COURS D’ADMINISTRATION DES RESEAUX

INFORMATIQUES

Dispensé par :

Ir. François Xavier LUMINGU THAMBA

ASSISTANT

E-mail : francislumingu12@gmail.com
Tél. 0895126256 – 0811856181

Cours dispensé à l’Université de l’Alliance Chrétienne en

Première Licence Sciences Informatiques.

Mai 2021
 1

INTRODUCTION
L’administration réseau, de même que l’administration système d’ailleurs, est une discipline
qui ne s’enseigne pas. Ceci peut paraître paradoxal puisque ce document est le support d’un
cours d’administration réseau, justement. Relativisons les choses, si l’administration réseau ne
s’enseigne pas, en revanche, elle s’apprend et le but de ce cours est de donner aux étudiants
un minimum d’éléments leur permettant par la suite d’orienter leur apprentissage dans la
bonne direction.
Pourquoi l’administration réseau ne s’enseigne-t-elle donc pas ? Tout d’abord, parce c’est un
domaine bien trop vaste et qui évolue trop rapidement pour que quiconque puisse le dominer
de la tête et des épaules. De plus, le nombre de matériels et de logiciels est trop important
pour qu’on puisse en faire une étude sérieuse. De toute façon, chaque entreprise a fait ses
choix dans ce domaine et les jeunes ingénieurs auront généralement à s’y plier. Ce cours ne se
veut donc pas exhaustif. En particulier, nous n’aborderons pas du tout la configuration des
équipements actifs (routeurs, commutateurs, etc.). Celle-ci nécessiterait un cours entier à elle
seule et obligerait à faire un choix partial pour tel ou tel constructeur.

Le but d’un réseau informatique est d’assurer le transport des données de manière
automatique. Il faut donc tendre vers les 100 % de disponibilité et arriver à minimiser
l’impact des incidents et les interventions d’urgence par :

 Les protocoles palliant aux incidents (OSPF, RIP, VRRP) ;

 Les protocoles permettant une gestion centralisée (DHCP, LDAP) ;
 Les matériels redondants ;
 Les matériels de secours ;
 Le système de surveillance.

En revanche, dans ce cours, nous essaierons de dégager des principes généraux sur la bonne
façon d’administrer un réseau. Le champ d’application étant plutôt étendu, nous nous
limiterons à quelques technologies fondamentales, applicables aux réseaux IP dans
l’environnement OSI et TCP/IP.

Prérequis

Comme prérequis à ce module il faut avoir des connaissances en Informatique et en

Technologies de communication dans une ampleur comparable à ce que fournissent les cours
introductifs

 Introduction à l’informatique
 Introduction à l’algorithmique et à la programmation
 Introduction aux réseaux et à la communication des données.
 Par ailleurs, des connaissances en gestion de la technologie seraient un atout.

Matériaux

Les matériaux nécessaires pour compléter ce cours comprennent:

 Un commutateur (Fast Ethernet ou gigabit-Ethernet) ;

 4 ordinateurs pouvant abriter une installation Windows Server 2008 R2;
 Un routeur
 2

OBJECTIFS DU COURS

L’objectif général de ce cours est d’initier les étudiants aux concepts communs
d’administration réseaux en mettant en place les services réseaux associées afin de sa gestion
active. Et d’une manière spécifique :

1. Comprendre les différentes configurations et gestion d’un parc informatique ;

2. Optimiser la gestion des services des systèmes informatiques ;
3. Permettre le déploiement automatique des nouvelles machines connectées sur un
réseau informatique ;
4. Connaitre et comprendre le mode de fonctionnement des protocoles applicatifs du
réseau et savoir mettre en place les services associés des réseaux informatiques ;
5. Emettre d’acquérir les différentes compétences sur les éléments techniques
indispensables permettant d’effectuer des choix éclairés d’architectures et protocoles
en fonctions des besoins à satisfaire et des problèmes à résoudre.

