INTRODUCTION GENERALE

Aujourd'hui, Internet est largement utilisé dans le monde et est plus orienté métier. Les organismes
offrant la connexion Internet sont intéressés par la tarification où les clients payent pour les
ressources qu'ils consomment. Indéniablement, ce grand réseau est rentré dans nos moeurs. A
travers, lui tout un monde parallèle s'est développé : des sites marchands ont fleuris, les services
pour les particuliers comme les guides d'itinéraire pour nos voyages nous simplifient bien la vie. En
effet, on en vient à échanger des données à travers des programmes d'échange de fichiers et à «
chater » entre internautes. Nous retiendrons de tout ça qu'Internet est un véritable outil de
communication. A la fois High-tech et démodé par sa technique ; internet n'a pas su évoluer dans
l'utilisation de ses protocoles, la plupart des protocoles utilisés ont plusieurs années d'existence et
certains n'ont pas été créé dans une optique où le réseau prendrait une telle envergure. Les mots de
passe traversent ainsi les réseaux en clair, et là où transitent des applications de plus en plus
critiques sur le réseau, la sécurité, elle, a peu évoluée. Il y a peu de temps, les entreprises pouvaient
encore se permettre de construire leurs propres LAN, supportant leurs propres systèmes de
nommage, système de messagerie, voire même leur propre protocole réseau. Enfin, cette solution
peut être très couteuse, notamment si l'entreprise a plusieurs bureaux à travers tout un pays. De
plus, les réseaux privés manque de souplesse par rapport aux situations que l'on peut rencontrer
dans une entreprise. En effet, si un représentant a besoin d'accéder à distance au réseau privé de son
entreprise alors qu'il est à des milliers de kilomètres de celle-ci, le coût de l'appel téléphonique sera
extrêmement élevé.

0.1. PROBLEMATIQUE

La nouvelle technologie de l'information et de la communication (NTIC) nous introduit dans un siècle

de vitesse en communiquant l'information au sein de nos organisations (entreprises). C'est l'univers
immatériel du savoir, de la gestion, de la prise de décision par objectif, du contrôle, de la
coopération, de la qualité et de la résolution des problèmes. Aucune personne n'ignore l'importance
de l'information dans une organisation ou institution qui nécessite l'organisation, la fiabilité et le bon
fonctionnement du système d'information par la capacité de traiter ses informations. Les
applications distribuées font de plus en plus partie intégrante du paysage d'un grand nombre
d'entreprises. Ces techniques ont pu se développer grâce aux performances des réseaux locaux. En
effet, si les applications distribuées deviennent le principal outil du système d'information de
l'entreprise. Voilà quelques questions que nous avons retenues qui traduisent et reflètent nos
préoccupations : o Comment assurer les accès sécuritaires au sein de structures parfois reparties sur
de grandes distances géographiquement éloignés ? o Concrètement, comment une succursale d'une
entreprise peut - elle accéder aux données situées sur un serveur distant de plusieurs milliers de
kilomètres ?

o Quel serait alors l'impact de ce nouveau système d'information ? o Quels protocoles et quelle
configuration assurent-ils l'accès sécurisé à l'information à travers ces technologies ?

0.2. HYPOTHESE DU SUJET

Nous essayons dans la mesure du possible d'envisager une politique optimale de partage des
informations afin que l'échange des ressources ne pose plus de problème au sein de l'entreprise.
Dans le cadre de notre travail, nous avons jugé bon de joindre au système d'information existant au
sein de l'entreprise, les applicatifs de l'internet afin de lui permettre : · Une bonne conservation et
recherche aisée des informations en interne et externe ; · L'échange des données entre les
différentes directions de l'entreprise ; · Enfin, une rapidité dans le traitement de l'information avec
toutes les mesures de sécurité garantie ; · La récupération de l'information en temps réel. En vue de
remédier toujours aux inquiétudes soulevées au travers des questions posées ci-haut, nous pensons
qu' o Il existerait un moyen d'échange de l'information qui serait adapté à la gestion efficace et
efficiente de la Bralima ; o Une configuration appropriée existerait et des systèmes d'exploitation tels
que Windows Server, Unix, Linux...seraient mieux adaptés pour assurer l'accès sécurisé à
l'information.

0.3. CHOIX ET INTERET DU SUJET

Vu l'objectif que l'entreprise a et l'estime qu'on lui accorde, nous avons jugé bon de porter notre
choix sur ce sujet qui s'intitule : « Mise en place d'un réseau VPN dans une entreprise afin de faire
profiter à l'entreprise cette étude et au monde scientifique nos connaissances acquises durant notre
parcours universitaire.

0.4. DELIMITATION DU SUJET

Il est affirmé qu'un travail scientifique, pour être bien précis, doit être délimité. Raison pour laquelle,
nous n'allons pas aborder toutes les questions liées à la conception d'un réseau VPN car elles
paraissent une matière très complexe. Ainsi, nous avons pensé limiter notre étude par rapport au
contenu, à l'espace et au temps. + Délimitation temporaire Ce travail est le fruit de recherches
menées au sein de l'entreprise Bralima Sarl durant la période allant de mai 2012 à d'Octobre 2012. +
Délimitation spatiale Nous avons effectué nos recherches au niveau de la Direction Financière plus
précisément dans le Département Informatique, au sein de l'entreprise Bralima Sarl.

0.5. METHODES ET TECHNIQUES UTILISEES

Tout chercheur se focalise sur une méthode susceptible de l'orienter à atteindre son objectif au
problème qu'il étudie dans son travail ; en d'autres termes, les méthodes sont des voies qui
permettent au chercheur d'atteindre l'explication du phénomène à étudier. En d'autres termes, une
méthode est la mise en oeuvre d'un certain nombre d'étapes (méthodologiques), une démarche, des
principes, des outils (traces, papiers standardisés, matériels informatiques, un vocabulaire, etc.).Pour
mener à bien notre étude, nous avons choisi d'utiliser la méthode Merise pour la mise en place d'un
système d'information au sein de la Bralima Sarl. Pour recueillir les informations ayant servi à
l'élaboration de ce mémoire, nous avons fait recours aux méthodes et techniques. o Méthode : C'est
un ensemble des démarches raisonnées suivies pour parvenir à un but. o Technique : C'est un
ensemble d'instruments ou d'outils qu'utilise la méthode enfin de réaliser un travail scientifique.

+ Méthode historique: Elle consiste à étudier le passé d'une

entreprise pour mieux cerner sa situation actuelle afin de mieux

préparer son évolution future ; + Méthode analytique: Elle nous a permis d'analyser en détail le
composant du système existant. Elle consiste à décomposer les éléments du système existant enfin
de le définir, les analyser et d'en dégager les spécificités auxquelles le nouveau système fera face ; +
Méthode descriptive: Par cette méthode, certains principes et concepts ont été décrits tout
simplement sans commentaire; + Technique d'observation: Elle consiste à faire une analyse
personnelle après avoir observé et palpé les fonctionnements du système d'information. Grâce à
cette dernière, nous sommes descendus personnellement sur terrain pour assimiler ce que font les
acteurs pour comprendre et tirer les conséquences ; + Technique d'interview: Elle consiste à
interroger en vue d'avoir des points de vue avec les différents employés du service qui nous a
intéressé pour acquérir les informations dont on a besoin. Cette technique nous a permis d'obtenir
les renseignements sur l'étude de l'existant, par un jeu des questionréponses ; + Technique
documentaire: Elle a permis de consulter divers documents pour mieux appréhender les activités qui
se déroulent dans la Direction Informatique.

0.6. SUBDIVISION DU TRAVAIL

Vu la grandeur du sujet que nous avons abordé, notre travail sera subdivisé en deux grandes parties
et chaque partie est suivie de chapitres et des sections que nous allons développer dans les lignes ci-
dessous. De façon non exhaustive ce travail, présentera d'abord le concept et l'architecture des VPN,
ensuite détaillera les fonctionnalités de différents protocoles de routage et leurs utilités dans la
conception de réseau VPN et enfin nous expliquerons comment un client VPN distant peut
s'authentifier sur une passerelle via le protocole IPSEC et comment on gérera son accès contrôlé au
réseau Internet à partir d'un serveur de base de données par exemple qui, dans notre cas est
NAVISION.

Chapitre I : GENERALITES SUR LES RESEAUX INFORMATIQUES

I.1. Introduction Les réseaux sont nés du besoin d'échanger des informations de manière simple et
rapide entre des machines. En d'autres termes, les réseaux informatiques sont nés du besoin de
relier des terminaux distants à un site central puis des ordinateurs entre eux, et enfin des machines
terminales, telles que les stations de travail à leur serveur1. Dans un premier temps, ces
communications étaient uniquement destinées au transport des données informatiques, mais
aujourd'hui avec l'intégration de la voix et de la vidéo, elles ne se limitent plus aux données mêmes si
cela ne va pas sans difficulté. Avant de nous attaquer aux infrastructures réseaux, reprenons
quelques notions théoriques de base sur les réseaux informatiques en général. Un réseau permet de
partager des ressources entre des ordinateurs: données ou périphériques (imprimante, connexion
Internet, sauvegarde sur bandes, scanner, etc.). I.2. Definition Selon TanenboumAndrew, nous
pouvons définir un réseau informatique comme étant un ensemble de deux ou plusieurs ordinateurs
interconnectés entre eux au moyen des médias de communication avec pour objectifs de réaliser le
partage des différentes ressources matérielles et/ou logicielles2. Autrement dit, un réseau est une
collection d'ordinateurs et périphériques interconnectés les uns aux autres afin qu'ils puissent
partager des ressources c'est-à-dire des informations ou données, imprimantes, etc. 1 PujolleGuy,
Les Réseaux, 3e Edition mise à jour par Eyrolles, à Paris, 2000, Page 13 2 TanenbaumAndrew, Les
réseaux, interdiction, 3ème Edition, 1998, Page 1.

I.3. Topologie des réseaux La topologie est une façon d'agencer les équipements (postes,
imprimantes, serveur, etc.) interconnectés dans un réseau local. La topologie peut comporter deux
aspects : o La topologie logique: Correspond à la manière de faire circuler le signal parmi les
composantes physiques (on parlera des méthodes d'accès au canal). Par opposition à la topologie
physique, représente la façon dont les données transitent dans les lignes de communication. Les
topologies logiques les plus courantes sont Ethernet, Token Ring et FDDI. o La topologie physique: Un
réseau informatique est constitué d'ordinateurs reliés entre eux grâce à des lignes de communication
(câbles réseaux, etc.) et des éléments matériels (cartes réseau, ainsi que d'autres équipements
permettant d'assurer la bonne circulation des données).Correspond à la façon dont les postes du
réseau local sont câblés. Autrement dit c'est la configuration spatiale du réseau. On distingue
généralement les topologies suivantes : topologie en bus

topologie en étoile topologie en anneau topologie en arbre topologie maillée La topologie logique est
réalisée par un protocole d'accès3. Les protocoles d'accès les plus utilisés sont:

Ethernet Token ring

3 www.commentcamarche.net La façon de laquelle les ordinateurs sont interconnectés

physiquement est appelée topologie physique. Les topologies physiques basiques sont:

La topologie en bus La topologie en anneau La topologie en étoile

Topologie en bus Une topologie en bus est l'organisation la plus simple d'un réseau. En effet, dans
une topologie en bus tous les ordinateurs sont reliés à une même ligne de transmission par
l'intermédiaire de câble, généralement coaxial. Le mot « bus » désigne la ligne physique qui relie les
machines du réseau4.

Cette topologie a pour avantage d'être facile à mettre en oeuvre et de posséder un fonctionnement
simple. En revanche, elle est extrêmement vulnérable étant donné que si l'une des connexions est
défectueuse, l'ensemble du réseau en est affecté. Topologie en étoile Dans une topologie en étoile,
les ordinateurs du réseau sont reliés à un système matériel central appelé concentrateur (en anglais
hub, littéralement moyen de roue)5. Il s'agit d'une boîte comprenant un certain nombre de jonctions
auxquelles il est possible de raccorder les câbles réseau en provenance des ordinateurs. Celui-ci a
pour rôle d'assurer la communication entre les différentes jonctions.

Contrairement aux réseaux construits sur une topologie en bus, les réseaux suivant une topologie en
étoile sont beaucoup moins vulnérables car une des connexions peut être débranchée sans paralyser
le reste du réseau. Le point névralgique de ce réseau est le concentrateur, car sans lui plus aucune
communication entre les ordinateurs du réseau n'est possible. En revanche, un réseau à topologie en
étoile est plus onéreux qu'un réseau à topologie en bus car un matériel supplémentaire est
nécessaire (le hub). Topologie en anneau Dans un réseau possédant une topologie en anneau, les
ordinateurs sont situés sur une boucle et communiquent chacun à leur tour.

En réalité, dans une topologie anneau, les ordinateurs ne sont pas reliés en boucle, mais sont reliés à
un répartiteur (appelé MAU, Multi-station Access Unit) qui va gérer la communication entre les
ordinateurs qui lui sont reliés en impartissant à chacun d'entre-eux un temps de parole.

I.4. Caractéristiques physiques des réseaux Il n'existe pas de classification générale des réseaux, mais
deux critères importants permettent de les caractériser : la technologie de transmission utilisée et
leur taille. Selon TanenbaumAndrew, cité par Joseph Dimandja ; qui illustre d'une manière
acceptable les différentes caractéristiques sur la classification des réseaux. La distance entre les
processus et leur localisation a constitué notre critère de base pour la classification physique des
réseaux6.

Distance entre Processus Localisation Type des réseaux 0,1 m Circuit imprimé Machine à flot de
données (Réseau chargé interne) 1,0 m Millimètre mainframe Réseau système informatique 10 m
Salle Réseau local (LAN)1 00 m Bâtiment 1000 m = 1 Km Campus 100.000 m = 100 Km Pays Réseau
longue distance (WAN) 1.000.000 m = 1000 Km Continent 10.000.000 m = 10.000 Km Planète
Internet 100.000.000 m = 100.000 Km Système terre - lune Le satellite artificiel

Tableau n°1 : Classification d'un réseau I.4.1.Techniques de transmission Du point de vue général,
nous distinguons deux types de technologies de transmission largement répandues :

La diffusion (Bus, anneau et radio/satellite) Le point- à - point (Etoile, boucle et maillé)

+ Les réseaux à diffusion Un réseau à diffusion dispose d'un seul canal de transmission qui est
partagé par tous les équipements qui y sont connectés. 6 DimandjaJoseph, Mémoire, Conception et
implémentation d'un intranet, ULK, 2006-2007, Page 7 Sur un tel réseau, chaque message envoyé,
appelé paquet dans certaines circonstances, est reçu par toutes les machines du réseau. Dans le
paquet, un champ d'adresse permet d'identifier le destinataire réel.

A la réception d'un paquet, une machine lit ce champ et procède au traitement du paquet si elle
reconnait son adresse ou l'ignore dans le cas contraire. Cette transmission est appelée multicast. +
Les réseaux point-à-point Par opposition au système précédent, le réseau point-à-point consiste en
un grand nombre de connexions, chacune faisant intervenir deux machines. Pour aller de sa source à
sa destination, un paquet peut transiter par plusieurs machines intermédiaires. Cette transmission
est appelée unicast. A. LAN (Local Area Network) ou RLE (Réseau local d'Entreprise) Le réseau local
relie d'une manière générale des ordinateurs localisés dans une même salle, dans un immeuble ou
encore dans un campus. Sa matérialisation peut s'effectuer en tenant compte des différentes
topologies élaborées par l'IEEE (Institute Of Electrical and Electronics Engineer) sous forme des
normes7. Il s'agit de: o IEEE 802.3: Ethernet (CSMA/CD); o IEEE 802.4: Token bus (Jeton sur bus); o
IEEE 802.5: Token - ring (Jeton sur anneau); o IEEE 802.6: MAN (Metropol Area Network ); o IEEE
802.7: FDDI (Fiber Distributed Data Interface); o IEEE 802.9: ISOEnet (Réseau local à haut débit,
multimedia); o IEEE 802.10: Sécurité dans les réseaux; o IEEE 802.11: Réseaux locaux sans fil (WIFI); o
IEEE 802.12: 100 VG - Any LAN. 7 Prof. IVINZA LEPAPA A.C., Notes de cours de Télématique, L2 info,
ISC-GOMBE, 2011 - 2012

B. WAN (Wide Area Network) Réseau étendu à longue distance constitué par l'interconnexion de
plusieurs réseaux et qui se distingue des réseaux locaux et des réseaux métropolitains. Il relie
plusieurs ordinateurs notamment à travers une ville, un pays, continent ou encore toute la terre. Ici
la communication s'effectue grace aux réseaux privés et/ où aux réseaux publiques. I.5.
Caractéristiques logiques des réseaux La conception des premiers ordinateurs ont connu le problème
d'hétérogénéité où les concepteurs n'avaient tenu compte de l'aspect matériel au détriment de
l'aspect logiciel en oublient que les données dans les réseaux devaient provenir des différentes
applications qui pouvant être différent d'un ordinateur à un autre. I.6. Modèle de référence OSI Le
modèle OSI (Open Systems Interconnection) a été adopté pour faciliter l'échange des données
provenant des matériels des différents constructeurs. Ce modèle de référence a été défini en 7
couches pour communiquer entre elles. Il décrit le fonctionnement d'un réseau à communication des
paquets. 1. Couche physique: Elle assure l'établissement, le maintien de la liaison physique et le
transfert de bits sur le canal physique (support). Elle comprend donc les spécifications mécaniques
(connecteurs) et les spécifications électriques (niveaux de tension); 2. Couche liaison de données :
Elle assure le maintien de la connexion logique, le transfert des blocs de données (les trames et les
paquets),le contrôle, l'établissement, le maintien et la libération du lien logique entre entités ; 3.
Couche réseau : Assure des blocs de données entre les deux systèmes d'extrémités, le routage (choix
du chemin à parcourir à partir des adresses), lors d'un transfert à travers un système relais,
l'acheminement des données (paquets) à travers les différents noeuds d'un sous - réseau (routage)Et
elle définit la taille de ses blocs ; 4. Couche de transport est le pivot du modèle OSI. Elle assure le
contrôle du transfert de bout en bout des informations (message) entre les deux systèmes
d'extrémité. Afin de rendre le transport transparent pour les couches supérieures. Elle assure le
découpage des messages en paquets pour le compte de la couche réseau et les reconstitue pour les
couches supérieures. Elle utilise les protocoles TCP et UDP ;

5. Couche session : Elle assure l'échange des données, et la transaction entre deux applications
distantes. C'est une interface entre les couches qui assurent l'échange de données (transaction)
entre les applications distantes. La fonction essentielle de la couche session est la synchronisation et
le séquencement de l'échange par la détection et la reprise de celui-ci en cas d'erreur ; 6. Couche
présentation : Elle assure la mise en forme des données; elle est une interface entre les couches qui
assurent l'échange de données et celle qui manipule, celle couche assure la mise en forme de
données, les conversions de code nécessaires pour délivrer à la couche supérieure un message dans
une syntaxe compréhensible par celle-ci ; 7. Couche application : Est la couche située au sommet des
couches de protocoles TCP/IP. Elle ne contient pas les applications utilisateurs, mais elle assure la
communication, à l'aide de processus, un ensemble de fonctions (entités d'application) permettant le
déroulement correct des programmes communicants (transferts des fichiers, etc.). Ce modèle a pour
objectifs, décomposer, structurer et assurer l'indépendance vis-à-vis du matériel et du logiciel. I.7.
Modèle de référence TCP/IP Le protocole TCP/IP (Transmission Control Protocol/Internet Protocol)
est le plus utilisé des protocoles parce que c'est lui qu'on emploi sur les réseaux, c'est-à-dire Internet.
Historiquement, le TCP/IP présente deux inconvénients majeurs, à savoir la taille et sa lenteur. Les
principaux protocoles qui le composent : l'Internet protocole qui est un protocole de niveau réseau
assurant un service orienté sous connexion : Transmission contrôle protocole « TCP » et un protocole
de niveau transport qui fournit un service fiable avec connexion. Le modèle de référence TCP/IP est
un langage adopté dans l'internet pour communiquer entre machines est le langage réseau
TCP/IP.C'est un protocole très novateur dans le sens où il est faiblement hiérarchisé. Tous les
ordinateurs sont égaux dans leurs possibilités. Le langage TCP/IP est très répandu dans le monde des
systèmes Unix et il est très facile de trouver des sources pour réaliser un support TCP/IP sur
n'importe quel système. TCP/IP est de fait le premier véritable langage réseau indépendant de tout
constructeur d'informatique, ce qui en fait son succès. Cependant, Il faut distinguer les protocoles
c'est à dire les « langages de réseau » et les entités administratives. En effet si un réseau parle
«TCP/IP», il n'est pas forcément connecté à l'internet. Ce n'est pas parce que je parle français que je
suis français...Le réseau internet est en fait une fédération de réseaux qui mettent en place une
organisation commune. Cette organisation est très fédérale. I.8. Comparaison entre les modèles Les
modelés OSI et TCP ont les points commun au niveau des fonctionnalités des couches qui sont
globalement les mêmes. Ils sont tous fondés sur le concept de pile de protocoles indépendants. Au
niveau des différences, l'on peut remarquer la chose suivante : le modèle OSI fait clairement la
différence entre 3 concepts principaux, alors que ce n'est pas tout à fait le cas pour le modèle TCP/IP.
Ces 3 concepts sont les services, interfaces et protocoles. En effet, TCP/IP fait peu la distinction entre
ces concepts ; et ce malgré les efforts des concepteurs pour se rapprocher de l'OSI. Cela est dû au fait
que pour le modèle TCP/IP, ce sont les protocoles qui sont d'abord apparus et ensuite le modèle ne
fait finalement que donner une justification théorique aux protocoles, sans les rendre véritablement
indépendants les uns des autres. Le modèle TCP/IP utilise que 4 couches, à savoir : application,
transport, réseau et hôte - réseau ; tant dis que le modèle OSI utilise 7 couches, à savoir : application,
présentation, session, transport, réseau, liaison de données et physique.

