie concernant le réseau étendu, le basculement a été réalisé dans sa totalité, néanmoins il reste une agence à migré, ainsi que des micros coupure à optimiser avec l operateur de service. Dans ce rapport, nous avons essayé de retracer les différentes étapes de notre travail en commençant par l étude de l existant, où nous avions accès au différents locaux techniques, par la suite, nous avons réalisé une critique de l existant en utilisant une méthode d audit et d analyse des risques afin de concevoir un plan d action pour mettre en production les solution retenues. En perspective pour ce projet, nous proposons d une part une réplication des services par l élaboration d un plan de continuité des opérations. D autre part, nous envisageons un plan d archivage et de restaurations des données.

76 Références Bibliographie [1] Matthieu BENNASAR, Plan de continuité d activité et système d information, vers l entreprise résiliente, DUNOD 2010 [2] Emmanuel BESLUAU, Management de la continuité d activité, assurer la pérennité de l entreprise : planification, choix technique et mise en œuvre, EYROLLES juillet 2008 [3] Patrick Boulet, Plan de continuité d activité, Hermes Sciences Publications [4] Bernard Antonio Pessoa et Alexandre Planche, Plan de continuité d activité, Edition ENI [5] Olympe Cavallari et olivier hassid PCA, guide opérationnel Webographie CLUSIF, présentation de MEHARI. Disponible sur : ISO. Discover ISO. Disponible sur : Site officiel de Nagios Site officiel de Cisco Site officiel de H3C [i] : odclassid=1&contenttype=supportmanual&docindexid=64255&prodtypeid=12883&prodseriesid= [ii] : odclassid=1&contenttype=supportmanual&docindexid=64255&prodtypeid=12883&prodseriesid= [iii] : [iv] : [v] : [vi] : Notes Directives ISO/IEC Information technology Security techniques information security risk management. International Organization for Standardization, Geneva, 2008

77 Annexes

78 Annexe I : Capture d écran base MEHARI 1