DEFINITION DES CONCEPTS CLES

 Adresse mac : Adresse physique d'une interface réseau fixée par le constructeur qui
permet d'identifier de façon unique une machine sur un réseau local.
 Agent : Elément logiciel embarqué dans un élément actif du réseau permettant sa
gestion par une station de supervision.
 Alerte : Signal qui prévient d’un incident.
 Authentification : Procédure consistant à vérifier ou à valider l'identité d'une
personne ou l'identification de toute autre entité, pour contrôler l'accès à un réseau, à
un système informatique ou à un logiciel.
 Evénement: Signal qui permet, par ses différents états, d'indiquer la situation ou
l'évolution d'une partie d'un système.
 Interface : Ensemble de moyens permettant la connexion et l'interrelation entre le
matériel, le logiciel et l'utilisateur.
 IP : Protocole de télécommunications utilisé sur les réseaux qui servent de support à
Internet, qui permet de découper l'information à transmettre en paquets, d'adresser les
différents paquets, de les transporter indépendamment les uns des autres et de
recomposer le message initial à l'arrivée.
 Manager : Station de gestion de réseau.
 Ping : Commande issue du monde Unix qui permet de mesurer le temps de réponse
d'une machine à une autre sur un réseau.
 Port : Dans une architecture client-serveur, connexion virtuelle permettant
d'acheminer les informations directement dans le logiciel d'application approprié de
l'ordinateur distant.
 Requête: Ensemble de commandes dont l'exécution permet d'obtenir un résultat.
 Routage : Détermination par des routeurs du chemin que doit emprunter une
information sur un réseau afin de parvenir à sa destination dans les meilleures
conditions possibles.
 Supervision : Surveillance de l’état d’un réseau et de ses composants.
 3

CHAPITRE 1 : INTRODUCTION A L’ADMINISTRATION DES RESEAUX

INFORMATIQUES

1.1. DEFINITION ET FINALITES

L’administration de réseaux informatique (ou Network management) se réfère aux activités,

méthodes, procédures comme la surveillance du réseau et aux outils de mise en œuvre par
l'administrateur réseaux ayant trait à l'exploitation, l'administration, la maintenance et la
fourniture des réseaux informatiques. La gestion des réseaux informatiques constitue un
problème dont l’enjeu est de garantir au meilleur coût, non seulement la qualité du service
rendu aux utilisateurs mais aussi la réactivité dû aux changements et à l'évolution rapide du
secteur informatique.

Cette gestion des réseaux se définit comme étant l’ensemble des moyens mis en œuvre
(connaissances, techniques, méthodes, outils, ...) pour superviser, exploiter des réseaux
informatiques et planifier leur évolution en respectant les contraintes de coût, de qualité et de
matériel. La qualité de service se décline sur plusieurs critères pour le futur utilisateur,
notamment la disponibilité, la performance (temps de réponse), la fiabilité, la sécurité…
L’administration des réseaux est couramment classée en trois activités :

1. La Supervision

La supervision consiste à surveiller les systèmes et à récupérer les informations sur leur état et
leur comportement, ce qui peut être fait par interrogation périodique ou par remontée non
sollicitée d’informations de la part des équipements de réseaux eux-mêmes. Le plus grand
souci d’un administrateur est la panne. En effet, il doit pouvoir réagir le plus rapidement
possible pour effectuer les réparations nécessaires. Il faut pouvoir surveiller de manière
continu l’état des réseaux afin d’éviter un arrêt prolongé de celui-ci. La supervision doit
permettre d’anticiper les problèmes et de faire remonter les informations sur l’état des
équipements et des logiciels.

Plus le système est important et complexe, plus la supervision devient compliquée sans les
outils adéquats. Une grande majorité des logiciels de supervision sont basés sur le protocole
SNMP qui existe depuis de nombreuses années. La plupart de ces outils permettent de
nombreuses fonctions dont voici les principales :

 Surveiller le système d’information ;

 Visualiser l’architecture du système ;
 Analyser les problèmes ;
 Déclencher des alertes en cas de problèmes ;
 Effectuer des actions en fonction des alertes ;
 Réduire les attaques entrantes.

La tâche de l’administrateur est alors simplifiée. Il n’a plus qu’à faire une vérification ou
réaliser une action en fonction d’une alerte déclenchée.
 4

2. l'Administration

L'administration désigne plus spécifiquement les opérations de contrôle du réseau avec la

gestion des configurations et de sécurité. De façon générale, une administration de réseaux a
pour objectif d'englober un ensemble de techniques de gestion mises en œuvre pour :

Offrir aux utilisateurs une certaine qualité de service;

Permettre l'évolution du système en incluant de nouvelles fonctionnalités;
Rendre opérationnel un système ;

3. l'Exploitation

De nos jours, les systèmes d'exploitation à savoir les systèmes UNIX, MacOs et Windows
gèrent tous l'aspect de l’exploitation des réseaux, les procédures, et les fonctions associés. Un
système d’administration réseau est une collection d’outils pour la supervision et le contrôle
du réseau qui sont intégrés dans le sens qu’ils impliquent :

 Une interface opérateur unique avec un puissant, mais convivial ensemble de

commandes pour exécuter toutes les tâches d’administration réseau ;
 Un nombre minimal d’équipements séparés qui sont le plus souvent des composants
matériels et logiciels requis pour l’administration réseau, et incorporés dans les
équipements utilisateurs existants.