I.9.Architecture des réseaux a. Définition Est un ensemble des règles de composition et

d'agencement des noeuds et équipements connectés à un réseau informatique8. b. Normalisation Le
modèle OSI offre des standards et protocoles pour se communiquer dans un réseau. Ce que l'OSI
adopte dans la conception et de rendre le réseau le plus indépendant possible des supports
physiques. La normalisation émane de la volonté des gouvernements d'harmoniser les technologies
afin d'assurer la compatibilité des

équipements. C'est l'ISO (International Standardisation Organisation) qui édite les normes dans tous
les domaines informatiques (Réseaux, applications, base de données, etc.). 8 MORVANPierre,
LAROUSSE Références, Dictionnaire de l'informatique, Page 17, 1996 c. Mode d'accès Nous disons
qu'il est impératif pour qu'il ait communication entre les noeuds ; ces derniers doivent utiliser le
même support dont un câble ou un faisceau hertzien. Nous soulignons qu'il y a deux technologies
qu'on utilise, à savoir : le Jeton et la contraction. + Le jeton est utilisé dans la topologie logique en
anneau. Il consiste à donner l'occasion d'émettre à chacun son tour. Pour cela, une trame circule en
permanence dans le même sens en passant par chaque noeud. Si une machine veut émettre, elle doit
récupérer la trame, y ajouter ses données et l'adresse du destinataire; le jeton devient alors occupé
jusqu'à ce qu'il soit transmis à son destinataire. Après l'envoi, le noeud émetteur attend un temps
proportionnel au nombre total de noeuds avant de recevoir à nouveau le jeton. Cette méthode est
dite déterministe9; + CSMA/CD (Carrier Sense Multiple Access/Collision Detection) a été conçu pour
optimiser le rendement des réseaux à bus par une minimisation du temps d'attente d'une station
faisant une requête d'émission10, permet de détecter les perturbations, collisions et d'attendre
qu'elles se résorbent. I.9.1. Architecture basée sur les Commutateurs a. Introduction Ce sont des
architectures réseaux qui sont apparues suite à l'évolution de nouvelles technologies. Elles
permettent de segmenter le plus possibles le réseau par le commutateur, ainsi ces derniers se
comportent comme de pont, mais présentant plus les puissances et la capacité de s'interconnecter
avec un réseau à haut débit, il est à signaler que les commutateurs remplissent le rôle de
concentrateurs être celui de pont. Ils offrent ainsi : 9 ERNYPierre, les Réseaux d'entreprises, Edition
Ellipse, 1998, Page 11 10 PHILIPPJacques, Systèmes et réseaux, Réseaux Intranet et Internet, Edition
Ellipses, Paris, Page 41 o à la fois des ports Ethernet 10 bits et 100 bits ; o des ports Token-ring, o la
commutation entre ses ports (10 bits, 100 bits, FDDI et ATM). Cependant, pour ce dernier point, nous
trouvons dans certaines organisations la présence de certains réseaux conçus sans un cahier de
charge, donc, un amalgame d'appareils interconnectés sans une finalité bien définit et ceci pose un
sérieux problème du point de vue gestion et même influence les décisions11. b. Un commutateur Un
commutateur est un équipement informatique doté de nombreux ports d'entrée et de sortie ; il
transfert les paquets arrivant sur les ports d'entrée vers leur port de sortie12.Autrement dit, un
commutateur permet de relier divers éléments tout en segmentant le réseau. Un commutateur,
capable de supporter à la fois des services à bande étroite et à large bande, doit satisfaire aux
contraintes suivantes : très haut débit, très faible délai de commutation, très faible taux de perte de
cellules, possibilité de communication en multipoint, modularité et extensibilité et enfin un faible
coUt d'implémentation.

I.9.2.Architecture à longues distances Les humains ont toujours voulu communiquer plus vite et plus
loin. Les Gaulois, écrit Jules César dans "La guerre des Gaules", avec la voix, de champ en champ,
pouvaient transmettre une nouvelle à 240 km de distance en une journée. Dans les réseaux locaux,
les exploitants sont, en général, propriétaires des lignes de transmission suivants les divers types de
médias. Ce qui est concevable sur des petites distances. Mais lorsque les distances deviennent
longues, il n'est plus possible de posséder les lignes. Pour connecter deux ou plusieurs ordinateurs,
on fera appel aux services des opérateurs de télécommunication13. 11 PetitBertrand, Op. Cit, Page
21 12 PujolleGuy, Les Réseaux, 3e Edition mise à jour, Edition Eyrolles, à Paris, 2000, Page 23

13 Prof. IVINZA LEPAPAA.C., Notes de cours, Télématique II, L2 Info de gestion, ISC-KIN, 2011-2012,
Page 85 Section I. : Interconnexion des réseaux I.1. Définition L'interconnexion est un mécanisme qui
consiste à mettre en relation, indépendamment de la distance qui sépare et des protocoles qu'elle
utilise, des machines appartenant à des réseaux physiquement distincts. Selon LORENZ Pascal, cité
par le Professeur MIS A.C. IVINZA LEPAPA dit que le domaine des réseaux locaux était limite à l'
origine au partage des périphériques lourds (disques magnétiques, imprimantes), il a évolué
aujourd'hui vers celui des applications distribuées. Des plus en plus, le besoin se fait sentir de
raccorder des stations à des serveurs, mais également des LAN voisins ou distincts, à travers des
réseaux plus vastes (MAN, WAN)14. La problématique de l'interconnexion consiste à déterminer la
solution à mettre en oeuvre: o Lorsque le réseau à créer dépasse les distances maximales imposées
par la norme du réseau à mettre en place, o Lorsqu'on doit relier deux réseaux utilisant des
protocoles différents. L'interconnexion de deux réseaux d'architectures différentes nécessite un
équipement d'interconnexion spécifique dont la dénomination varie suivant les différentes couches
de l'OSI. Cette interconnexion est possible grâceà un certain nombre de dispositifs, qui sont au
nombre de quatre: + Répéteur C'est un équipement servant à régénérer ou à remettre en forme un
signal affaibli. Le répéteur ne modifie pas le contenu du signal et n'intervient qu'au niveau physique
du modèle OSI. Les répéteurs sont des boitiers d'interconnexion qui n'apporte que des adaptations
au niveau physique. Ils sont principalement utilisés dans les réseaux IEE 802.3. Ils servent à raccorder
deux segments de câbles ou deux réseaux identiques (Ethernet) qui constituent alors un seul réseau
logique15. + Pont C'est un équipement permettant de relier plusieurs réseaux locaux de même
typeou soit pour étendre le réseau d'établissement, soit pour constituer un réseau étendu
multiétablissements. Le pont travail comme un filtre qui transmet d'un réseau à l'autre les trames
dont l'adresse ne figure pas dans le premier réseau. Principes: · Le pont se présente généralement
sous forme de boitier empilable disposant d'un nombre réduit d'interface: Ethernet, Token - ring et
Wan. Certains ponts proposent un port RNIS configurable au choix en tant que liaison principale ou
liaison de secours ; · Le pont (bridge) fonctionne dans la couche liaison du modèle OSI et assure la
conversion du format de la trame et adapte sa longueur. Il filtre les trames en fonction de l'adresse
du destinataire, positionne certains bits, segmente le trafic et élimine la congestion sur une partie du
réseau16. + Routeur Il permet l'interconnexion de réseaux présentant des différences physiques des
bits et de la composition des trames, couche 1 et 2 du modèle OSI. Ils gèrent les en-têtes des trames
et des paquets jusqu'à la couche 3 (couche réseau). 15 Prof. IVINZA LEPAPAA.C., Notes de cours,
Télématique II, L2 Informatique de gestion, ISC-KIN, 2011-2012 16 Idem Permettant de relier de
nombreux réseaux locaux de telle façon à permettre la circulation de données d'un réseau à un autre
de la façon optimale. Contraire au pont, le routeur est concerné par le routage de niveau paquet, ce
qui lui confère des propriétés très différentes. Il ne permet pas de constituer un réseau unique à
partir de plusieurs sous-réseaux ; il a comme fonction l'interconnexion de réseaux différents dans le
sens où les adresses des utilisateurs des réseaux distants ne sont connues que par leur adresse de
niveau paquet et non par une adresse de niveau physique17. Outil logiciel ou matériel pour diriger
les données à travers un réseau. Il s'agit souvent d'une passerelle entre plusieurs serveurs pour que
les utilisateurs accèdent facilement à toutes les ressources proposées sur le réseau. Le routeur
désigne également une interface entre deux réseaux utilisant des protocoles différents. Principes

· Les routeurs agissent au niveau de la couche réseau et effectuent le routage de paquets, c'est-à-dire
ils sont chargés de trouver le meilleur chemin pour acheminer les paquets vers le destinataire. · Les
routeurs relient des sous structures qui sont des réseaux différents.Le routeur intègre le plus souvent
une fonction de passerelle (gateway) qui leur permet d'acheminer les paquets des différentes
architectures, par exemple IP vers X25. Il est composé de deux parties, à savoir : Partie logicielle et
partie matérielle18. La partie logicielle a pour but d'acheminer les paquets vers l'interface correcte
du routeur, tandis que la partie matérielle du routeur est composée des ports appelés « interfaces »
qui reçoivent et émettent les paquets au format correspondant à l'architecture du réseau
destinataire (Ethernet, FDDI, Token Ring). 17 PujolleGuy, Les Réseaux, 3e Edition mise à jour, Edition
Eyrolles, à Paris, 2000, Page 709 18 Prof. IVINZA LEPAPAA.C., OD. Cit., ISC-KIN, 2011-2012 + Passerelle
Nous avons constaté que l'on ne peut pas concevoir aujourd'hui un réseau sans un passage vers
l'extérieur, c'est pourquoi, nous disons que la passerelle permet de relier des réseaux locaux de types
différents. Il faut interconnecter les réseaux, pour qu'ils puissent s'échanger des informations. Le
noeud qui va jouer le rôle d'intermédiaire s'appelle passerelle ou « gateway ». C'est un système de
programmes assurant la compatibilité entre deux environnements, logiciels ou matériels. En ce qui
concerne l'interconnexion de réseaux, la passerelle met en oeuvre les couches hautes du modèle OSI,
contrairement aux ponts et aux routeurs19. + Protocole Un protocole est une méthode standard qui
permet la communication entre des processus (s'exécutant éventuellement sur différentes
machines), c'est-à-dire un ensemble de règles et de procédures à respecter pour émettre et recevoir
des données sur un réseau. Il en existe plusieurs selon ce que l'on attend de la communication.
Certains protocoles seront par exemple spécialisés dans l'échange de fichiers (le FTP), d'autres
pourront servir à gérer simplement l'état de la transmission et des erreurs (c'est le cas du protocole
ICMP), etc. Sur Internet, les protocoles utilisés font partie d'une suite de protocoles, c'est-à-dire un
ensemble de protocoles reliés entredeux. Cette suite de protocole s'appelle TCP/IP. Elle contient,
entre autres, les protocoles suivants: HTTP, FTP, ARP, ICMP, IP, TCP, UDP, SMTP, Telnet, NNTP. 19
LAROUSSE REFERENCES, de MorvanPierre, Dictionnaire de l'informatique, France, 1996 [28] Section
II. Sécurité informatique II.1. Introduction La sécurité informatique est de nos jours devenue un
problème majeur dans la gestion des réseaux d'entreprise ainsi que pour les particuliers toujours plus
nombreux à se connecter à Internet. La transmission d'informations sensibles et le désir d'assurer la
confidentialité de celles-ci est devenue un point primordial dans la mise en place de réseaux
informatiques. La sécurité informatique c'est l'ensemble des moyens mis en oeuvre pour réduire la
vulnérabilité d'un système contre les menaces accidentelles ou intentionnelles. Il convient
d'identifier les exigences fondamentales en sécurité informatique. La sécurité informatique, d'une
manière générale, consiste à assurer que les ressources matérielles ou logicielles d'une organisation
sont uniquement utilisées dans le cadre prévu. II.1.1. Sécurité physique et environnementale20 La
sécurité physique et environnementale concerne tous les aspects liés à la maitrise des systèmes et de
l'environnement dans lesquels ils se situent. Cette sécurité repose sur: ( La protection des sources
énergétiques et de la climatisation (alimentation électrique, refroidissement, etc.) ; ( La protection de
l'environnement (mesure ad hoc notamment pour faire face aux risqué d'incendie, d'inondation, etc.)
; ( Des mesures de gestion et de contrôle des accès physiques aux locaux, équipements et
infrastructures (avec entre autres la traçabilité des entrées et une gestion rigoureuse des clés d'accès
aux locaux) ;

20Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, Page 7

" Le plan de maintenance préventive (tests, etc.) et corrective (pièces de rechange, etc.) des
équipements ce qui relève également de la sécurité de l'exploitation des environnements ; " Etc.
II.1.2. Sécurité logique et applicative21 La sécurité logique fait référence à la réalisation de
mécanismes de sécurité par logiciel contribuant au bon fonctionnement des programmes et des
services offerts. Elle s'appuie généralement sur une mise en oeuvre adéquate de la cryptographie, de
procédures de contrôle d'accès logique, d'authentification, de détection de logiciels malveillants, de
détection d'intrusions et d'incidents, mais aussi sur des procédures de sauvegarde et de restitution
des informations sensibles sur des supports fiables spécialement protégés et conservés dans des
lieux sécurisés. Cette sécurité repose sur : o La robustesse des applications ; o Des contrôles
programmés ; o Des jeux de tests ; o Des procédures de recettes ; o L'intégration de mécanismes de
sécurité, d'outils d'administration et de contrôle de qualité dans les applications ; o La sécurité des
progiciels (choix des fournisseurs, interfaces sécurité, etc.) ; o Un plan d'assurances sécurité ; o Etc.

21Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, Page 8 II.1.1. La
sécurité du système d'information22 L'objectif de la sécurité des systèmes d'information est de
garantir qu'aucun préjudice ne puisse mettre en péril la pérennité de l'entreprise. Cela consiste à
diminuer la probabilité de voir des menaces se concrétiser, à en limiter les atteintes ou
dysfonctionnements induits, et autoriser le retour à un fonctionnement normal à des coûts et des
délais acceptables en cas de sinistre. La sécurité ne permet pas directement de gagner de l'argent
mais évite d'en perdre. Ce n'est rien d'autre qu'une stratégie préventive qui s'inscrit dans une
approche d'intelligence économique. Pour ce qui concerne les données et les logiciels, la sécurité
informatique implique qu'il faille assurer les propriétés suivantes: la confidentialité (aucun accès
illicite): maintien du secret de l'information et accès aux seules entités autorisées; l'intégrité (aucune
falsification): maintien intégral et sans altération des données et programmes; l'exactitude (aucune
erreur); la disponibilité (aucun retard): maintien de l'accessibilité en continu sans interruption ni
dégradation; la pérennité (aucune destruction): les données et logiciels existent et sont conservés le
temps nécessaire; la non-répudiation (aucune contestation).

II.2. Mise en place d'une politique de sécurité La sécurité des systèmes informatiques se cantonne
généralement à garantir les droits d'accès aux données et ressources d'un système en mettant en
place des mécanismes d'authentification et de contrôle permettant d'assurer que les utilisateurs des
dites ressources possèdent uniquement les droits qui leur ont été octroyés. Les mécanismes de
sécurité mis en place peuvent néanmoins provoquer une gêne au niveau des utilisateurs et les
consignes et règles deviennent de plus en plus compliquées au fur et à mesure que le réseau s'étend.

22Ghernaouti-Hélie S., Stratégie et protection des systèmes d'information, Page 20 Ainsi, la sécurité
informatique doit être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les
usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information
en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps
une politique de sécurité, dont la mise en oeuvre se fait selon les quatre étapes suivantes :

Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs
éventuelles conséquences ; Elaborer des règles et des procédures à mettre en oeuvre dans les
différents services de l'organisation pour les risques identifiés ; Surveiller et détecter les
vulnérabilités du système d'information et se tenir informé des failles sur les applications et matériels
utilisés ; Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une
menace.

o La confidentialité La confidentialité consiste à rendre l'information inintelligible à d'autres

personnes que les seuls acteurs de la transaction. La confidentialité est la protection des données
contre divulgation non autorisée maintien de secret des informations23. Il existe deux types
d'actions complémentaires permettant d'assurer la confidentialité des données : ( Limiter et
contrôler leur accès afin que seules les personnes habilitées à les lire ou à les modifier puissent le
faire ; ( Les rendre inintelligibles en les chiffrant de telle sorte que les personnes qui ne sont pas
autorisées à les obtenir ou qui ne possèdent pas les moyens de les déchiffrer ne puissent les utiliser.