Les objectifs (les finalités) de l’administration des réseaux pour un administrateur :

 Supervision du fonctionnement des réseaux ;

 Optimisation pour l’utilisation des ressources ;
 Détection et prévision des erreurs ;
 Signalisation des pannes ;
 Calculs de facturations à l’utilisation des ressources ;
 Le support technique pour utilisateurs.

L’administration d’un réseau suppose l’existence d’un système d’information décrivant le

réseau de l’entreprise et recensant toutes les données et événements relatifs à chaque
constituant du réseau administré.

Principe générale d’un système d’administration des réseaux

Un réseau comporte un grand nombre de composants (objets) que le système d’administration

surveille. Dans chaque objet, un programme en tâche de fond (Daemon) transmet
régulièrement, ou sur sollicitation, les informations relatives à son état.
 5

Structure fonctionnelle d’un système d’administration.

1.2. TYPOLOGIE DE L’ADMINISTRATION DES RESEAUX INFORMATIQUES

L'administration des réseaux informatiques peut se décomposer en trois types d'administration

:

1.2.1. L’ADMINISTRATION DES UTILISATEURS (CONSOMMATEUR DE

SERVICE)

L'administration des utilisateurs fournit l'ensemble des mécanismes nécessaires pour une
personne afin d'utiliser le réseau, à savoir :

 Accessibilité et Connectivité aux applications : l'utilisateur doit pouvoir se connecter

aux différentes applications fournit par le réseau et doit disposer d'un ensemble d'outils
lui assurant une certaine transparence au niveau des méthodes d'accès et connexions
aux applications;
 6

 L’accès aux serveurs de noms : afin de permettre la localisation des ressources et

d'assurer à l'utilisateur l'existence et l'utilisation de ces ressources.
 La Confidentialité et la Sécurité : Le système doit fournir l'ensemble des mécanismes
qui permettent de garantir la confidentialité des informations de l'utilisateur, de
sécuriser son environnement et de prévenir toute perte ou altération des échanges
effectués par l'utilisateur.
 La Qualité de service fournit à l'utilisateur : Il s'agit principalement de la disponibilité
et des performances du système et sa capacité à assurer le service attendu.

1.2.2. L’ADMINISTRATION DES SERVICES (OU FOURNISSEUR DE SERVICE)

L'administration des services fournit tous les mécanismes suivant :

 La Connexion et la Distribution des applications sur tout le réseau : afin de permettre

la relation entre les différents services;
 La Gestion et la Distribution des données : comme pour les utilisateurs, doivent
garantir la fiabilité de transmission des informations et offrir des outils permettant le
transfert de ces informations. C'est le rôle des outils de transfert de fichiers, qui
permettent le partage des capacités de stockage entre plusieurs systèmes;
 la Gestion des applications : est essentiellement lié au contrôle et à la protection des
accès de ces applications par la distribution de droits, et de différents protocoles de
contrôle d'utilisation de ressources concernant les applications utilisés.

1.2.3. L’ADMINISTRATION DE LA MACHINE DE TRANSPORT

L'administration de la machine de transport consiste à fournir :

 les opérations de réseau, dont le rôle est de permettre l'intervention sur le

fonctionnement et la modification du réseau;
 la liste des incidents réseaux par la mise en place de protocoles de détection et de
correction : Lorsqu'une alerte est déclenchée, des actions vont être prises pour
résoudre l'incident et de ce fait, réduire son influence et ses perturbations sur
l'ensemble du réseau;
 les performances fournies par le réseau, le but est d'afficher et d'évaluer le système
par un ensemble de paramètres comme le temps de réponse ou la charge du système;
 les coûts, afin de pouvoir les mesurer (dans un réseau, les coûts d'utilisation sont
complexes à évaluer puisqu'ils concernent un ensemble de composants distribués);
 la configuration, le but est de déterminer la meilleure configuration du réseau afin
d'améliorer les performances du système et la qualité du service;
 l'inventaire, qui a pour rôle de tenir à jour en temps réel la liste des éléments logiciels
et matériels qui constituent un réseau;
 l'évolution et les changements, l'objectif est de fournir les informations permettant de
déterminer les nouveaux besoins et les parties du système concernées par ces besoins
de changement.
 7

1.3. ATTENTES D’UNE ADMINISTRATION DES RESEAUX INFORMATIQUES

Une attente de l’administration des réseaux informatiques peut être considérée comme les
débouchés auxquels s’attendent les utilisateurs des réseaux informatiques. D’une façon
générale, les attentes d’une d'administration réseau doivent permettre :

 l'extraction des informations des éléments du réseau au moyen d'outils d’un grand
nombre d'informations ;
 la réduction du volume d'informations au moyen de filtres afin de sélectionner les
informations significatives ;
 le stockage des informations retenues dans une base de données d'administration ;
 des traitements sur ces informations ;
 offrir des interfaces (utilisateur d'administration administration, opérateur réseau).

Avec l'apparition des nouvelles technologies et la diversification des types de réseaux comme
la multiplication des mobiles connectés et le développement des solutions de Cloud
computing, la gestion des solutions de sécurité réseau est devenue une tâche complexe.
L’efficacité des réseaux dépend de la manière dont se font les échanges d’informations. Ces
échanges sont effectués grâce à des mécanismes qui président comme les protocoles, ceux-ci
représentent l’ensemble des règles décrivant la manière de faire transiter les informations sur
un réseau. L'évaluation de la performance d'un réseau peut être effectuée de plusieurs façons
et revient à mesurer la rapidité et la fiabilité d'une transmission de données.

L’évaluation de la performance d'un réseau grâce à la modélisation mathématique repose sur

des calculs complexes et se déroule en plusieurs étapes. Il est cependant à noter que cet outil
de mesure n'est valable que pour les réseaux d'une taille relativement réduite (moins de trois
liens) car les calculs gagnent fortement en complexité au-delà de ce seuil :

 Représentation du modèle : Cette représentation graphique permettra de mettre en

place les différentes équations nécessaires aux calculs suivants.
 Calcul du taux de blocage : Ce taux représente le pourcentage de clients qui n'ont pas
pu accéder au réseau par manque de ressources. Plus ce taux est faible, meilleure est la
performance du réseau.
 Calcul du taux de congestion1 : Ce taux représente la perte de paquets engendrée
quand les demandes d’utilisation des ressources sont plus grandes que les capacités
effectives de ces ressources. Plus ce taux est faible, meilleure est la performance du
réseau.
 Calcul du taux d'insatisfaction : Ce taux représente le pourcentage de clients
n’obtenant pas les ressources demandées. Une fois de plus, plus ce taux est faible,
meilleure est la performance du réseau.
 Calcul du débit moyen : Le débit moyen représente la vitesse de transition des paquets
sur le réseau en moyenne pour une durée donnée. Plus le débit moyen est élevé,
meilleure est la performance du réseau.
 Calcul du taux de perte : Ce taux représente le pourcentage de paquets perdus lors de
leur transition le réseau. Encore une fois, plus ce taux est faible, meilleure est la
performance du réseau.

1
La congestion d’un réseau, c’est quand un réseau a des ressources insuffisantes pour faire face à
toutes les demandes de toutes les demandes de transfert qui lui sont adressées.
 8

 Comparaison des métriques : Cette étape finale sert à représenter les différentes
mesures sous forme de courbe sur un même graphique pour évaluer les différents
critères sur lesquels agir en priorité pour améliorer la performance du réseau.

1.4. LES ROLES D’UN ADMINISTRATEUR DES RESEAUX INFORMATIQUES

L’administrateur réseau est responsable de ce qui peut se passer dans un réseau administré ;
ainsi les rôles d’un administrateur réseau consiste à :

 Mettre en place et maintenir l’infrastructure du réseau (organisation, ...) ;
 Installer et maintenir les services nécessaires au fonctionnement du réseau ;
 Assurer la sécurité des données internes au réseau (particulièrement face aux attaques
extérieures) ;
 S’assurer que les utilisateurs n’outrepassent pas leurs droits ;
 Gérer les « logins » (i.e. noms d’utilisateurs, mot de passe, droits d’accès, permissions
particulières, ...) ;
 Gérer les systèmes de fichiers partagés et les maintenir.