23Ghernaouti-Hélie S., Sécurité informatique et réseaux, 3emeédition, DUNOD, Page 4 o Intégrité

Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées durant la
communication (de manière fortuite ou intentionnelle). o Authentification. L'authentification
consiste à assurer l'identité d'un utilisateur, c'est-à-dire de garantir à chacun des correspondants que
son partenaire est bien celui qu'il croit être. Un contrôle d'accès peut permettre (par exemple par le
moyen d'un mot de passe qui devra être crypté) l'accès à des ressources uniquement aux personnes
autorisées. L'authentification doit permettre de vérifier l'identité d'une entité afin de s'assurer entre
autres, de l'authenticité de celleci et qu'elle n'a pas fait l'objet d'une usurpation d'identité24. Avant
de chiffrer des données il est nécessaire de s'assurer que la personne avec laquelle on communique
et bien celle qu'elle prétend être. Plusieurs méthodes d'authentification sont possibles. Il a été
démontré qu'il existait des algorithmes symétriques et asymétriques pour chiffrer un message. De la
même manière, il existe des algorithmes symétriques et asymétriques pour assurer l'authentification.
II.3. Chiffrement ou Cryptographie Le chiffrement des données (la cryptographie) est l'outil
fondamental de la sécurité informatique. En effet, la mise en oeuvre de la cryptographie permet de
réaliser des services de confidentialité des données transmisses ou stockées, des services de contrôle
d'intégrité des données et d'authentification d'une entité, d'une transaction ou opération25. Le
chiffrement est l'opération par laquelle on chiffre un message, c'est une opération de codage. 24
Prof. IVINZA LEPAPA A.C., Notes de cours de Télématique II, L2 info, ISC-GOMBE, 2011 - 2012, Page 4
25GhernaoutiHélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, Page 131
Chiffrer ou crypter une information permet de la rendre incompréhensible en l'absence d'un
décodeur particulier. La cryptographie est une science qui consiste à écrire l'information (quelle que
soit sa nature : voix, son, textes, données, image fixe ou animée) pour la rendre inintelligible à ceux
ne possédant pas les capacités de la déchiffrer26. La sécurité d'un système informatique fait souvent
l'objet de métaphores. En effet, on la compare régulièrement à une chaîne en expliquant que le
niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible.
Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue. Cela
signifie que la sécurité doit être abordée dans un contexte global et notamment prendre en compte
les aspects suivants :

La sensibilisation des utilisateurs aux problèmes de sécurité ; La sécurité logique, c'est-à-dire la

sécurité au niveau des données, notamment les données de l'entreprise, les applications ou encore
les systèmes d'exploitation ; La sécurité des télécommunications : technologies réseau, serveurs de
l'entreprise, réseaux d'accès, etc. ;

La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées, lieux
ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc.

II.4. Algorithmes symétriques Les algorithmes à clé symétrique ou secrète sont des algorithmes où la
clé déchiffrement peut être calculée à partir de la clé de déchiffrement ou vice versa. Dans la plupart
des cas la clé de chiffrement et la clé de déchiffrement sont identiques. Pour de tels algorithmes,
l'émetteur et le destinataire doivent se mettre d'accord sur une clé à utiliser avant d'échanger des
messages chiffrés.

26Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, P. 132 [34] II.5.
Algorithmes asymétriques Les algorithmes asymétriques ou clé publique, sont différents. Ils sont
conçus de telle manière que la clé de chiffrement soit différente de la clé de déchiffrement. La clé de
déchiffrement ne peut pas être calculée à partir de la clé de déchiffrement. Ce sont des algorithmes à
clé public car la clé de chiffrement peut être rendue publique. N'importe qui peut utiliser la clé de
chiffrement pour chiffrer un message mais seul celui qui possède la clé de déchiffrement peut
déchiffrer le message chiffré. La clé de chiffrement est appelée clé publique est la clé de
déchiffrement est appelée clé privée. Dans les algorithmes à clé secrète, tout reposait sur le secret
d'une clé commune qui devait être échangée dans la confidentialité la plus total, alors que la
cryptographie à clé publique résout ce problème. L'algorithme asymétrique permet de réaliser
plusieurs fonctions de sécurité relatives à la confidentialité, l'intégrité, l'authentification et à la non-
répudiation. CHAPITRE II: VPN (Virtual Private Network) Section I. Généralités I.1. Définition a.
Réseau privé Couramment utilisés dans les entreprises, les réseaux privés entreposent souvent des
données confidentielles à l'intérieur de l'entreprise. De plus en plus, pour des raisons
d'interopérabilité, on y utilise les mêmes protocoles que ceux utilisés dans l'Internet. On appelle alors
ces réseaux privés « intranet >>. Y sont stockés des serveurs propres à l'entreprise en l'occurrence
des portails, serveurs de partage de données, etc. En général, les machines se trouvant à l'extérieur
du réseau privé ne peuvent accéder à celui-ci. L'inverse n'étant pas forcément vrai. L'utilisateur au
sein d'un réseau privé pourra accéder au réseau internet. b. Réseau privé virtuel Dans les réseaux
informatiques et les télécommunications, le réseau privé virtuel (Virtual Private Networking en
anglais, abrégé en VPN) est vu comme une extension des réseaux locaux et préserve la sécurité
logique que l'on peut avoir à l'intérieur d'un réseau local. Il correspond en fait à une interconnexion
de réseaux locaux via une technique de « tunnel >>. Nous parlons de VPN lorsqu'un organisme
interconnecte ses sites via une infrastructure partagée avec d'autres organismes. Il existe deux types
de telles infrastructures partagées : les « Publiques >> comme Internet et les infrastructures dédiées
que mettent en place les opérateurs pour offrir des servicesde VPN aux entreprises. C'est sur internet
et les infrastructures IP que se sont développées les techniques de « tunnel >>27. Il permet
d'échanger des données entre deux ordinateurs sur un réseau partagé ou public, selon un mode qui
émule une liaison privée point à point. 27
http://fr.wikidedia.org/wiki/Réseau_privé_virtuel/2012/17h45' Toutefois la plupart des entreprises
ne peuvent pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est
parfois nécessaire d'utiliser Internet comme support de transmission. Un bon compromis consiste à
utiliser Internet comme support de transmission en utilisant un protocole de "tunnellisation" (en
anglais tunneling), c'est-àdire encapsulant les données à transmettre de façon chiffrée. Nous parlons
alors de réseau privé virtuel pour désigner le réseau ainsi artificiellement créé. I.2. Concept de VPN
Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à une organisation, c'est-à-
dire que les liaisons entre machines appartiennent à l'organisation. Ces réseaux sont de plus en plus
souvent reliés à Internet par l'intermédiaire

d'équipements d'interconnexion. Il arrive ainsi que des entreprises éprouvent le besoin de

communiquer avec des filiales, des clients ou même des personnels géographiquement éloignés via
internet. Pour autant, les données transmises sur Internet sont beaucoup plus vulnérables que
lorsqu'elles circulent sur un réseau interne à une organisation car le chemin emprunté n'est pas
défini à l'avance, ce qui signifie que les données empruntent une infrastructure réseau publique
appartenant à différents opérateurs. Ainsi il n'est pas impossible que sur le chemin parcouru, le
réseau soit écouté par un utilisateur indiscret ou même détourné. Il n'est donc pas concevable de
transmettre dans de telles conditions des informations sensibles pour l'organisation ou l'entreprise.
La première solution pour répondre à ce besoin de communication sécurisé consiste à relier les
réseaux distants à l'aide de liaisons spécialisées. Ce réseau est dit virtuel car il relie deux réseaux
"physiques" (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les ordinateurs
des réseaux locaux de part et d'autre du VPN peuvent "voir" les données. Le système de VPN permet
donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en oeuvre des équipements
terminaux. En contrepartie il ne permet pas d'assurer une qualité de service comparable à une ligne
louée dans la mesure où le réseau physique est public et donc non garanti. I.3. Fonctionnement Le
VPN repose sur un protocole de tunnellisation, c'est-à-dire un protocole qui permet le passage de
données cryptées d'une extrémité du VPN à l'autre grâce à des algorithmes28. Nous employons le
terme « tunnel » pour symboliser le fait que les données soient cryptées et de ce fait
incompréhensible pour tous les autres utilisateurs du réseau public (ceux qui ne se trouvent pas aux
extrémités du VPN). Dans le cas d'un VPN établi entre deux machines, on appelle client VPN
l'élément permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur
VPN (ou plus généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du
côté de l'organisation. De cette façon, lorsqu'un utilisateur nécessite d'accéder au réseau privé
virtuel, sa requête va être transmise en clair au système passerelle, qui va se connecter au réseau
distant par l'intermédiaire d'une infrastructure de réseau public, puis va transmettre la requête de
façon chiffrée. L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local
qui va transmettre la réponse de façon chiffrée. A réception sur le client VPN de l'utilisateur, les
données seront déchiffrées, puis transmises à l'utilisateur. Pour émuler une liaison point à point, les
données sont encapsulées, ou enrobées, à l'aide d'un en-tête qui contient les informations de
routage pour leurs permettre de traverser le réseau partagé ou public jusqu'à leur destination finale.
Pour émuler une liaison privée, les données sont cryptées à des fins de confidentialité. Les paquets
interceptés sur le réseau partagé ou public restent indéchiffrables sans clé de décryptage. La liaison
servant à l'encapsulation et au cryptage des données privées est une connexion VPN. Ainsi, tous les
utilisateurs passent par le même "portail", ce qui permet de gérer la sécurité des accès, ainsi que le
trafic utilisé par chacun. En effet, malgré son aspect sécurisé, un réseau VPN reste une extension du
réseau principal vers chaque employé qui y accède, ce qui augmente d'autant le risque de failles.
Centraliser les entrées au réseau permet de renforcer la sécurité, et de mieux gérer la taille prise par
le réseau étendu. I.4. Méthode de connexion I.4.1. Le VPN d'accès Le VPN d'accès est utilisé pour
permettre à des utilisateurs itinérants d'accéder au réseau privé. L'utilisateur se sert d'une connexion
Internet pour établir la connexion VPN. Il existe deux cas: o Bralima demande au fournisseur d'accès
de lui établir une connexion cryptée vers le serveur distant : o il communique avec le Nas du
fournisseur d'accès et c'est le Nas qui établit la connexion cryptée ; o Bralima possède son propre
logiciel pour le VPN auquel il établit directement la communication de manière cryptée vers le réseau
de l'entreprise. Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients : La
première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs tunnels,
mais nécessite un fournisseur d'accès proposant un Nas compatible avec la solution VPN choisie par
l'entreprise. De plus, la demande de connexion par le Nas n'est pas cryptée ce qui peut poser des
problèmes de sécurité. Sur la deuxième méthode Ce problème disparaît puisque l'intégralité des
informations sera cryptée dès l'établissement de la connexion29. Par contre, cette solution nécessite
que chaque client transporte avec lui le logiciel, lui permettant d'établir une communication cryptée.

29 GHERNAOUTI HélieSolange, Guide de cyber sécurité pour les pays en développement, Edition
DUNOD, 2008. Quelle que soit la méthode de connexion choisie, Ce type d'utilisation montre bien
l'importance dans le VPN d'avoir une authentification forte des utilisateurs.

Figure 1 : VPN connectant un utilisateur distant à un intranet privé I.5. Topologie des V.P.N

Figure 2 : VPN connectant un utilisateur distant à un intranet privé Les VPN s'appuient
principalement sur Internet comme support de transmission, avec un protocole d'encapsulation et
un protocole d'authentification, au niveau des topologies, on retrouve des réseaux privés virtuels en
étoile, maillé ou partiellement maillé.

Dans cette topologie toutes les ressources sont centralisées au même endroit et c'est à ce niveau
qu'on retrouve le serveur d`accès distant ou serveur VPN, dans ce cas de figure tous les employés du
réseau s'identifient ou s'authentifient au niveau du serveur et pourront ainsi accéder aux ressources
qui se situent sur l'intranet.

Figure 4 : V.P.N maillé Dans cette autre topologie les routeurs ou passerelles présents aux extrémités
de chaque site seront considérés comme des serveurs d'accès distant, les ressources ici sont
décentralisées sur chacun des sites autrement dit les employés pourront accéder aux informations
présents sur tous les réseaux. I.5. Intérêt d'un VPN La mise en place d'un réseau privé virtuel permet
de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable
(Internet), comme s'ils étaient sur le même réseau local. Ce procédé est utilisé par de nombreuses
entreprises afin de permettre à leurs utilisateurs de se connecter au réseau d'entreprise hors de leur
lieu de travail. Nous pouvons facilement imaginer un grand nombre d'applications possible: o Les
connexions VPN offrent un accès au réseau local (d'entreprise) à distance et de façon sécurisée pour
les travailleurs nomades. o Les connexions VPN permettent d'administrer efficacement et de manière
sécurisé un réseau local à partir d'une machine distante ; o Les connexions VPN permettent aux
utilisateurs qui travaillent à domicile ou depuis d'autres sites distants d'accéder à distance à un
serveur d'entreprise par l'intermédiaire d'une infrastructure de réseau public, telle qu'Internet ; o Les
connexions VPN permettent également aux entreprises de disposer de connexions routées partagées
avec d'autres entreprises sur un réseau public, tel qu'Internet, et de continuer à disposer de
communications sécurisées, pour relier, par exemple des bureaux éloignés géographiquement ; o
Une connexion VPN routée via Internet fonctionne logiquement comme une liaison de réseau étendu
(WAN, Wide Area Network) dédiée. Les connexions VPN permettent de partager des fichiers et
programmes de manière sécurisés entre une machine locale et une machine distante.

Section II. Protocoles utilises et sécurité des VPN

Il existe plusieurs protocoles dit de tunnellisation qui permettent la création des réseaux VPN à savoir
: Comme nous allons le voir, les technologies les plus utilisés pour la création de tunnels sécurisés
pour tous types de flux sont PPP, PPTP, L2F, L2TP et IPSec. Pour la sécurisation par service, par
application, nous pouvons aussi utiliser des solutions du type HTTPS. Toutes ces méthodes vont être
détaillées dans ce qui suit. Les tunnels permettent d'envoyer des données d'un réseau à un autre.
Ces données peuvent être des paquets ou des trames, qui seront encapsulés dans un entête
supplémentaire par le protocole qui implémente le tunnel. Cet entête fourni les informations de
routage pour l'acheminement de la charge utile encapsulé, dans le réseau intermédiaire. Les tunnels
sont donc des chemins logiques emprunter au sein du réseau intermédiaire. Les trames ne sont pas
envoyées telles quelles, elles sont d'abord encapsulée par le protocole de tunneling, et décapsulé par
ce même protocole à l'arrivée. Le tunneling inclut donc tout un processus qui peut se résumer par
l'encapsulation, la transmission et la désencapsulation. La création d'un tunnel pour acheminer ces
données est subordonnée à l'utilisation d'un même protocole aux ordinateurs communicants (PPTP,
L2TP, IPSec).Le tunnel peut être créé de deux manières différentes : Le tunnel volontaire : crée sur
demande explicite d'un client pour la mise en place d'un VPN, dans ce mode de tunnel le client est un
point final du VPN. Le tunnel d'office : Crée d'office par le serveur d `accès réseau qui implémente le
protocole d'accès réseau VPN, dans ce cas l'ordinateur client n'est pas un point final du VPN. Le client
est le serveur d'accès réseau.

Figure 5 : Entête du réseau de transition a. PPP (Point To Point Protocol) Le protocole PPP (Point To
Point Protocol) est un ensemble de protocoles standard garantissant l'interopérabilité des logiciels
d'accès distant de divers éditeurs. Une connexion compatible PPP peut appeler des réseaux distants
par l'intermédiaire d'un serveur PPP standard de l'industrie. PPP permet également à un serveur
d'accès à distance de recevoir des appels entrants et de garantir l'accès au réseau à des logiciels
d'accès distant d'autres éditeurs, conformes aux normes PPP. Les normes PPP autorisent également
des fonctions avancées qui ne sont pas disponibles avec d'anciennes normes, notamment SLIP. Le
protocole PPP prend en charge plusieurs méthodes d'authentification ainsi que la compression des
données et leur cryptage. La plupart des versions du protocole PPP permettent d'automatiser
l'ensemble de la procédure d'ouverture de session. Le protocole PPP prend également en charge
plusieurs protocoles de réseau local. Nous pouvons utiliser TCP/IP ou IPX comme protocole réseau.
Toutefois, le protocole IPX/SPX n'est pas disponible sur Windows XP 64-Bit Edition. PPP est le
fondement des protocoles PPTP et L2TP utilisés dans les connexions VPN (Virtual Private Network)
sécurisées. PPP est la principale norme de la plupart des logiciels d'accès distant. b. PPTP (Point To
Point Tunneling Protocol) PPTP est un protocole réseau permettant un transfert sécurisé entre un
client distant et un serveur privé. Ceci est réalisé à l'aide d'un VPN basé sur TCP/IP. La technologie
utilisée est une extension du protocole PPP permettant l'accès à distance. PPTP et les VPN : PPTP
permet la création de VPN sur demande à travers des réseaux basés sur TCP/IP. Il peut de même être
utilisé pour créer VPN entre deux ordinateurs dans le même réseau local. PPTP est un protocole qui
encapsule les paquets PPP dans des datagrammes IP pour la transmission sur internet ou un autre
réseau public basé sur IP. Il peut même être utilisé pour des liaisons LAN to LAN.Les différents rôles
que le protocole PPTP peut assurer son listées ci- dessous :

a) PPTP permet la création des VPN sur demande sur des réseaux basé sur TCP/IP. b) PPTP peut être
utilisé sur un même réseau local entre deux machines. c) PPTP peut utiliser comme support pour la
création de VPN aussi bien Internet que le réseau téléphonique public (PSTN). d) PPTP offre une
communication encryptée, sûr à travers ces deux réseaux publics. e)

PPTP simplifie les accès longs distances pour les utilisateurs distants. Scénario typique d'une
connexion PPTP. a) Besoin d'un client (client PPTP), distant ou mobile de se connecter au réseau
privé de l'entreprise b) Connexion du client au serveur NAS de l'ISP (1èreconnexion PPP). c) Création
de la liaison VPN appelé tunnel, avec le serveur PPTP, cette liaison est matérialisée par une deuxième
connexion au PPP sur la première connexion déjà existante. d) Envoi de donnée dans le tunnel sous
forme de datagrammes IP, contenant des paquets PPP. Figure 6 : Entête du réseau de transition Le
tunneling est le processus qui permet l'envoie de données dans un réseau public, depuis un client
PPTP vers un serveur PPTP qui est connecté tant au réseau public qu'au réseau privé de l'entreprise.
Lorsque le serveur reçoit des paquets PPTP par le biais du réseau public, il les analyse et détermine
dans le paquet PPP encapsulé, l'adresse de l'ordinateur à qui ils sont destinés. Les paquets
encapsulés peuvent contenir plusieurs protocoles qui sont TCP/IP, IPX, etc.

Figure 7 : Entête du réseau de transition Nous pouvons accéder à un réseau privé par l'intermédiaire
d'Internet ou d'un autre réseau public au moyen d'une connexion à un réseau privé virtuel (VPN)
utilisant le protocole PPTP (Point To Point Tunneling Protocol). Le protocole PPTP autorise le
transfert sécurisé des données d'un ordinateur distant vers un serveur privé en créant un réseau
privé virtuel entre des réseaux de données TCP/IP. Le protocole PPTP prend en charge les réseaux
privés virtuels multi protocoles à la demande sur des réseaux publics, tels qu'Internet. Développé en
tant qu'extension du protocole PPP (Point To Point Protocol), PPTP lui confère un niveau
supplémentaire de sécurité et de communication multi protocoles sur Internet. Ainsi, grâce au
nouveau protocole EAP (Extensible Authentication Protocol), le transfert des données par
l'intermédiaire d'un réseau privé virtuel compatible PPTP est aussi sûr qu'au sein d'un réseau local
d'entreprise. PPTP encapsule (fait passer par un tunnel) les protocoles IP ou IPX dans des
datagrammes PPP. Autrement dit, nous pouvons exécuter à distance des programmes tributaires de
protocoles réseau déterminés. Le serveur tunnel exécute l'ensemble des contrôles de la sécurité et
des validations, et active le cryptage des données, rendant ainsi beaucoup plus sûr l'envoi
d'informations sur des réseaux non sécurisés. Nous pouvons aussi recourir au protocole PPTP pour
mettre en communication des réseaux locaux privés.

Figure 8: Illustration d'une connexion VPN utilisant PPTP c. L2F (Layer TwoForwarding)

C'est un protocole de niveau 2, développé par Cisco Systems, Northern Telecom et Shiva. Il est
désormais quasiobsolète. d. L2TP (Layer Two Tunneling Protocol) Nous pouvons accéder à un réseau
privé par l'intermédiaire d'Internet ou d'un autre réseau public au moyen d'une connexion à un
réseau privé virtuel (VPN) utilisant le protocole L2TP (Layer Two Tunneling Protocol). L2TP est un
protocole de tunneling standard utilisé sur Internet qui possède pratiquement les mêmes
fonctionnalités que le protocole PPTP (Point To Point Tunneling Protocol). La version de L2TP mise en
oeuvre dans Windows XP est conçue pour s'exécuter en mode natif sur des réseaux IP. Cette version
de L2TP ne prend pas en charge l'encapsulation en mode natif sur des réseaux X.25, Frame Relay ou
ATM. Sur la base des spécifications des protocoles L2F (Layer TwoForwarding) et PPTP (Point To Point
Tunneling Protocol), Nous pouvons utiliser le protocole L2TP pour configurer des tunnels entre les
réseaux concernés. À l'instar de PPTP, L2TP encapsule les trames PPP (Point To Point Protocol)qui
encapsulent ensuite les protocoles IP ou IPX et permettent aux utilisateurs d'exécuter à distance des
programmes qui sont tributaires de protocoles réseau déterminés.

Figure 9: Illustration d'une connexion VPN utilisant L2TP e. IPSEC (Internet protocol security) 1)
Présentation et fonctionnement d'IPsec IPSec (Internet Protocol Security) est un protocole
fournissant un mécanisme de sécurisation au niveau de la couche réseau du modèle OSI. Il assure la
confidentialité (grâce au cryptage), l'authentification (qui permet d'être certain de l'identité de
l'émetteur) et l'intégrité des données permettant de s'assurer que personne n'a pu avoir accès aux
informations. IPSec permet de protéger les données et également l'en-tête d'une trame, en
masquant le plan d'adressage grace à l'ajout d'un en-tête IPSec à chaque datagramme IP30. IPSec de
par sa position, il agit sur chaque datagramme IP et permet ainsi d'offrir une protection unique pour
toutes les applications. Ce protocole est indissociable d`IPv6 est utilisable aussi sur IPv4 si le
fournisseur a choisi de l'implanter dans son produit31. Les concepteurs, S. Kent et R. Atkinson de
chez IETF (Internet Engineering Task Force) ont proposé une solution en novembre 1998 afin de
répondre aux besoins directs du développement des réseaux en matière de sécurité. En effet, en
sécurisant le transport des données lors d'échanges internes et externes, la stratégie IPSec permet à
l'administrateur réseau d'assurer une sécurité efficace pour son entreprise contre toute attaque
venant de l'extérieur. 2) Concept de base d'IPSec Le protocole IPSec est destiné à fournir différents
services de sécurité. Il permet grâce à plusieurs choix et options de définir différents niveaux de
sécurité afin de répondre de façon adaptée aux besoins de chaque entreprise. La stratégie IPSec
permettant d'assurer la confidentialité, l'intégrité et l'authentification des données entre deux hôtes
est gérée par un ensemble de normes et de protocoles : o Authentification des extrémités : Elle
permet à chacun de s'assurer de l'identité de chacun des interlocuteurs. Précisons que
l'authentification se fait entre les machines et non entre les utilisateurs, dans la mesure où IPSec est
un protocole de couche 3. o Confidentialité des données échangées : Le contenu de chaque paquet
IP peut être chiffré afin qu'aucune personne non autorisée ne puisse le lire. o Authenticité des
données : IPSec permet de s'assurer que chaque paquet a bien été envoyé par l'hôte et qu'il a bien
été reçu par le destinataire souhaité.

o Intégrité des données échangées :IPSec permet de vérifier qu'aucune donnée n'a été altérée lors
du trajet. o Protection contre les écoutes et analyses de trafic : Le mode tunneling permet de chiffrer
les adresses IP réelles et les entêtes des paquets IP de l'émetteur et du destinataire. Ce mode permet
ainsi de contrecarrer toutes les attaques de ceux qui voudraient intercepter des trames afin d'en
récupérer leur contenu. o Protection contre le rejet : IPSec intègre la possibilité d'empêcher un pirate
d'intercepter un paquet afin de le renvoyer à nouveau dans le but d'acquérir les mêmes droits que
l'envoyeur d'origine. Ces différentes caractéristiques permettent à l'hôte A de crypter ses données et
de les envoyer vers l'hôte B via le réseau, puis à l'hôte B de les recevoir et de les décoder afin de les
lire sans que personne ne puisse altérer ou récupérer ces données. 3) Application de l'IPSec au
modèle OSI Le mode tunneling d'IPSec est un protocole de couche 3 fournissant ses services pour
sécuriser l'IP qui est de même couche. Il a pour avantage d'offrir la protection des protocoles de
couches supérieurs TCP/IP. Il s'étend également aux protocoles de couches 2 comme L2TP et PPTP.Il
est utilisé: o entre deux routeurs, il permet de créer des VPN sécurisés, au-dessus d'un réseau public
pas forcément réputé pour sa fiabilité (comme l'internet) ; par exemple pour protéger les échanges
entre les différents sites ; o entre un serveur et un poste individuel relié par internet, il permet à un
utilisateur d'accéder à des données internes sans réduire le niveau de sécurité; par exemple pour un
administrateur désirant administrer ses machines lorsqu'il est en congé; o En interne pour protéger
une machine particulièrement sensible et pour réaliser un contrôle d'accès fort; par exemple pour
limiter l'accès à une autorité de certification à quelques postes de travail bien identifiés et en
protéger les communications32. 4) Modes de transit des données : transport et tunnel Ces deux
modes permettent de sécuriser les échanges réseau lors d'une communication. Néanmoins, le niveau
de sécurité le plus élevé est le mode tunnel. + Le mode transport offre essentiellement une
protection aux protocoles de niveaux supérieurs. En effet, ce mode ne modifie pas l'en-tête initial
dans la mesure où il ne fait que s'intercaler entre la couche IP et la couche transport ; + Le mode
tunnel intègre les fonctionnalités du mode transport et permet de protéger un ou plusieurs flux de
données entre utilisateurs internes ou connectés via un VPN (Virtual Private Network). Lorsqu'un
paquet de données est envoyé sur le réseau, le paquet est lui-même encapsulé dans un autre
paquet. 32 http://www.ietf.org/html.charters/ipsec On crypte alors le corps de ce nouveau paquet à
l'aide d'algorithmes de sécurités adéquats et on ne laisse en clair que l'entête contenant les adresses
IP publiques de l'émetteur et du destinataire.Le mode tunnel propose 2 protocoles de sécurité : o
PPTP (Point to Point Tunneling Protocol) : Ce protocole standard dans l'industrie a été pris en charge
pour la première fois par Windows NT 4.0. PPTP est une extension du protocole PPP (Point to Point
Protocol) qui s'appuie sur les mêmes mécanismes d'authentification, de compression et de cryptage
que PPP. o L2TP / IPSec : Celui-ci gère tous les types de trafic pour assurer l'encapsulation des
données. Il encapsule les paquets d'origine dans une trame PPP, en effectuant une compression
d'entête si possible, puis encapsule de nouveau dans un paquet de type UDP. IPSec et L2TP sont
associés afin d'assurer la sécurité et la tunnellisation des paquets sur n'importe quel réseau IP. Leur
association représente également une option garantissant la simplicité, la souplesse d'utilisation,
l'interaction et la sécurité.

Figure10 : Principe d'encapsulation des paquets 5) Principe d'échange de clés Internet (IKE)

La gestion des clés et la négociation des paramètres de sécurité est faite par IKE (Internet Key
Exchange). Dans le contexte des réseaux privés virtuels. IPSec permet donc de garantir la
confidentialité, l'authenticité ainsi que l'intégrité des données véhiculées à travers un tunnel33. Le
protocole IKE gère la sécurité en établissant un premier tunnel entre les 2 machines (le tunnel IKE).
La deuxième phase consiste à établir d'autres tunnels secondaires pour la transmission de données
utilisateur entre les 2 machines. L'authentification utilise les certificats d'ordinateur pour vérifier que
les ordinateurs sources et de destination s'approuvent mutuellement. Si la sécurité du transport
IPSec est correctement établie, L2TP négocie le tunnel, ainsi que la compression et les options
d'authentification de l'utilisateur, puis procède à un contrôle d'accès basé sur l'identité de
l'utilisateur. 6) Le piloteIPSec Nommé IPSEC.sys, le pilote IPSec doit également être présent sur
chaque poste Windows Client. Il permet de contrôler les paquets IP et d'effectuer les vérifications
avec les stratégies de sécurité locale et les filtres IP mis en place. 7) Processus d'établissement d'une
connexion Afin de mettre en place un processus d'établissement d'une connexion, faisons l'étude
d'un cas d'égal à égal : L'hôte A est un utilisateur itinérant qui se connecte via une liaison spécialisée
vers l'hôte B qui est un serveur de base de données interne à son entreprise. Cette connexion pour
des raisons de confidentialité et de sécurité doit être protégée. La sécurité IPSec est alors déployée
afin de garantir le cryptage des données et l'authentification des 2 hôtes. La connexion va donc se
dérouler en 6 étapes :
Figure 11 : Processus d'établissement d'une connexion + 1ère étape : L'hôte A cherche à télécharger
des données situées sur le serveur FTP. Pour ce faire, il lance une transaction vers ce dernier. Le
pilote IPSec de l'hôte A signale au service ISAKMP/Oakley que la stratégie de sécurité nécessite
l'IPSec. On utilise alors les stratégies utilisées par l'agent de stratégie dans la base de registre ; +
2ème étape : Le Service ISAKMP/Oakley des deux hôtes génère une clé partagée et une association
de sécurité (contrat de confiance) ; · : · 3ème étape : Les pilotes IPSec des deux hôtes prennent
chacun la clé et l'association ; · : · 4ème étape : Les données envoyées par l'hôte A sont cryptées
grâce à la clé (processus géré par le pilote IPSec) ; · : · 5ème étape : Le serveur hôte B reçoit les
données et les décrypte grâce au pilote IPSec qui connaît la clé partagée et l'association de sécurité ;
+ 6ème étape : Les données sont ensuite transmises à la couche d'application (couche 7 du modèle
OSI). f. Comparaison des différents protocoles Chaque protocole présenté permet de réaliser des
solutions performantes de VPN. Nous allons ici aborder les points forts et les points faibles de chacun
de ses protocoles. + VPN-Ssl Présentée comme la solution miracle pour permettre aux itinérants de
se connecter aux applications réparties de

l'entreprise les VPN-Ssl souffrent de problèmes principalement liés aux navigateurs web utilisés. Le
but d'utiliser des navigateurs web est de permettre aux utilisateurs d'utiliser un outil dont ils ont
l'habitude et qui ne nécessite pas de configuration supplémentaire. Cependant lorsqu'un certificat
expire l'utilisateur doit aller manuellement le renouveler. De plus sur la majorité des navigateurs web
la consultation des listes de certificats révoqués n'est pas activée par défaut : toute la sécurité de Ssl
reposant sur ces certificats ceci pose un grave problème de sécurité. Rien n'empêche de plus le client
de télécharger une version modifiée de son navigateur pour pouvoir utiliser de nouvelles
fonctionnalités (skins, plugins,...). Rien ne certifie que le navigateur n'a pas été modifié et que son
autorité de certification en soit bien une. Enfin Un autre problème lié à l'utilisation de navigateurs
web comme base au VPN est leur spécificité au monde web. En effet par défaut un navigateur
n'interceptera que des communications HTTPS ou éventuellement FTPS. Toutes les communications
venant d'autre type d'applications (Microsoft Outlook, Lotusnotes, ou une base de données par
exemple) ne sont pas supportées. Ce problème est généralement contourné par l'exécution d'une
application dédiée dans le navigateur. Mais ceci implique également la maintenance de cette
application (s'assurer que le client possède la bonne version, qu'il peut la télécharger au besoin).
L'idée suivant laquelle le navigateur web est une plate-forme idéale pour réaliser des accès VPN est
donc sérieusement à nuancer. + PPTP PPTP présente l'avantage d'être complètement intégré dans
les environnements Windows. Cependant comme pour beaucoup de produits Microsoft, la sécurité
est le point faible: o Mauvaise gestion des mots de passe dans les environnements mixtes Windows
95/NT ; o Faiblesses dans la génération des clés de session : réalisé à partir d'un hachage du mot de
passe au lieu d'être entièrement générées au hasard. (facilite les attaques « force brute ») ; o
Identification des paquets non implémentée : vulnérabilité aux attaques de type « spoofing » + L2tp /
IPSec Les mécanismes de sécurité mis en place dans IPSec sont plus robustes et plus reconnus que
ceux mis en place par Microsoft dans PPTP. Par défaut le protocole L2tp utilise le protocole IPSec.
Cependant si le serveur distant ne le supporte pas L2tp pourra utiliser un autre protocole de sécurité.
Il convient donc de s'assurer que l'ensemble des équipements d'un VPN L2tp implémente bien le
protocole IPSec.IPSec ne permet d'identifier que des machines et non pas des utilisateurs. Ceci est
particulièrement problématique pour les utilisateurs itinérants. Enfin IPsec à cause de la lourdeur des
opérations de cryptage/décryptage réduit les performances globales des réseaux. L'achat de
périphériques dédiés, coûteux est souvent indispensable.
CHAPITRE III. : PRESENTATION DE L'ENTREPRISE

Notre 3ième chapitre sera notre miroir en ce sens qu'il nous aidera à avoir une vision d'ensemble sur
la BRALIMA. C'est dans cette partie que nous parlerons des points tels que : la situation
géographique, l'historique, l'objectif, mission, l'activité principale, activité secondaire et la structure
organique de l'entreprise Bralima. Nous ne pouvons pas commencer avec tous ces détails sans vous
signifier d'où est venu le mot « Bralima » ; en effet, BRALIMA signifie : Brasserie, Limonaderies et
Malterie ». III.1. Situation géographique et juridique La BRALIMA est une industrie chimique
alimentaire de 3ème catégorie dont ses installations de Kinshasa sont situées au n° 1 de l'avenue du
Drapeau dans la Commune de Barumbu.La BRALIMA est une société à caractère privé, à savoir une
société par action à responsabiliser limité (Sarl). III.2. Historique Après la première guerre mondiale,
quelques hommes d'affaires belges cherchent à placer des capitaux au Congo - Belge. Etant
suffisamment informé du projet du gouvernement général qui consiste à l'introduction d'une boisson
alcoolique adéquate aux indigènes afin de remplacer pour ainsi dire l'alcool distillé <notamment le
lotoko, le Aggénet> se fermentant dans les conditions douteuses dont la consommation produit des
effets nuisibles à l'organisme humain. Avec l'appui de la Banque de Bruxelles, un capital de 4.000.000
Fc (franc congolais) fut financé en date du 23 octobre 1923 afin de créer une brasserie nommée «
Brasserie de Léopoldville », le staff comptait 30 nationaux, 2 belges, 1 français, 1 suisse et Monsieur
DUMOULAIN était le premier directeur.

Presque 3 ans après ces financements, les congolais du Congo - Belge pouvaient déjà siroter la
première bière produite ici à Léopoldville dont la sortie officielle le 24 décembre 1926 avec une
production de 35.000 bouteilles de bière par mois, chiffre qui est passé à 125.000 bouteilles à 1945.
A partir de 1950, la BRALIMA subit une expansion spectaculaire en installant des brasseries à
l'intérieur du pays avec des agences ci-après : 1. Bukavu en 1950 2. Kisangani en 1957 3. Boma en
1958 4. Mbandaka en 1972 5. Lubumbashi en 1992 Sans oublier que la société créa aussi d'autres
brasseries en dehors du pays tels que : à Brazzaville (1952), à Bujumbura (1954), etc. Nous avons
précisé que la société était depuis sa création sous le contrôle d'industriels belges. Mais en 1987,
cette société appartenait désormais au groupe Heineken (créé à Amsterdam, Pays-Bas, 15/2/1964
par Mr Gérard Adrian Heineken) ; qui est devenu actionnaire majoritaire. Le progrès est tellement
visible si bien que de 1992 à 1998, la BRALIMA achète d'autres sociétés concurrentes telles que : La
C.I.B (Compagnie industrielle de Boissons), embouteilleur des boissons Coca Cola en 1992 ; l'usine de
l'UNIBRA de Kisangani en 1996, la société BONAL (Boissons nationales), embouteilleur des boissons
Pepsi Cola et Mirinda en 1998. A noter que malgré ces progrès, la société a enregistré aussi beaucoup
de cas de difficultés depuis sa création jusqu'aux années 1933 dont nous allons brosser quelques cas
échantillonnés :

L'interdiction de la vente de la bière aux indigènes par le gouvernement général ; La qualité de la

bière locale était moins bonne par rapport à d'autres bières importées de l'époque ; Le prix de la
bière était fortement élevé (presque à 5,75 Francs par bière), alors que le paiement journalier d'un
travailleur était à 2 Francs ; Le manque de pasteurisation de la bière (ce qui signifie qu'elle ne devait
être consommée qu'à Léopoldville et non en dehors de la ville et à l'époque, précisément en 1925, la
ville comptait 27.000 habitants dont 1.500 non africains) ; La crise économique mondiale qui battait
son plein avec tous ces revers.
Mais la situation changera avec l'arrivée du 2è Directeur de la société, Monsieur VISEZ qui dirigea la
brasserie de 1933 à 1956. Il redressa la qualité, la bière fut désormais pasteurisée. Il y a eu donc
possibilité de la vendre à l'intérieur du pays. C'est ce qui a fait qu'on atteignit la production de
1.500.000 bières par an. C'est pourquoi, malgré le mouvement de l'indépendance des années 1960,
les dirigeants de la BRALIMA comme un seul homme entonnèrent leur devise : « Nous sommes au
Congo-Léopoldville à Brazzaville, au Rwanda et au Burundi pour y rester ». Par conséquent, l'outil
doit être entretenu, les cadres encouragés, assuré le recrutement, faire prospérer les marchés et
s'investir pour une période meilleure. Mais avec la zaïrianisation du système économique du pays des
années 1970 les choses n'ont pas été aussi bonnes ainsi pour l'entreprise car il y a eu rétrocession.
III.3. Objectif et mission La société BRALIMA Sarl a comme objectifs : - la fabrication et la
commercialisation de la bière (toute sa gamme), des boissons gazeuses et de l'eau de table ; - la
production et la commercialisation des blocs de glace et par la fermentation de la bière. Elle produit
aussi le CO2 (gaz carbonique). Par son bon fonctionnement et son activité, la BRALIMA contribue à
soutenir l'économie et la politique nationale car pour la fabrication de ses produits, la BRALIMA
utilise la main d'oeuvre locale, paie les impôts lui attribués à l'Etat congolais.

En outre, la BRALIMA par le souci du développement du grand Congo travaille en partenariat avec
des prestataires des services qui évoluent dans le secteur de PME (petites et moyennes entreprises)
qui lui fournissent des services et aussi des matières premières tels que : entretien de ses machines,
la décoration des espaces publicitaires, riz, etc. La BRALIMA assure un paiement régulier de salaire à
ses agents et par cet acte elle coopère avec l'idée du gouvernement qui dans son plan a établi un
plan dans la lutte contre le chômage et la pauvreté. III.4. Activités C'est dans cette rubrique que nous
allons vous exposer ce que fait concrètement la BRALIMA. Dans la gamme de ses produits de marque
et vous allez y remarquer peut-être certaines précisions en rapport avec les dates de fabricants du
produit. En cela, nous avons souhaité vous présenter l'activité de la BRALIMA en 2 volets : le premier
vous parlera sur son activité principale et le second sera consacré à son impact social que nous
qualifierons ici de l'activité secondaire. III.4.1. Activité principale Comme nous l'avons dit ci-haut, la
BRALIMA produit une diversité des boissons, telles que : les bières, les limonades, eau de table.
Ajoutons à cela la fabrication et la commercialisation des blocs de glace. Dans sa gamme des bières
elle produit les marques ci-après classées par leurs années de parution : - Primus parue en 1926 -
Mützig parue en 1989 - Guinness parue en 1993 - Amstel parue en 1995 - Légend parue en 2008 -
Turbo King - et la bière Heineken de la firme Heineken (bière importée). Dans sa gamme des
limonades, nous avons : Coca-Cola, Fanta ananas, Fanta rouge, Fanta grenadine, Sprite, Schweppes
Soda, Schweppes Tonic, Vital'o grenadine, Maltina (2000), eau de table Vital'o et Fayrouz (Ananas et
pommes) en mars 2012. Les étapes du processus dans la fabrication sont assurées par des machines
industrielles pilotées par des automates programmables industriels dont l'ensemble favorise et
assure l'hygiène et la propreté des produits jusqu'à leurs étapes de finissage. La tâche du processus
de la fabrication jusqu'à la livraison au magasin est appelée : Ligne, et la BRALIMA en compte 5 ici
dans son emplacement actuellement à Kinshasa. La 3ème fut inaugurée par Monsieur GIZENGA, le
premier Ministre honoraire du gouvernement de la 3e République. A titre d'information, pour
fabriquer la bière, la BRALIMA utilise des matières premières comme le malt, des céréales, du sucre,
du houblon et de l'eau qui doivent passer en 4 stades afin d'avoir la bière en produit finie. Ces 4
étapes sont : le brassage, la fermentation, la garde et la filtration.

Le brassage : C'est l'opération qui consiste à concasser et à cuire le malt et les céréales afin d'obtenir
un jus sucré, un peu amère stérile et stable qu'on appelle « Moût ».
La fermentation et la garde : Le moût est refroidi et oxygéné puis fermenté par la levure. La
fermentation est anaérobie et exothermique et conduit à la formation de la bière. Puis cette bière est
dépouillée de levures et gardée en basse température afin d'affirmer son goUt.

La filtration : consiste à clarifier, donc rendre la bière brillante puis c'est dans cette étape qu'on
injecte le CO2 dans la bière afin de la protéger contre l'oxydation et maintenir le goUt, d'où
l'expression "carbonatation" est souvent utilisée.

III.4.2. Activité secondaire Par activité secondaire, nous sous-entendons ce que la BRALIMA fait dans
le cadre social. La BRALIMA oeuvrant en son sein avec un grand nombre d'ouvriers et ayant comme
consommateurs de ces produits, la population ; ne reste pas insensible dans ce secteur social.

A part le paiement de salaires à ses travailleurs et le paiement de leurs avantages sociaux, la

BRALIMA est parmi les entreprises premières dans la lutte contre le VIH/Sida. La BRALIMA a initié un
programme d'information et de sensibilisation des employés et des membres de leur famille contre
le Sida et elle met en place des activités de prévention et assure la prise en charge des personnes
séropositives. La Bralima a mis à la disposition de tous ses employés et de leurs familles un centre
médical moderne leur permettant de bénéficier des soins de qualité. La présence de la Bralima se fait
sentir aussi dans des dons en fournitures scolaires, dans l'aide aux nécessiteux (dans des orphelinats,
hôpitaux, homes de vieillards, enfants de la rue) par le biais de la Fondation Bralima. Depuis plusieurs
années avec Primus, la BRALIMA sponsorise les plus grandes stars de la musique congolaise et
s'investit dans la promotion des jeunes talents de la musique congolaise. III.5. Structure organique de
l'Entreprise : La Bralima est dirigée par un Administrateur Délégué qui constitue l'organe de
référence pour la bonne marche de la société. Dans l'exécution de ses multiples tâches. Il est assisté
et soutenu par différentes directions dont nous survolons les attributions.

III.6.Attribution et tâches a) L'Administrateur Délégué :

Engage la société envers l'Etat, les entreprises étatiques et privées ainsi que les tierces, manage la
politique de l'entreprise.

Contrôle la réalisation des objectifs. b) La Direction Financière:

Gère les finances (entrées et sorties des fonds à assurer le paiement. C'est dans cette direction que
se trouve le service de l'informatique où nous avions passé notre stage.

Achats, stockage et distribution des matières premières, pièces de rechange, emballage, équipement
et divers à Kinshasa ainsi vers les sièges.

L'importation de certaines matières premières (houblon, le malt, etc.) et autres, vers l'intérieur
(siège) la livraison. c) La Direction Marketing et commerciale :

Fait l'étude du marché (proposition) et la promotion des produits finis S'occupe de la vente et de la
distribution commerciale des produits finis (chaîne commerciale, c'est-à-dire suivi de la commande
au changement). e) La Direction des ressources humaines S'occupe de:

La gestion du personnel et familles (salaires, congés et voyages) engagement, formation,

licenciement, promotion et retraite des actes sociaux des agents : naissance, mariage et décès
d'agents, membres de famille.
Sécurité des patrimoines (matériels et humains). f) La Direction technique ou (technical
management) :

La production de tous les produits Bralima, c'est-à-dire de la fabrication à l'embouteillage (le

stockage et la gestion des magasins). L'entretien des équipements et maintenance des machines.
L'assainissement de l'environnement de

travail.

g) La Coordination médicale:

La santé du personnel et les membres de leur famille. f) La Direction « Executive Engineering »:

Investissements et de tous les projets techniques (de la conception à la réalisation). Suivi de

l'exécution des travaux neufs liés aux projets, etc. Toutes ces directions sont nettement classées par
des liaisons hiérarchique et fonctionnelle comme le montre cet organigramme de la Bralima selon la
révision du 4 février 2005 que nous avons reçue de la Direction de Ressources humaines.

[63] ll Cost Contr Sp rta An o Na Te c.C M Ma Ma g on vent sse Admo

III.8. Analyse de l'existant Une bonne compréhension de l'environnement informatique aide à

déterminer la portée du projet de conception d'une solution informatique. En effet, ces informations
affectent une grande partie des décisions que nous allons prendre dans le choix de la solution et de
son déploiement. Cette étude consiste à mettre à découvert, de façon aussi claire que possible,
l'analyse du fonctionnement actuel du réseau informatique. Cette analyse a pour but de recueillir les
données qui vont servir pour élaborer le diagnostic en vue de la recherche et de choix des solutions
ou de la solution34. En d'autres termes, cette analyse de l'existant a pour but la recherche des points
forts et des points faibles du système actuel, c'est-à-dire le système que la Bralima utilise. III.9.
Description des LANs existants La Bralima Sarl manipule fortement et grandement dans son
ensemble les données et les informations dont elle se sert entre ces différentes directions et
départements, pour cela elle ne dispose pas malheureusement d'un réseau informatique fiable et
sUr en son sein comme nous le remarquerons ici. III.8.1. Topologie et type de média

Etant une société qui ne veut pas aussi être en déphasage en arrière par rapport aux avancées
technologiques, la Bralima utilise la topologie en étoile avec son réseau Ethernet (IEEE 802.3) avec
ses différents noeuds ou concentrateurs. Et comme média, la Bralima utilise d'une part le cable
T568B à paire torsadée catégorie 5 de la norme IEEE 802.3 10/100 base configurée en câble droit ou
en câble croisé selon le besoin de l'utilisation qui se présente sur terrain. Et d'autre part à certains
endroits, il y a la présence du câblage en fibre optique multimédia accompagné des "convertisseurs
FE 10/100 Tx-100 Base Fx3T" situés à des différents bâtiments où ils sont placés afin de procéder à la
conversion du signal lumineux de la fibre optique en signal électrique de la paire torsadée et vice-
versa. C'est à cause des avantages ci-après que la présente la fibre optique par rapport à l'UTP : - une
grande bande passante - une faible alternation - bonne adaptation de liaison entre répartiteur
(liaison centrale entre plusieurs bâtiments) - immunité au bruit - bon débit (100 Mbps) - pas de mise
sur écoute. 1. Câble coaxial35

35ANGELINE KONE., Mémoire : « Conception et déploiement d'une architecture réseau sécurisé»,

2011. Le câble coaxial est largement utilisé comme moyen de transmission. Ce type de câble est
constitué de deux conducteurs concentriques : un conducteur central, le coeur, entouré d'un
matériau isolant de forme cylindrique, enveloppé le plus souvent d'une tresse conductrice en cuivre.
L'ensemble est enrobé d'une gaine isolante en matière plastique. Il est utilisé pour les transmissions
numériques en bande de base sur quelques kilomètres avec une impédance caractéristique de 50
Ohm. On en fait également usage de ce support pour les transmissions analogiques en mode large
bande avec une impédance caractéristique de 75 Ohm. Deux types de ce support se distinguent: >
gros coaxial : 10 base 5 ; il peut faire cas d'une épine dorsale de 100 stations maximum par segment,
5 segments maximum, 500 m maximum et 2,5 m minimum ;

> coaxial fin : 10 base2 ; 230 stations maximum par segment, 5 segments maximum, 185 m maximum
et 50 cm minimum. Si vous câblez en coaxial fin, il faut vérifier que les cartes possèdent un
connecteur BNC ou prise vampire. Il faut placer un bouchon à chaque extrémité du réseau (donc
deux bouchons) ils sont indispensables pour des raisons d'indépendance. Le câble coaxial offre de
bons débits (de l'ordre des Gbits/s), une bonne immunité par contre les équipements utilisés sont
onéreux et leur mises en place difficile. 2. Câble paire torsadée36 Celui-ci est un ancien support de
transmission utilisé depuis très longtemps pour le téléphone ; il est encore largement utilisé
aujourd'hui. Ce support est composée de deux conducteurs en cuivre, isolés l'un de l'autre et
enroulés de façon hélicoïdale autour de l'axe de symétrie longitudinale. Cet enroulement autour de
l'axe de symétrie permet de réduire les conséquences des inductions électromagnétiques parasites
provenant de l'environnement dans lequel la paire torsadée remplit sa fonction de transmission.
Couramment ; il est utilisé pour desservir les usagers du service téléphonique abonnées du service
public ou usagers des réseaux privés. Les signaux transmis par l'intermédiaire des paires torsadées
peuvent parcourir plusieurs dizaines de kilomètres sans amplification ou régénération. Quand
plusieurs paires torsadées sont rassemblées dans un même câble, les signaux électriques qu'elles
transportent interfèrent plus ou moins les uns sur les autres par rayonnement : phénomène de
diaphonie. Elle est souvent blindée à fin de limiter les interférences, de ce fait on distingue cinq types
de paires torsadées: o Paire torsadée non blindée (UTP en anglais): Dénomination officielle (U/UTP);
elle n'est pas entourée d'un blindage protecteur. Ce type de câble est souvent utilisé pour le
téléphone et les réseaux informatiques domestiques ; o Paire torsadée blindée (STP en
anglais):Dénomination officielle U/FTP. Chaque paire torsadée est entourée d'une couche
conductrice de blindage, ce qui permet une meilleure protection contre les interférences. Elle est
fréquemment utilisée dans les réseaux token ring ; o Paire torsadée écrantée (FTP en anglais)
officiellement connu sous la dénomination F/UTP. L'ensemble des paires torsadées ont un blindage
commun assuré par une feuille d'aluminium, elle est placée entre la gaine extérieure et les quatre
paires torsadées. On en fait usage pour le téléphone et les réseaux informatiques ; o Paire torsadée
écrantée et blindée (SFTP en anglais), nouvelle dénomination S/FTP. Ce câble est doté d'un double
écran commun à toutes les paires ; o Paire torsadée super blindée (SSTP en anglais), nouvellement
connu sous la dénomination S/FTP. C'est un câble STP doté en plus d'un écran commun entre la gaine
extérieur et les quatre paires. La bande passante d'un câble à paire torsadée dépend essentiellement
de la qualité de ses composants, de la nature des isolants et de la longueur du câble. L'UTP est
normalisé en diverses catégories qui sont ratifiées par les autorités internationales de normalisation
ANSI/TIA/EIA. Ces catégories sont :

Catégorie 1 : câblage abonné, destinée aux communications téléphoniques ; elle n'est plus
d'actualité ; Catégorie 2 : câblage abonné, offrant une transmission des données à 4 Mbit/s avec une
bande passante de 2Mhz ; utilisé pour les réseaux token ring ; Catégorie 3 : offre une bande passante
de 16Mhz, elle est reconnue sous la norme ANSI/TIA/EIA-568B. utilisée pour la téléphonie analogique
que numérique et aussi pour les réseaux Fast Ethernet (100Mbps), il est aujourd'hui à l'abandon au
bénéfice de la catégorie 5e; Catégorie 4 : permettant une bande passante de 20 Mhz, elle fut utilisée
dans les réseaux token ring à 16 Mbps ; Catégorie 5 : permettant une bande passante de 100Mhz et
un débit allant jusqu'à 100 Mbps ; Catégorie 5e : elle peut permettre un débit allant jusqu'à 1000
Mbps avec une bande passante de 100 Mhz, apparue dans la norme TIA/EIA-568B ; Catégorie 6 :
permettant une bande passante de 250 Mhz et plus ; Catégorie 6a : une extension de la catégorie 6
avec une bande passante de 500 Mhz, permettent le fonctionnement du 10 GBASE-T sur 90mètres ;

Catégorie 7 : elle offre une bande passante de 600 MHz ; Catégorie 7a : elle offre une bande passante
de 1 Ghz, avec un débit allant jusqu'à 10 Gbps.

L'utilisation de la paire torsadée nécessite des connecteurs RJ45. Son câblage universel (informatique
et téléphone), son faible coût et sa large plage d'utilisation lui permet d'être le support physique le
plus utilisé. 3. Fibre optique37

37Documentation technique du Département Informatique à la Bralima Sarl L'intégration de la fibre

optique dans le système de câblage est liée au fait que celle-ci résout les problèmes d'environnement
grâce à son immunité aux perturbations électromagnétiques ainsi qu'à l'absence d'émission
radioélectrique vers l'environnement extérieur. De par ses caractéristiques, l'introduction de la fibre
optique a été intéressante pour des applications telles l'éloignement des points d'utilisation,
l'interconnexion des sites multibâtiments, la confidentialité pour des applications sensibles. La fibre
optique est composée d'un cylindre de verre mince : le noyau, qui est entourée d'une couche
concentrique de verre : la gaine optique. Deux types de fibre optique: + La fibre multimode :
composée d'un coeur de diamètre variant entre 50 et 62.5 microns. Principalement utilisée dans les
réseaux locaux, elle ne s'étend pas sur plus de deux kilomètres. Sa fenêtre d'émission est centrée sur
850, 1300 nanomètres ; Elle supporte de très larges bandes passantes, offrant un débit pouvant aller
jusqu'à 2.4Gbps ; aussi elle peut connecter plus de station que ne le permettent les autres câbles.
L'inconvénient est qu'il est onéreux et difficile à installer ; + La fibre monomode : elle a un coeur
extrêmement fin de diamètre 9 microns. La transmission des données y est assurée par des lasers
optiques émettant des longueurs d'onde lumineuses de 1300 à 1550 nanomètres et par des
amplificateurs optiques situés à intervalles régulier. Les fibres monomodes les plus récentes sont
compatibles avec la technologie de multiplexage dense en longueur d'ondes DWDM. C'est celle que
l'on utilise sur les liaisons à longue portée car, elles peuvent soutenir les hauts débits sur des
distances de 600 à 2000 km par contre son câblage est onéreux et difficile à mettre en place. certains
cas la nécessité d'un autre support de communication se fait sentir. Ainsi, pouvons également utiliser
une: + Liaison radio LAN (R-LAN - WIFI) qui utilise une bande de fréquence de 2.4 Ghz. Ce lien est
utilisé dans des architectures en étoile où les stations sont équipées d'une carte PCMCIA et le
concentrateur d'une antenne (borne sans fil), est connecté au réseau câblé. Ces liaisons sont régies
par la norme IEEE 802.11 et la distance maximale station-borne se situe entre 50 et 200 m. En
fonction des spécifications, les débits maximales sont de l'ordre de : 11 Mbits/s, partagé (802.11b) ;
54 Mbits/s (802.11a). L'usage de ce type de support est fait à l'intérieur de bâtiment pour assurer
une liaison provisoire (portables, salle de conférence), pour des locaux anciens où il est impossible
d'effectuer un câblage). Les problèmes liés à ce support sont le débit limité qu'il offre et la sécurité
qui n'est pas fiable (contrôle de l'espace de diffusion, etc.). Lorsque ce support est déployé pour les
MAN, on parle de boucle local radio ; + Liaison laser : Il permet d'implémenter des liaisons point à
point (interconnexion des réseaux), la distance entre les sites peut varier de 1 à 2 km sans obstacles ;
les débits pouvant aller de 2 à 10 Mbits/s. Elle n'est pas soumise à des conditions météorologiques
par contre le réglage de la direction des faisceaux reste problématique ; + La liaison laser peut être
mise place essentiellement dans le cas d'un environnement ouvert, sans obstacle. Tandis que la
liaison radio s'applique à toute sorte de configuration. Cette fibre optique relie les tronçons : de
l'informatique à : La Direction commerciale, la DRH, la DG/SEM jusqu'au Centre médical, Magasin
logistique, Magasin pleins, Magasins vides, Garage, Mera, la fabrication, la Direction Technique,
EBAC, la sécurité et au Mera où il y a un WLAN qui fait la liaison avec la Boukin. III.8.2. Le Service
Informatique : De l'Administrateur délégué en passant par d'autres directions jusqu'à la sécurité (à la
sortie du dépôt). Tous les bureaux de la Bralima sont reliés entre eux par un réseau local qui
contribue grandement au progrès de cette société. Le service informatique à sa dimension a un
impact lié au destin de la société, car son apport est tellement présent et visible dans
l'interchangeabilité des données et de l'information au sein de la Bralima, dans la conception et
l'élaboration des programmes répondant au besoin de l'entreprise, etc. III.8.3. Structure interne : Le
Service de l'informatique étant une entité travaillant au sein de la Bralima, il bénéficie en son sein
d'une organisation bien élaborée que nous voulons présenter : A la tête du Service, il y a un ICT
Manager dont le rôle sert à dicter la politique du

département en matière de nouvelles technologies et implémentation de nouveaux progiciels.

Coordonne, centralise, supervise et rapporte auprès de la direction de finance et générale. Le service
de l'informatique contient 4 sous services :

Projet Manager : + Aide le chef de Service à l'élaboration du budget ; + S'occupe de nouveaux projets
de centralisation du groupe HEINEKEN ; + conseil ISHA. Consulting ISHA & Développement : qui
travaille dans la maintenance et développement des progiciels, et de chaîne commerciale (ISHA) qui
est un logiciel des données intégrée (comptabilité, commerciale, production, etc.) ; Système,
communication et exploitation : + Assure l'exploitation journalière de la chaîne commerciale (ISHA) ;
+ installation et suivie des logiciels de communication du Groupe HEINEKEN et de l'environnement
générale logiciels (installation, mise à jour, maintenance). Maintenance & réseau : qui s'occupe de
l'étude, déploiement et suivi du réseau informatique d'une part et de l'entretien et maintenance des
équipements informatiques d'autre part.

III.8.4. Organigramme : Comme nous l'avons évoqué ci-haut, voici comment se constitue
l'organigramme du Service de l'informatique :

III.10. Matériels et logiciels utilisés Voici ci-dessous le tableau présentant les matériels utilisés dans
différentes Directions, Départements et Services au sein de la Bralima.

Direction Nbre des Pcs Marques Types HDD Imprimantes Mémoires RAM Dir. Générale 18 Dell P IV
40 GO 2 LaserJets 1 Deskjet 512 MB Dir. RH 13 Dell P IV 80 GO 4 LaserJets 1 Deskjet 512 MB Dir.
Techn 58 Dell P IV 40 GO 4 LaserJets 1 Deskjet 512 MB DMC 48 Dell P IV 40 GO 10 LaserJets 6
Deskjets 512 MB Dir. Fin. 63 Dell P IV 80 GO 7 LaserJets 3 Deskjets 512 MB Dir. Méd 10 Dell P IV 40
GO 3 LaserJets 1 Deskjet 512 MB

III.9.1. Logiciels utilisés

Système d'exploitation : Windows Srvice Pack III ; Pcs Marques Types HDD Imprimantes
MémoiesSystème d'exploitation réseau : Windows 2003 Server ; RAM IV 40 GO 2 512 MB Microsoft
Office 2010 ; Adobe Réader 9.0 ; Antivirus Norton ; De P I Microsoft Navision ; Lotusnotes.

III.11. Réseaux informatiques existants III.12. Critiques de l'existant La critique de l'existant est un
jugement objectif portant sur l'organisation actuelle de l'entreprise qui vient d'être présenté38.
Comme nous pouvons le constater sur ce schéma décrit ci-haut, nous remarquons que cette
architecture manque d'autres éléments importants et il est mal représenté par rapport à la réalité de
l'entreprise. Ce réseau doit être plutôt subdivisé en trois secteurs, à savoir : Bralima LAN, la DMZ et
Kimpoko LAN. La DMZ (Demilitarized zone ou Zone démilitarisée) est un sous réseau constitué
principalement des ordinateurs serveurs et isolée par un pare-feu, comprenant des machines se
situant entre un réseau interne (LAN) et un réseau externe. Elle permet à des machines d'accéder à
Internet et/ou de publier les services sur internet sur le contrôle de Pare-feu externe. Dans notre cas,
nous devons avoir un serveur de fichiers (FTP), un serveur de données, un serveur d'impression, un
serveur d'antivirus, un serveur de DNS, un serveur de messagerie (lotusnotes) ils assurent tous
l'échange des informations entre les employés de l'entreprise, un serveur de Navision, etc. Le parc
informatique qui est constitué des ordinateurs de bureau et des ordinateurs portables. Les
informations de l'entreprise arrivent par l'antenne VSAT situé sur le bâtiment abritant la direction
financière, elles sont directement envoyées au commutateur qui lui, les envoient à un serveur en
fonction bien entendu de la nature de l'information (données, etc.) à son tour le serveur concerné
route l'information à l'ordinateur au destinataire. Les informations provenant du réseau externe
(internet) sont préalablement analysées par le pare-feu avant d'être acceptée dans le réseau ou tout
simplement rejetée. III.11.1. Besoins de l'entreprise L'information est à la base de toutes prises de
décisions que ce soit pour mesurer le taux de satisfaction de la clientèle et surtout d'accroitre la
vente afin d'atteindre l'objectif. C'est la raison pour laquelle la Bralima ne peut que tirer avantage de
se doter d'un réseau VPN site-à-site, moyen efficace dans le traitement de l'information. III.13.
Proposition des solutions retenues Nous avons opté pour la solution VPN site-à-site qui consiste à
mettre en place une liaison permanente, distante et sécurisée entre deux ou plusieurs sites de la
Bralima ; afin de résoudre au mieux aux différentes préoccupations manifestées par les responsables
informatiques de la Bralima et aussi pour pallier aux différents problèmes relevés au niveau de la
critique de l'existant.

Mettre en avant le nombre d'utilisateurs potentiels du lien VPN, les applications concernées et le
débit maximum à consommer. Faire un monitoring des flux de données et une gestion des priorités
doit s'adapter aux différents usages et aux remontées des utilisateurs ; la gestion de la bande
passante et des équipements ; mettre en place un mécanisme de surveillance et de détection de
connexion suspecte qui s'établie sur un lien VPN. Il est néanmoins important de préciser que la
solution retenue garantie la confidentialité, la sécurité et l'intégrité des données sur des canaux
privés. Cette solution VPN site-à-site permet d'obtenir une liaison sécurisée à moindre coUt, si ce
n'est la mise en oeuvre des équipements terminaux. La solution VPN site-à-site permet de mettre à
niveau, à moindre coût, les architectures multipoints utilisant le réseau commuté limité en bande
passante et généralement obsolètes, employée par la Bralima. La mise en place d'un VPN permettra
de distribuer un accès à Internet et des applications Web depuis leurs emplacements. Les VPN site-à-
site étendent le WAN à moindre coût et en toute sécurité vers des entités non desservies, telles que
des succursales et des partenaires commerciaux (extranet). La solution VPN site-à-site de Cisco,
totalement intégrée et composée d'un équipement unique, peut être déployée et configurée en
toute simplicité. Chapitre IV. : CONCEPTION DU NOUVEAU SYSTEME D'INFORMATION Lors de
l'analyse de l'existant, notre souci majeur était celui de déceler les anomalies et de les corriger; c'est
ce que nous venons de faire en concevant un nouveau système d'information. IV.1. Les différents
types de flux Un réseau intersites est généralement amené à véhiculer des données issues de
différentes applications générant plusieurs types de flux39. IV.2. Les flux de type conversationnels
Les applications conversationnelles sont les plus courantes dans les mondes Unix et TCP/IP. Le
protocole de niveau session est Telnet. Le principe repose sur l'envoi d'un caractère avec écho
distant. Une session étant établie entre un poste de travail et une machine, tout caractère frappé au
clavier est envoyé à la machine, traité par cette dernière et enfin renvoyé tel quel pour affichage, et
éventuellement avec d'autres attributs. Chaque caractère peut en effet déclencher une action
comme l'affichage d'une fenêtre40.

Figure n°12 : Les flux conversationnels Le type de flux qui en résulte est par conséquent irrégulier,
dépend de l'activité de l'utilisateur et est composé de trames courtes. Le temps de réponse est donc
primordial pour ce type d'application. Celui-ci se doit d'être le plus régulier possible, le principe étant
qu'un utilisateur s'habitue à un temps de réponse, même mauvais, pourvu qu'il soit régulier. IV.2. Les
flux de type transactionnels Les applications transactionnelles sont les plus courantes pour les
grandes applications ; historiquement elles sont les premières. La technique consiste à envoyer un
écran de saisie vers un terminal, de réaliser la modification en local, puis de renvoyer les données
modifiées vers le site central. Ces opérations sont contrôlées par un logiciel appelé moniteur
transactionnel41.

Figure n°13 : Les flux transactionnels Les flux générés sont caractérisés par un trafic descendant (site
central vers terminal) plus important que le

trafic montant (les données modifiées à destination du site central). La ligne est mobilisée peu
souvent (une à trois transactions par minute) le transfert d'un écran (2 à 4 Ko) requiert la presque
totalité de la bande passante pendant quelques millisecondes42. IV.3. Les flux de type transferts de
fichiers Ces flux sont caractérisés par des échanges soutenus et des trames longues. Leurs
occurrences peuvent être prévisibles, dans la mesure où la majorité des transferts de fichiers sont
souvent associés à des traitements automatiques qui ont lieu en dehors des heures ouvrées, par
exemple lors de la sauvegarde ou de la synchronisation de bases de données43.

41 J.L. MONTAGNIER, Architectures des réseaux longues distances, Page, Page 297 42Idem, Page 297
43MONTAGNIERJ.L., Pratique des réseaux d'entreprise : du câblage à l'administration, du réseau local
aux réseaux télécom, Eyrolles, Paris, 97, Page 298 Flux contenu de données

Machine B

Machine A

Figure n°14 : Les flux de type transferts de fichiers

IV.4. Les flux clients/serveurs Le concept client/serveur se décline en réalité en plusieurs modèles :
La base de données et la logique applicative sont situées sur le serveur. Le poste client soumet une
requête et attend les résultats, qui, seuls, transitent par le réseau.

Le serveur héberge la base de données, et la logique applicative réside sur le poste client. La
puissance de traitement est donc reportée sur les postes clients. Les échanges sur le réseau sont
aussi fréquents que les manipulations de la base.

La logique applicative et les données sont réparties entre le serveur et le client. La procédure
d'interrogation consiste à extraire tout ou partie de la base de données centrale, puis à opérer des
traitements complexes sur la base de données locale. Le réseau n'est sollicité que lors des extractions
de la base de données. La synchronisation des bases peut intervenir en dehors des heures ouvrées44.
1. Démarche pour la conception d'un réseau Le choix d'un réseau dépend souvent d'un compromis
coût/performance, les éléments techniques étant indissociables des éléments économiques, qui
constituent des arguments décisifs pour le choix d'une solution45.

44 Idem, Page 298 45J.L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a
l'administration, du réseau local aux réseaux télécom, Eyrolles, Paris, 1997, Page 300. 2. Identification
des applications Cette phase consiste à synthétiser les résultats de l'analyse de l'existant et à traduire
qualitativement ces données sous forme de flux prévisionnels. Il s'agit ici de caractériser les flux de
chaque application (type, périodicité) et d'identifier les acteurs qui émettent et ceux qui reçoivent.46
Tableau 1 : Caractériser les flux applicatifs

Application De < - >Vers Objet Type de flux Système Périodicité

Base de données

DG <-> Kimpoko

Base de référence a la DG

Client /Serveur Unix, Win 5P2

Mise a jour TLN Consultation TU

Messagerie Intra-Région et InterRegions

Gestion de l'annuaire centralisée

Transfert de fichiers (Word, Excel, etc.)

Lotusnotes Echange entre bureaux toutes les 30 min

IV.1.2. Estimation de la volumétrie Les flux doivent ensuite être quantifiés, soit à partir de données
existantes, soit sur la base d'hypothèses. Si on part d'un réseau existant, soit pour l'optimiser, soit
pour le faire évoluer, le consultant peut s'appuyer sur des statistiques indiquant les volumes
échangés entre deux sites47. La volumétrie est calculée différemment selon le type de flux. Souvent,
elle doit ~tre extrapolée à partir d'informations D V bj T d Sè Pédiié partielles. Ce travail doit donc
être réalisé indépendamment ase de Mse à jour TLN pour chaque application que le réseau intersites
sera susceptible de Kimpoko référencevéhiculer. Ces résultats doivent ensuite être consolidés sous
forme nées Client /Seveur Unx, Win Consultation TLJ à DG de matrice de flux présentant les volumes
échangés entre chaque SP2 site. L'échelle de temps généralement utilisée est le mois ; cette
périodicité permet en effet de lisser les variations. Intra-Région Gstion de Transfert de La volumetrie
globale pour un site est generalement issue d'une volumétrie unitaire estimée pour un utilisateur et
Régions centralisée Excel, etc les min calculée par la formule48 : Vj = Vu x U

47J.L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a l'administration, du réseau

local aux réseaux télécom, Eyrolles, Paris, 1997, Page 300. Vj : est le volume journalier à calculer pour
un site ; Vu: est le volume journalier estimé pour un utilisateur ; U : est le nombre d'utilisateurs pour
un site donné. Tableau 2 : Estimation de la volumétrie

Applications Estimation de la volumétrie Calcul de capacité de fichier/jour Messagerie 8 messages

par utilisateur et par jour 1600 Ko Transferts de fichiers 60 % des utilisateurs ou 40 % des
applications = 100 Ko par jour 6000 Ko Total 7600 Ko

IV.1.3. Volumétrie liée à la messagerie Les volumes de données générés par une messagerie
bureautique peuvent être modélisés sur la base des hypothèses suivantes :

Environ 8 messages par jour et par utilisateur à destination d'un autre site (20 % des messages sont à
destination d'un site extérieur, 80 % restent locaux) ; Environ 100 Ko par message. Cette valeur
dépend beaucoup de l'utilisation qui est faite de la messagerie au sein de la société. Plus celle-ci est
utilisée, plus les messages ont tendance à être importants (pièces jointes) ; La taille de l'annuaire est
basée sur 100 octets par utilisateur ; Synchronisation hebdomadaire (voire toutes les nuits) de
l'annuaire : transfert depuis les sites distants vers le siège (si la gestion est décentralisée),
consolidation de l'annuaire, puis transfert depuis le siège vers les sites distants.

Les messageries bureautiques transportent les messages sous forme de copies de fichiers entre les
serveurs bureautiques. La périodicité des échanges dépend du paramétrage ; elle est généralement
comprise entre 5 et 30 minutes. Ces transferts de fichiers occupent donc régulièrement la bande
passante des liens.

IV.1.4. Volumétrie liée aux transferts de fichiers La volumétrie liée aux transferts de fichiers dépend
des applications présentes au sein de la société. Son évaluation repose donc sur une analyse précise
de l'existant et/ou des besoins. Elle peut être modélisée sous la forme 60 % des utilisateurs réalisant
l'équivalent d'un transfert de 6000 Ko par jour à destination d'un site distant. IV.1.5. Volumétrie liée
aux applications transactionnelles site central. Dans la plupart des cas, on peut estimer qu'un
utilisateur échange 100 à 200 écrans de 2 Ko à 4 Ko par jour avec le site central. Cette évaluation est
bien sûr éminemment variable selon le contexte à considérer. La taille des écrans varie, par exemple,
en fonction des applications, et la fréquence des échanges en fonction du type de travail de
l'utilisateur (saisie intensive, consultation, etc.). Il convient donc d'estimer la volumétrie moyenne à
partir de tests. IV.1.6. Volumétrie liée aux applications transactionnelles Même remarque que pour
les applications transactionnelles, sauf que la taille des pages varie entre 4 Ko et 100 Ko, une page
pouvant contenir des images GIF (fixes ou animées). En prenant en compte les fichiers GIF, JPG et
HTML, la moyenne constatée est de 4 Ko. Si l'on se réfère aux transferts de fichiers réalisés à partir
d'Internet (documents .pdf, .docx ou txt), la moyenne constatée est de 100 Ko. IV.1.7. Volumétrie
liée à d'autres services Différents services peuvent emprunter le réseau intersites, notamment en
provenance de sites rattachés dans le cas où les passerelles de communication sont centralisées.
IV.1.8. Dimensionnement des liens49 Le mode de calcul de la bande passante requise pour une
application dépend du type de flux qu'elle génère. Elle est basée sur la volumétrie estimée lors de la
phase précédente. Pour dimensionner une liaison, il convient tout d'abord d'estimer les besoins en
termes de débit instantané. La formule généralement admise pour le calculer est la suivante : Bp = Vj
x Th x Ov x x x (8 x 1,024)

L'explication des paramètres est la suivante : Bp : est la bande passante instantanée que l'on veut
calculer pour une liaison et qui est exprimée en Kilo bits par secondes (Kbps) Vj : est le volume
journalier estimé en kilo - octets (Ko). Cette valeur est la somme des flux devant circuler sur le lien
considéré et le maximum pris entre les flux montant et descendant. Th : est le coefficient permettant
de calculer le trafic ramené à l'heure chargée. Ov : est l'over Head dO aux protocoles de transport. Tu
: est le taux maximum d'utilisation de la bande passante du lien. Le rapport 1/3600 permet de
ramener la volumétrie sur une heure en secondes tandis que le rapport 8 * 1,024 permet de
convertir les kilobits (1 octet = 8 bits, 1 Ko = 1024 octets et 1000 bits = 1Kb)50. Calculer les débits
Pour dimensionner une liaison, il convient d'estimer les besoins en termes de débit instantané. La
formule de calcul généralement admise est la suivante :

49J. L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a l'administration, du réseau

local aux réseaux télécom, Eyrolles, Paris, 1997, Page 302 - 303

50J. L. MONTAGNIER, Pratique des réseaux d'entreprise : du câblage a l'administration, du réseau

local aux réseaux télécom, Eyrolles, Paris, 1997,, Page 303 La signification des paramètres est la
suivante : Bp : est la bande passante instantanée calculée pour une liaison exprimée en Kbit/s. Vj : est
le volume journalier, estimé en Ko. Cette valeur représente la somme des flux devant circuler sur le
lien considéré (le maximum pris entre les flux montants et descendants). Th : est un coefficient
permettant de calculer le trafic ramené à l'heure chargée. On considère généralement que le trafic
journalier est concentré sur une heure chargée. Cette hypothèse part du constat que, sur 8 heures de
travail, les utilisateurs sont les plus actifs sur deux périodes de pointe, entre 08 h et 11 h, et entre 15
h et 16 h. Les valeurs généralement admises sont comprises entre 20 % et 30 % du trafic journalier
concentré sur une heure. Ov est l'overhead généré par les protocoles de transport (TCP, IP, PPP). Ce
coefficient est généralement affecté d'une valeur de 20 %. Il tient compte des en-têtes et des
paquets de service (acquittements, etc.). Le taux maximal d'utilisation de la bande passante du lien.
Cette correction permet de prendre en compte le fait que l'on utilise rarement 100 % du débit
nominal d'un lien. Ce taux est généralement fixé à 80 % de la bande passante, ce qui donne un
surdimensionnement du lien de l'ordre de 25 %. Pour des liaisons à haut débit, ce taux peut atteindre
90 %.

Le rapport 1/3600 permet de ramener la volumétrie sur une heure en secondes, tandis que le
rapport 8*1024 permet de convertir les kilo-octets en kilobits (1 octet = 8 bits, 1 Ko = 1024 octets et
1000 bits = 1 kilobit). Si l'on prend la valeur standard pour ces paramètres, la formule devient : Bp :
7600 x 30% x 20% X (8x1,024) Bp : 7600 x 0,3 x 0,2 x 1,25 x 0,00028 x 8,192 Bp : 1,307443 Kbps Pour
ce faire, la bande passante sera de 1,307443 Kbps. En ce qui concerne le cas de notre réseau, il y aura
un certain nombre des routeurs tout en sachant qu'un réseau VPN site-àsite, qu'il soit en mode
infrastructure. La communication entre les différentes la Direction générale et le site s'effectue par le
moyen de la tunnellisation, configurée dans un réseau en mode infrastructure et au niveau des
stations dans un réseau VPN site-à-site. Le VPN IPsec, reposant sur le protocole de cryptage IPsec.
Dans ce cas, il n'y a pas séparation logique, mais création d'un tunnel crypté qui garantit la
confidentialité des informations vis-à-vis des autres utilisateurs. IV.1.9. Choix du réseau de transport
Le choix d'un réseau de transport est souvent le résultat d'une étude de coUt. L'approche peut être
réalisée de plusieurs façons. Le choix d'un réseau de transport dépend essentiellement du mode de
facturation (basé sur la volumétrie et/ou des temps de connexion), des débits souhaités et aussi de la
topologie retenue51. Etant donné que les fournisseurs du réseau de transport (Providers) en
République Démocratique du Congo définissent ou proposent au préalable une bande passante eu
égard au nombre des machines à utiliser, nous étions obligés dans le cadre de ce projet d'adopter
cette façon de voir les choses. Cela étant, nous avons pu visiter l'entreprise Fournisseur d'Accès
Internet, qui est la Global Broadband Solutions ; qui a attiré notre attention par rapport aux
renseignements qui nous ont été fournis lors de notre passage. IV.1.10. Choix des matériels
Techniquement, la meilleure solution repose sur les routeurs Cisco dans le cas de notre projet,
d'autant plus que ces matériels permettent également le pontage. L'intérêt du routeur est de
segmenter l'espace d'adressage des protocoles routables et de permettre un contrôle précis des flux
grâce à ses fonctionnalités de filtrage et de priorité. Ces dernières technologies apportent une nette
amélioration dans l'efficacité du contrôle de flux réseaux. Outre les mécanismes de filtrage, les
routeurs Cisco peuvent également se voir dotés de mécanismes de sécurité

permettant l'utilisation d'un réseau public non sûr comme lien de transit, tout en assurant la
confidentialité, l'intégrité des informations et l'authentification de l'émetteur.

IV.3. Conception d'une solution d'administration La mise en place d'une administration de réseau
doit être menée comme tout projet, avec rigueur et méthode. Avant toute mise en oeuvre préalable
doit répondre à la question : « l'administration, pour quoi faire ? »52.

52MONTAGNIER J. L., Pratique des réseaux d'entreprise : Conception d'une solution d'administration,
Eyrolles, Paris, 1997, Page 334 4.3.1. Administration des équipements L'administration est une tâche
qui requiert que le réseau soit fonctionnel et que les différents services soient implémentés. Avant
d'entrer dans le vif du sujet il serait primordial de rappeler ce qu'il faut administrer dans le réseau :
les hommes (administrateurs et utilisateurs), la configuration des équipements, le dépannage, les
stations d'administration, la sécurité. Ces tâches d'administration peuvent être d'après l'ISO,
reparties sur cinq axes : o La gestion de la configuration réseau (configuration management) : il
convient de gérer la configuration matérielle et logicielle du réseau pour en optimiser l'utilisation ; de
permettre des configurations à distance via des outils adéquats et le stockage des différentes
configurations ; les serveurs ftp sont très souvent sollicités pour cette tâche ; o La gestion des
anomalies: l'administration a pour objectif d'avoir un réseau opérationnel sans rupture de service, ce
qui définit une certaine qualité de service ; on doit être à mesure de localiser le plus rapidement
possible toute panne ou défaillance pour pouvoir y remédier ; o La gestion des performances
(performance management) : consiste à contrôler à tout moment le réseau pour observer s'il est en
mesure d'écouler le trafic pour lequel il a été conçu. Le délai, le débit, le taux d'erreur, la disponibilité
sont autant des paramètres à prendre en compte pour l'évaluation ; o La gestion de la sécurité
(security management) : on gère ici les contrôles d'accès au réseau, la confidentialité des données
qui y transitent, leur intégrité et leur authenticité pour pouvoir les protéger contre tout
dysfonctionnement, toute inadvertance ou toute malveillance. Un enregistrement de l'activité des
utilisateurs plus précisément les événements significatifs, les actions interdites ou sensibles peut
s'avérer nécessaire ; o La gestion de la comptabilité (accounting management) : Evaluation de la
consommation des ressources réseaux en fonction de la durée, du volume à des fins de facturation
ou d'identification des stations saturant la bande passante. Dans un réseau d'envergure,
l'administration est fondamentale. Lors de la surveillance sur le réseau, les relevés du trafic doivent
rester confidentiels afin d'éviter toute atteinte à la vie privée des utilisateurs. Nous pouvons utiliser
des outils pour l'administration du réseau car il en existe une panoplie tant du domaine privé que
public. Chaque outil ayant un but particulier, il incombe à l'administrateur de bien savoir ce qu'il veut
obtenir. 1. Spécification technique La mise en place d'un réseau VPN site-à-site doit être structurée
et la plus simple possible. La vue topologique du réseau doit permettre de visualiser la constitution
des réseaux et leurs interconnexions, d'un point de vue géographique par site. L'aspect opérationnel
doit être également abordé, c'est-à-dire savoir quel est le volume des données échangées entre
utilisateurs, etc. 2. Organisation de l'exploitation La définition et la mise en place d'une structure
d'exploitation est intimement liée au contexte de l'entreprise53. Le but est ici d'indiquer la manière
d'appréhender les impacts techniques d'une organisation et non pas la définition ellemême. 3.
Architecture du réseau Nous avons jugé bon d'utiliser le réseau centralisé ou en étoile dans lequel
tous les sites, qualifié de distants sont raccordés à un même site54.Pour mettre en place cette
architecture nous allons nous attarder sur deux grandes parties : 1. Les différentes configurations, à
savoir : De Bralima (SITE1), de Kimpoko (SITE2), de l'interface WAN, de l'interface LANs, du NAT. Ici,
nous utiliserons le protocole IPSec, principal protocole permettant d'implémenter et de déployer des
VPN.;

53MONTAGNIERJ.L., Architectures des réseaux longues distances, 1997, Paris, Page 350 54Idem,
Page 285 2. La configuration du serveur DNS plus particulièrement son module « Active Directory »
car c'est celui-ci qui nous permettra de gérer le temps de connexion des utilisateurs dans le système
et à l'internet.

A. Aspects matériels Pour mener à terme ce projet, plusieurs ressources matérielles seront
sollicitées. Outre le dispositif à prévoir pour la connexion entre les sites et le siège, l'achat de
nouveaux ordinateurs à qui on donnera des rôles précis est à envisager. Le souci de haute
disponibilité peut être satisfait entre autres, par la mise en place d'un réseau VPN site-à-site dont
l'avantage est la sécurité.

Un routeur CISCO System, un ordinateur serveur, Connexion internet, Wireless, link, Network,
Switch, Desktop, Laptop.

B. Aspects logiciels Nous avons utilisé le système d'exploitation Microsoft Windows 2003 Serveur
pour l'implémentation de la solution. Nous avons privilégié Microsoft Windows 2003 Serveur pour
mettre en place nos serveurs à cause de sa simplicité. Afin de communiquer sur le réseau la carte
doit être configurée. Nous ne verrons ici que le paramétrage utilisant le protocole TCP/IPv4. Pour ce
qui concerne les systèmes d'exploitation utilisés, Microsoft® Windows 2003 ServerTM est
actuellement installé sur les serveurs de messagerie, de Navision, de base de données et le Windows
SPIII pour les différents postes clients. Concernant le progiciel utilisé; Microsoft Navision est un outil
de base adapté dans un environnement distant. C. Aspects techniques Lorsque nous avons pris
connaissance de matériels que la Bralima utilise dans son réseau, cela nous a amené à proposer un
certain nombre d'équipements répondant aux aspects techniques pour que la solution VPN site-à-
site puisse être mise en place afin que la fiabilité et la sécurité des informations échangées soient en
permanence au sein de la Bralima. Etude de faisabilité et configurations ; Etude de faisabilité Pour
avoir une interconnexion des réseaux à faible coût mais pour un fort niveau sécurité, nous choisirons
de travailler avec un VPN site-à-site. Le coût d'un VPN est un avantage pour différentes raisons :

Pas de liaisons physiques comme les LAN (Local Area Network) ; Pas de points d'accès comme les
Wireless ; Les différents LAN d'un VPN sont connectés sur Internet mais selon le cas de l'Entreprise et
de sa taille : ADSL, RTC, RNIS ; donc pas de problème de budgétisation ; Passage de l'Entreprise à une
phase de gestion dynamique, collaborative et en temps réel: donc, plus fiable et constructive.

La réalisation de notre projet de mise en place d'un réseau VPN site-à-site dépend de plusieurs
facteurs, humains, financiers, matériels et logiciels. Gérer ce projet nous amène à l'organiser avec la
méthode appropriée, de sorte que l'ouvrage réalisé par le maître d'oeuvre réponde aux attentes du
maître d'ouvrage et qu'il soit livré dans les conditions de coût et de délai prévus initialement. Pour ce
faire, la gestion de projet a pour objectifs d'assurer la coordination des acteurs et des tâches dans un
souci d'efficacité et de rentabilité. a) Facteur humain Le maître d'oeuvre est l'auteur du projet ; il
assure la direction des travaux et peut en être l'architecte. Une fois son projet validé par le maître
d'ouvrage qui auprès de lui tient un rôle de patron, le maître d'oeuvre est responsable du bon
déroulement des travaux et joue un rôle de conseil dans le choix des entreprises qui vont les réaliser.
Il est responsable du suivi des délais et des budgets selon les modalités définies dans le cahier des
clauses administratives particulières. Dans notre cas, à la Bralima, le Département Informatique de la
Direction financière tient ce rôle pour ce qui est du projet réel de conception d'un réseau VPN site-
àsite. Le maître d'ouvrage reviendra à la Bralima. Dans le cadre de notre travail, le maître d'oeuvre
est assuré par l'entreprise Global Broadband Solution Congo. Le maître d'ouvrage est tenu par la
Bralima, qui se comporte dans ce cas comme le commanditaire du projet. Une fois le projet réalisé et
livré, il est important de déléguer la responsabilité du suivi du système mis en place à un personnel
spécial du Département Informatique. b) Contraintes matérielles Pour mener à terme ce projet,
plusieurs ressources matérielles seront sollicitées. Outre le dispositif à prévoir pour la connexion
entre les sites et le siège, l'achat de nouveaux ordinateurs à qui l'on donnera des rôles précis.

Le souci de haute disponibilité peut être satisfait entre autres, par la mise en place d'un réseau VPN
site-à-site dont l'avantage est la sécurité. Dans l'optique de prévenir des pannes liées au niveau des
indicateurs de performance, les serveurs sur lesquels seront implémenter les opérations devront
avoir un minimum de performances considérées comme ligne de base. Il faudra aussi penser aux
interruptions de courant électrique. Pour ce faire, l'achat d'onduleurs pour les ordinateurs et d'un
groupe électrogène serait d'une grande nécessité. d) Contraintes financières Les difficultés
financières dépendent des besoins matériels, logiciels et humains. En effet, pour mener au bout un
projet de réseau VPN site-à-site entre sites distants, il faut s'assurer de la possibilité du budget alloué
de pouvoir entre autres : + avoir une connexion internet stable et constante ; + avoir un dispositif
adéquat pour l'interconnexion ; + mettre en place une liaison permanente, distante et sécurisée ; +
avoir des ordinateurs respectant une certaine ligne de base ; + un monitoring des flux et une gestion
des priorités doit s'adapter aux différents usages ; + avoir un personnel formé pour assurer la
maintenance à la fois matérielle et logicielle de la solution ; + organiser les priorités des différents
flux; + la gestion de la bande passante et des équipements. Chapitre V : REALISATION DU PROJET Ce
chapitre nous permet de faire une étude de fonds en comble du projet qui a été soumis à notre
étude. Nous ne pouvons bien évidement pas revenir sur les détails de l'étude complète d'un projet,
mais nous travaillerons sur les parties fondamentales faisant ressortir les points saillants du travail
qui nous a été confié. L'infrastructure VPN site-à-site est de nos jours très peu répandu pourtant elle
apporte une nouvelle approche dans la méthode de transfert des données, elle revêt ainsi un
caractère novateur pour les entreprises qui ont opté pour un partage optimal et sécurisé de leur
information. Partant du fait que le nombre de personnes et le budget alloués à ce projet sont très
bas, il sera considéré comme un petit projet malgré le fait que sa durée soit relativement élevée.
Section I : Cadrage du projet I.1. Identification du projet

A. Intitulé du projet : Mise en place d'un réseau VPN site-à-site est une solution peut être déployée et
configurée en toute simplicité. B. Définition : Il est question ici de proposer un moyen sécurisé et sûr
d'échange de données entre deux hôtes différents avec la possibilité de gérer l'accès de connexion à
l'internet des utilisateurs.

C. Cahier de charge Définit comme un acte, le cahier de charge est un document de référence qui
permet à un dirigeant d'entreprise, d'une organisation de préciser les conditions ou les exigences
d'un projet à accomplir ou une tâche à exécuter par un consultant en vue de résoudre un problème
spécifique ou améliorer une situation donnée tout en déterminant les résultats. D. Motif :
L'engouement qu'engendre l'architecture VPN/IPSec se fait de plus en plus présent dans les
entreprises de la place et surtout chez celles qui ont ce besoin naturel de fidéliser leur clientèle en
leur proposant un service toujours disponible et de meilleures qualités. Il est nécessaire de noter ici
que la solution VPN/IPSec ou plus précisément le protocole IPSecsera implémenter aux extrémités de
chaque réseau sur le routeur servant de passerelle entre l'intranet et internet.

I.2. Objectifs

Notre projet vise plusieurs buts, mais il existe deux

principaux : ( Permettre à la Bralima Sarl d'échanger de manière fiable et sécurisée les informations
entre ses différents réseaux à partir du serveur sur lequel les utilisateurs s'authentifieront ;
( Permettre aux clients de la Bralima Sarl ou aux clients VPN d'accéder au réseau internet de façon
contrôlée. La réalisation du projet soumis à notre étude s'échelonne sur une période de 16 semaines
(4 mois) à compter du 1 mars 2011. Date de début : 1 Juillet 2012 et date de fin au plus tard : 31
Octobre 2012. I.3. Les moyens Ici, il est question de moyens financiers concernant le coût de
réalisation de ce projet qui est reparti entre le coût des appels téléphoniques, les déplacements et le
matériel indispensable. Le présent tableau apporte un résumé des dépenses effectuées en termes de
matériels :

Quantité Designation Prix unitaire/$ Prix total/$ 2 Routeur Cisco System 1800 Series 1.200 2.400 2
Switch Fla net de 8 ports 150 300 7 Serveur HP Prolion ML 350 Desktop Pentium 4(microprocesseur
2,7Ghz, écran 21" SVGA, HOD 500 Gb, 6 ports USB, DvD-RW+ 40/56X, modèle boitier ATX, Ram
SDRAM DIMMS 4 Gb, 5 Baies pour stockage externe) 5.400 37.800 6 Desktop P4, marque DELL,
(microprocesseur 2,7Ghz, écran 17", HDD 250 Gb, 6 ports USB, DvD-Rom, modèle boitierATX, Ram
SDRAM 2 G b) 850 5.100 2 Seconde Carte réseau pour le serveur 85 170 2 Firewall Check point 105
210 4 Catalyst 4507 R - E Cisco 175 700 2 AntenneVSATl.2m 4.200 8.400 2
OnduleurAPCSmartUPSVT2OKVA 870 1.470 1 Carton de cable UTP RJ4S 150 150 2 Hub 24 Ports pour
connexion LAN 175 300 Total hors taxes (THT) 57.000 TVA(16%) 9.120 Total toute taxe comprise
(TTC) 66.120 Qté Designation Caractéristique Prix unitaire/$ Prix total/$ 1 Système d'exploitation
pour le serveur Cisco Windows 2003 Serveur Edition Entreprise 1.150 1.150 1 Système d'exploitation
pour le poste de travail Windows XP SP3 Edition familiale 450 450 2 Antivirus Norton Antivirus 2012
pour work station. CPU: Pentium IV ou plus, Espace disque : 64 MB, Espace mémoire : 128 MB,
compatible Windows XP/NT/Vista/Seven 350 700 1 Provider Global Broad Band Solution 1200

Total hors taxes (THT) 3.500 TVA (16 %) 560 Total toute taxe comprise (TTC) 4.060

Le présent tableau apporte un résumé des dépenses effectuees pour la formation des agents de la
Bralima Sarl.

Utilisateurs oitation Windo Prix par erveu

rise

utilisateurs

50 Total/$

ploitation Cadres ti 4 45 1.250 e travai fam Subalternes 6 1.250 orton Anivirus 2012 Total général
2.500

Coût global du projet IV o plus, Esp D'une façon synthétique, nous présentons toutes les Windows
sommes que les autorités de la Bralima doivent mobiliser pour XP/NT/Vista/eve ovider Global
BroadBd Solution 1200 l'acquisition des matériels, logiciels et pour la formation des utilisateurs : [98]
Coût total matériels : 66.120 $ USD 1. Coût total logiciels : 4.060 $ USD 2. Coût total formation : 2.500
$ USD 3. Total = 66.120 $ USD + 4.060 $ USD + 2.500 $ USD 72.680 $ USD 4. Imprévu 10 % du
montant total = 7.268 $ USD 5. Total général = 79.948 $ USD Le montant total en lettre : Septante
neuf mille neuf cent quarante-huit dollars américains. Rappelons que ce coût est dérisoire, car il ne
prend pas en compte le coût de l'élaboration d'un cahier de charges de façon complète et
professionnelle ainsi que celui du travail technique effectué. En effet, il s'agit ici d'un projet qui
s'inscrit dans le cadre de la rédaction d'un mémoire académique de fin d'étude. + Les échéances
intermédiaires Pour mesurer l'évolution du projet, nous ferons des comptes rendus hebdomadaires.
I.3. La technique Pour réaliser ce projet, nous nous sommes appuyés non seulement sur les
expériences acquises au cours de notre formation, de quelques personnes ressources, sur internet,
mais aussi sur les forums ou la plupart de nos difficultés ont été étayés. I.5. Management du projet

Maîtrise d'ouvrage : BRALIMA SARL

Maîtrise d'oeuvre : Global Broadband Solution Experts : Monsieur Robert MATENDO I.6. Planification
Le diagramme de GRANTT permet de planifier le projet et de rendre plus simple le suivi de son
avancement. Cette méthode visuelle est efficace lorsqu'il s'agit de lister une vingtaine de tâches.
Nous avons utilisé GANTT pour notre planification, mais bien avant nous avons nommé les
différentes tâches, leurs durées ainsi que leurs précédences. Le tableau ci-après illustre les dites
tâches, il est suivi du tableau de niveaux ainsi que de celui de la répartition des ressources.

Tâches Désignations Précédences Durées /Jrs A Prise de contact - 1 B Analyse de l'existant A 12 C

Critique de l'existant B 7 D Proposition de solution B,C 7 E Etude de faisabilité D 7 F Elaboration du
cahier de charge E,F 7 G Appel d'offre G 10 H Dépouillement des offres H 2 I Acquisition des matériels
F,G 35 J Mise en place de la solution proposée I,J 11 K Mise au point et test K 3 L Lancement du
système L 1 M Formation du personnel M 25
Ce planning donne une décomposition purement statique, il ne tient pas compte du temps et par
conséquent ne s'attache pas à l'ordonnancement des activités. Il permet une présentation
analytique, le projet est décomposé jusqu'à obtention des activités bien définies et faciles à gérer.

I.7.Planning prévisionnel de la réalisation du projet Il est important à tout ingénieur dans le domaine
de réseau, de planifier les différentes tâches qui doivent être réalisées, afin de déterminer la date à
laquelle le projet doit se réaliser, son délai d'exécution et par conséquent en connaitre le coUt55. 55
Prof. MBIKAYIJeampy, Cours Inédit Modèle Conceptuel de Projet, L2 informatique ISS/KIN, 2011-
2012 I.7.1. Ordonnancement Pour mener à bon port notre travail, nous avons opté pour
l'ordonnancement qui est un outil de la recherche opérationnelle nous permettant dans ce cas
d'élaborer le planning, de déterminer l'intériorité des tâches, de définir la durée de chaque tâche56.
A ce niveau, l'objectif est la minimisation de la durée de réalisation du projet, ceci aurait un avantage
significatif en gain de temps et du coût. Pour ce faire, nous nous sommes servis de la méthode
GANTT.

56P.O. Mvibudulu A., Méthodes de conduite de projet, ISC- Kinshasa, année 2011-2012 I.7.2.
Calendrier de réalisation du projet

Date début Désignation Date fin Lundi 02/07/2012 Prise de contact Lundi 02/07/2012 Mardi
03/07/2012 Analyse de l'existant Mardi 16/07/2012 Lundi 17/07/2012 Critique de l'existant Mardi
24/07/2012 Mardi 25/07/2012 Proposition de solution Mercredi 01/08/2012 Jeudi02/08/2012 Etude
de faisabilité Jeudi 09/08/2012 Vendredi10/08/2012 Elaboration du cahier de charge Mercredi

17/08/2012 Lundi20/08/2012 Appel d'offre Mercredi 29/08/2012 Jeudi30/08/2012 Dépouillement

Vendredi 31/08/2012 Lundi03/09/2012 Acquisition des matériels Mercredi 05/09/2012 Lundi
08/10/2012 Mise en place de solution proposée Jeudi 18/10/2012 Vendredi19/10/2012 Mise au
point et test Lundi 22/10/2012 Mardi23/10/2012 Lancement du système Mercredi 23/10/2012
Jeudi24/10/2012 Formation du personnel Jeudi 28/11/2012

[102] I.7.3. Le diagramme de GANTT ée Début Termin Section II : Conduite du projet II.1.
Problématique Lorsque nous appelons, envoyons un courrier traditionnel ou un fax d'un site vers un
autre, les communications téléphoniques, les services de colis postaux ou de télécopie ne sont pas
sécurisés. Pourquoi ne pas mettre sur pied un système qui rendra plus fiable et sécurisé le transfert
de ces informations entre utilisateurs ou avec nos correspondants? Dès notre arrivée à la Bralima
Sarl, nous avons constaté que le trafic inter-réseau était non sécurisé, toutes les informations du
réseau de l'entreprise circulaient en claires sur internet et ont certainement pu être interceptées à
un moment ou à un autre par des personnes non connues. La première solution pour répondre à ce
besoin de communication sécurisée consiste à relier les réseaux distants à l'aide de liaisons
spécialisées. Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux
locaux distants par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support
de transmission. Un bon compromis consiste à utiliser Internet comme support de transmission à
partir d'un protocole "d'encapsulation" (en

anglais tunneling, d'où la prononciation impropre parfois du terme "tunnellisation"), c'est-à-dire

encapsulant les données à transmettre de façon chiffrée. On parle alors de réseau privé virtuel (noté
RPV ou VPN, acronyme de Virtual Private Network) pour désigner le réseau ainsi artificiellement créé.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non
fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN
peuvent "voir" les données. Le système de VPN permet donc d'obtenir une liaison sécurisée à
moindre coUt, si ce n'est la mise en oeuvre des équipements terminaux. En contrepartie, il ne
permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le
réseau physique est public et donc non garanti.

II.2. Mise en place de l'architecture VPN Comme mentionné plus haut, Global BroadBand Solution est
une entreprise qui fournit la connexion et bien d'autres services, son but est d'offrir continuellement
des services pour satisfaire sa clientèle en permettant à ses employés de communiquer et de
partager les informations, mais aussi de satisfaire son environnement externe en proposant des
technologies toujours innovatrices pour faciliter le développement et la croissance des entreprises.
Notre principal boulot était dans un premier temps de mettre en place l'architecture VPN site-à-site
pour permettre aux utilisateurs de l'entreprise d'échanger de façon sécurisée leurs données, mais
aussi à travers cette architecture de permettre aux futurs utilisateurs du réseau internet d'avoir accès
à internet et de manière contrôlée. Nous devons mentionner ici que cette architecture est
nouvellement déployer à la Bralima ; toutefois il est primordial pour nous d'étudier l'existant
autrement dit la topologie du réseau en place et la disposition des différents équipements présents
dans le réseau de l'entreprise pour mieux appréhender et anticiper les difficultés que nous pourrons
rencontrer lors de la mise en place de la solution. L'implémentation du protocole IPSec se fera au
niveau du routeur CISCO.

II.3.Architecture à mettre en place

Ce schéma très simplifié nous présente la manière

dont les utilisateurs pourront avoir accès aux ressources dont ils ont besoin. Les utilisateurs devront
au préalable s'authentifier sur le serveur DNS avant d'avoir accès aux ressources situées derrière
celui-ci. Comme nous pouvons le constater sur ce schéma, le réseau de la Bralima est subdivisé en
deux sites : La DMZ (Demilitarized zone ou Zone démilitarisée) est un sous réseau constitué
principalement d'un serveur, des ordinateurs (Bralima LAN) et un réseau externe (Kimpoko LAN). Le
parc informatique qui est constitué des ordinateurs de bureau et des ordinateurs portables. Les
informations de l'entreprise arrivent directement par l'internet ce que nous voyons sur le schéma,
elles sont directement envoyées au commutateur qui lui, les envoie à un serveur de données. La
DMZ en fonction bien entendu de la nature de l'information (données, fichiers, etc.) à son tour le
serveur concerné, route l'information à l'ordinateur destinataire. Les informations provenant du
réseau externe (internet) sont préalablement analysées par le firewall avant d'être acceptée dans le
réseau ou tout simplement rejetée. II.4. Installation et configuration Dans la suite de notre travail,
nous considérerons que les configurations de cette interconnexion sont faites et nous nous
limiterons aux limites de l'étude de notre thème. Nous pourrons simplement montrer en pratique la
procédure d'une connexion cliente à un réseau VPN site-à-site. Pour parvenir à mettre en place la
solution proposée, il y a de préalables qu'il faut remplir ou l'on disposer d'un certain nombre de
composantes, à savoir :

Des connexions Internet hautes vitesses (au sein de

l'entreprise) ; Des routeurs identiques offrant le support VPN. De préférence le routeur de marque
Cisco 1800 Séries ; Un abonnement à un service de DNS dynamique.
La solution VPN site-à-site de Cisco, est totalement intégrée et composée d'un équipement unique,
peut être déployée et configurée en toute simplicité.

II.4.1. Configurations Site-to-Site IPsec VPN Qu'il s'agisse de sécuriser une connexion ou encore de
créer une liaison entre deux sites au travers d'un réseau non sécurisé tel qu'Internet, le passage par
un tunnel VPN se révèle être une arme redoutable. Chaque site étant une image d'un petit réseau
disposant d'un accès à internet au travers d'un NAT overload...Voilà comment se présente la
topologie :

Configuration de base de SITE1 Configuration de l'interface WAN > interface Serial0/0 > ip address
80.1.0.2 255.255.255.252 > ip nat outside > clock rate 2000000 Configuration de l'interface LAN >
interface Loopback0 > ip address 192.168.0.0 255.255.255.0 > ip nat inside Configuration du NAT

access-list 100 deny ip 192.168.0.0 0.0.0.0 192.168.0.64 0.0.0.192 access-list 100 permit ip
192.168.0.0 0.0.0.255 any ip nat inside source list 100 interface Serial0/0 overload

Note: l'access-list est déjà préparée pour la création du VPN, c'està-dire qu'on exclut les
communications entre les deux LANs de la règle NAT. Configuration de la route par défaut ip route
0.0.0.0 0.0.0.0 80.1.0.1 Configuration de base de SITE2 Configuration de l'interface WAN o interface
Serial0/0 o ip address 80.2.0.2 255.255.255.252 o ip nat outside o clock rate 2000000 Configuration
de l'interface LAN o interface Loopback0 o ip address 172.16.0.1 255.255.255.192 o ip nat inside
Configuration du NAT " access-list 100 deny ip 192.168.0.64 0.0.0.192 192.168.0.0

0.0.0.255 " access-list 100 permit ip 192.168.0.64 0.0.0.192 any " ip nat inside source list 100
interface Serial0/0 overload Note: l'access-list est déjà préparée pour la création du VPN, c'està-dire
qu'on exclut les communications entre les deux LANs de la règle NAT. o Configuration de la route par
défaut o ip route 0.0.0.0 0.0.0.0 80.2.0.1 o Principe de mise en place du tunnel VPN La mise en place
du tunnel VPN peut paraître complexe, mais il s'agit plutôt d'une tâche qui demande beaucoup de
rigueur. En effet, il va falloir s'assurer qu'aux deux bouts du tunnel la configuration des différents
paramètres soit identique.Voici le détail de la configuration sur SITE1: Activation de ISAKMP (le
protocole qui gère l'échange des clés, etc.) SITE1 (config)# crypto isakmp enable Création d'une
stratégie de négociation des clés et d'établissement de la liaison VPN :

SITE1(config)# crypto isakmp policy 10 SITE1(config-isakmp)# encryption aes SITE1(config-isakmp)#

authentication pre-share SITE1(config-isakmp)# hash sha SITE1(config-isakmp)# group 2 SITE1(config-
isakmp)# lifetime 86400

On crée donc ici une stratégie avec un numéro de séquence 10. Ce numéro indique la priorité de
l'utilisation de la stratégie. Plus petit est ce nombre plus la priorité est grande. On défini ensuite les
paramètres: - Encryptage AES - Authentification par clé pré-partagées - Algorithme de hachage SHA
(valeur par défaut) Méthode de distribution des clés partagées DH-2 (Algorithme de clé asymétriques
Diffie-Hellman 1024bits) Durée de vie 86400 secondes (valeur par défaut) On définit ensuite si on
identifie le routeur par son adresse ou par son hostname (ici l'adresse), l'identification par hostname
peut être utile si on fonctionne avec une adresse publique dynamique, ce qui permet d'éviter trop de
modifications de configuration en cas de changement d'adresse. SITE1 (config)# crypto isakmp
identity address On crée ensuite la clé pré-partagée, ici « CiscoLab » qu'on associe avec l'adresse de
l'autre bout du tunnel donc 80.2.0.2 SITE1 (config) # crypto isakmp key 0 CiscoLab address 80.2.0.2 Le
0 indique qu'on définit la clé en texte clair, en opposition avec une clé déjà cryptée si on la copie d'un
« show run » d'un routeur ou l'encryptage des mots de passe sont activé. On a maintenant terminé la
configuration de la partie qui gère la négociation des clés etc. La deuxième partie consiste à définir
comment les données seront cryptées. Tout d'abord on crée la méthode de cryptage (transform-set)
que l'on nomme VPNSET. SITE1 (config)# crypto ipsec transform-set VPNSET esp-aes espsha-hmac.
Esp-aes est la méthode de cryptage, esp-sha-hmac est la méthode d'authentification. On définit
ensuite la durée de vie de la clé de cryptage : SITE1 (config) # crypto ipsec security-association
lifetime kilobytes 4096

La durée de vie est ici limitée par un volume en kilobytes (4096), on peut également définir une
durée de vie en secondes (ex:crypto ipsec security-association lifetime seconds 3600). Il faut
maintenant créer une accès-list qui servira à identifier le traffic à traiter par le tunnel VPN. Pour
SITE1, ce sera le traffic originaire de 192.168.0.0/24 à destination de 172.16.0.0/24. (Ce sera l'inverse
pour SITE2). On crée donc une accesslist étendue: ( SITE1(config)# ip access-list extended VPN " SITE1
(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 192.168.0.64 0.0.0.192 Reste maintenant à créer
une Crypto-map dont le but est de rassembler les différents éléments configurés pour pouvoir les
appliquer enfin à une interface. " SITE1 (config)# crypto map VPNMAP 10 ipsec-isakmp ( SITE1(config-
crypto-map)# match address VPN ( SITE1(config-crypto-map)# set peer 80.2.0.2 ( SITE1(config-crypto-
map)# set transform-set VPNSET On a donc créé ici une Crypto-map nommée VPNMAP dans laquelle
on intègre une séquence 10 (une seule crypto-map par interface, mais on peut ajouter plusieurs
maps en leur indiquant des numéros de séquence différents), avec les paramètres suivants:

Activée pour le trafic correspondant à l'access-list VPN Destination du tunnel 80.2.0.2 Cryptage selon
le transform-set VPNSET

La dernière étape consiste à appliquer cette cryptomap à l'interface WAN de SITE1. ( SITE1 (config)#
interface serial 0/0 ( SITE1(config-if)# crypto map VPNMAP ( SITE est prêt. Reste à faire l'équivalent
sur SITE2. " Configuration sur SITE2: Parmi les points important, SITE2 soit avoir une stratégie isakmp
identique à celle de SITE1 et l'access-list qui identifie le trafic à traiter par le tunnel VPN est inversée
d'un point de vue de la source et de la destination. ( SITE2 (config)# crypto isakmp enable
( SITE2(config)# crypto isakmp policy 10 ( SITE2 (config-isakmp)# encryption aes ( SITE2(config-
isakmp)# authentication pre-share ( SITE2 (config-isakmp)# hash sha ( SITE2 (config-isakmp)# group 2
( SITE2 (config-isakmp)# lifetime 86400 ( SITE2(config)# crypto isakmp identity address
( SITE2(config)# crypto isakmp key 0 CiscoLab address 80.1.0.2 ( SITE2 (config)# crypto ipsec
transform-set VPNSET esp-aes espsha-hmac ( SITE2(config)# crypto ipsec security-association lifetime
kilobytes 4096 " SITE2(config)# ip access-list extended VPN " SITE2 (config-ext-nacl)# permit ip
172.16.0.0.255 192.168.0.0 0.0.0.255 " SITE2 (config)# crypto map VPNMAP 10 ipsec-isakmp "
SITE2(config-crypto-map)# match address VPN " SITE2(config-crypto-map)# set peer 80.1.0.2 "
SITE2(config-crypto-map)# set transform-set VPNSET " SITE2 (config)# interface serial 0/0

" SITE2(config-if)# crypto map VPNMAP Vérification du tunnel VPN, une fois le tunnel configuré, deux
commandes permettent de vérifier si le tunnel fonctionne:

# show crypto isakmp sa # show crypto ipsec sa

Toutefois, pour que l'on puisse vérifier le fonctionnement il faut que le VPN soit établi, et pour cela il
faut que du trafic soit envoyé au travers de ce tunnel. Ici le test est effectué à l'aide d'un « ping »
étendu: · SITE1#ping · Protocol [ip]: · Target IP address: 172.16.0.1 · Repeat count [5]: · Datagram size
[100]: · Timeout in seconds [2]: · Extended commands [n]: y Source address or interface: 192.168.0.1

· Type of service [0]: · Validate reply data? [no]: · Data pattern [0xABCD]: Sending 5, 100-byte ICMP
Echos to 192.168.0.64, timeout is 2 seconds:

Packet sent with a source address of 192.168.0.64!!! Success rate is 100 percent (5/5), round-trip
min/avg/max = 144/156/176 ms SITE1#

On peut maintenant vérifier si le tunnel à bien

fonctionné : o SITE1#sh crypto isakmp sa o IPv4 Crypto ISAKMP SA o dst src state conn-id slot status o
80.2.0.2 80.1.0.2 QM_IDLE 1001 0 ACT o IPv6 Crypto ISAKMP SA o SITE1# o SITE1#sh crypto ipsec sa o
interface: Serial0/0 o Crypto map tag: VPNMAP, local addr 80.1.0.2 o protected vrf: (none) o local
ident (addr/mask/prot/port): (192.168.0.64/255.255.255.0/0/0)

o remote ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)

o current_peer 80.2.0.2 port 500 o PERMIT, flags={origin_is_acl,} o #pkts encaps: 19, #pkts encrypt:
19, #pkts digest: 19 o #pkts decaps: 19, #pkts decrypt: 19, #pkts verify: 19 o #pkts compressed: 0,
#pkts decompressed: 0 o #pkts not compressed: 0, #pkts compr. failed: 0 o #pkts not decompressed:
0, #pkts decompress failed: 0 o #send errors 1, #recv errors 0 o local crypto endpt.: 80.1.0.2, remote
crypto endpt.: 80.2.0.2 o path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0 o current outbound spi:
0xE912A86D(3910314093) Les deux lignes en bleu indiquent les paquets reçus et envoyés par le
tunnel VPN. Pour conclure voici une capture réalisée par WireShark sur la liaison entre SITE1 et VPN
lors de l'envoi de requêtes ICP de 192.168.0.0 à 192.168.0.64:

Il est ici impossible de voir qu'il s'agit de paquets ICMP, la seule chose visible c'est qu'il y a un trafic
crypté d'un bout à l'autre du tunnel.

CONCLUSION GENERALE

Le secteur des technologies de l'information étant en constante mutation, le présent travail fait état
des résultats obtenus lors de la mise place d'un réseau VPN site-à-site à la Bralima. Nous avons en
effet grâce à cette nouvelle technologie permis aux employés de partager de façon sécurisée leurs
données via le protocole IPSec qui est le principal outils permettant d'implémenter les VPN, ce
partage était possible en interne pour les utilisateurs du réseau local de l'entreprise, mais aussi en
externe pour les utilisateurs dit « distants » situés en dehors du réseau local. En effet, nous avons
présenté un travail divisé en deux parties, à savoir l'approche théorique qui était subdivisé deux
chapitres dont le premier a porté sur les généralités sur les réseaux informatiques ; le second a porté
sur le VPN (Virtual Private Network) où nous avons brossé de façon claire les notions, le
fonctionnement ainsi que les différents protocoles utilisés pour la mise en oeuvre de réseau VPN et
la deuxième partie intitulée conception du nouveau système d'information qui était aussi subdivisé
en trois chapitres dont le premier a porté sur l'étude préalable dans laquelle nous avons présenté
l'entreprise et nous avons fait l'analyse de l'existant, critique de l'existant et proposé une solution
VPN site-à-site qui consiste à mettre en place une liaison permanente, distante et sécurisée entre
deux ou plusieurs sites de la Bralima ; le second a porté sur conception du nouveau système
d'information et enfin le troisième, la réalisation du projet. En effet, la mise en place de VPN site-à-
site permet aux réseaux privés de s'étendre et de se relier entre eux au travers d'internet. Cette
solution mise en place est une politique de réduction des coUts liés à l'infrastructure réseau des
entreprises. Il en ressort que la technologie VPN basé sur le protocole IPSec est l'un des facteurs clés
de succès qui évolue et ne doit pas aller en marge des infrastructures réseaux sécurisés et du
système d'information qui progressent de façon exponentielle. En tout état de cause, dans le cadre
d'un accès restreint et plus sécurisé à l'internet, nous pourrons nous retourner sur le VPN ou le
cryptage du réseau. En définitive, comme tout travail scientifique, nous n'avons pas la prétention de
réaliser un travail sans critique et suggestion