1.5. NIVEAUX DE DECISIONS DE L’ADMINISTRATION DES RESEAUX

INFORMATIQUES

Pour une bonne administration d’un réseau, un bon administrateur a besoin différents niveaux
de la prise des décisions d’administration :

 les décisions opérationnelles : sont des décisions à court terme, concernant

l’administration du réseau au jour le jour et, la tenue de l’opération se fait à temps réel
sur le système ;
 les décisions tactiques : sont des décisions à moyen terme et concernent l’évolution
du réseau et l’application du politique à long terme ;
 les décisions stratégiques : sont des décisions à long terme concernant les stratégies
pour le futur en exprimant les nouveaux besoins et les désirs des utilisateurs.

Ces trois principaux niveaux déterminent alors différents degrés de l’administration des
réseaux informatiques, Une bonne administration marche avec :

 la prévoyance : anticiper l’avenir et préparer l’organisation à s’adapter aux

changements ;
 l’organisation : construire une structure, définir les responsabilités ou charges,
sélectionner, entrainer les managers ;
 les commandements : qui administre quoi?;
 la coordination : mettre de l’harmonie, concilier les activités afin que les fonctions
travaillent dans le même sens, à la réalisation de mêmes objectifs ;
 le contrôle : vérifier si les objectifs sont réalisés conformément aux ordres et aux
principes.
QUESTION 1
 9

Notons que dans le cas d’un système d’exploitation multiutilisateurs, comme Unix, la gestion
du système et des utilisateurs est confié à un super-utilisateur2 nommé « root » ou racine. Le
rôle de l’administrateur (root) est :

 configurer le noyau du système d’exploitation ;

 sauvegarder les données et réparer les systèmes de fichiers ;
 gérer les utilisateurs ;
 installer de nouveaux logiciels ;
 intégrer des nouveaux disques et de nouvelles partitions ;
 configurer le processus de démarrage de Linux ou autre ;
 configurer le réseau.

2
Du fait que les super utilisateurs possèdent tous les droits, il doit posséder des connaissances
concernant le fonctionnement du système.
 10

CHAPITRE 2 : LA SUPERVISION DES RESAUX INFORMATIQUES

La supervision consiste à surveiller les systèmes et à récupérer les informations sur leur état et
leur comportement, ce qui peut être fait par interrogation périodique ou par remontée non
sollicitée d’informations de la part des équipements de réseaux eux-mêmes.

Le plus grand souci d’un administrateur est la panne. En effet, il doit pouvoir réagir le plus
rapidement possible pour effectuer les réparations nécessaires. Il faut pouvoir surveiller de
manière continu l’état des réseaux afin d’éviter un arrêt prolongé de celui-ci. La supervision
doit permettre d’anticiper les problèmes et de faire remonter les informations sur l’état des
équipements et des logiciels.

Plus le système est important et complexe, plus la supervision devient compliquée sans les
outils adéquats. Une grande majorité des logiciels de supervision sont basés sur le protocole
SNMP (Simple Network Management Protocol) qui existe depuis de nombreuses années. La
plupart de ces outils permettent de nombreuses fonctions dont voici les principales :

 Surveiller le système d’information ;

 Visualiser l’architecture du système ;
 Analyser les problèmes ;
 Déclencher des alertes en cas de problèmes ;
 Effectuer des actions en fonction des alertes ;
 Réduire les attaques entrantes.

La tâche de l’administrateur est alors simplifiée. Il n’a plus qu’à faire une vérification ou
réaliser une action en fonction d’une alerte déclenchée.

2.1. MODELES DE L’ADMINISTRATION DES RESEAUX INFORMATIQUES

SELON OSI

L’ISO ne spécifie aucun système d’administration des réseaux informatiques mais définit
plutôt un cadre général avec le document ISO 7498-4 dénommé « OSI Framework » ou «
Cadre Architectural OSI » et un aperçu général des opérations d’administration des systèmes
avec le document ISO 1004 dénommé « OSI System Management » ou « Système
d’administration OSI ». Ces documents de base décrivent trois modèles :

 Le Modèle organisationnel ;
 Le Modèle informationnel ;
 Le Modèle fonctionnel.

2.1.1. LE MODELE ORGANISATIONNEL

Le modèle organisationnel, aussi appelé modèle architectural (Managed System and Agents
(MSA) ou Système Administré et Agent) : c’est un modèle qui organise l’administration OSI,
définit la notion de systèmes administrés (Agents) et définit la notion du système
Administrant (DMAP : Distributed Management Application Processus).Le modèle
architectural définit trois types d’activité :
 La gestion du système (System Management) ;
 La gestion de couche (Layer Management) ;
 11

 Les opérations de couche (Layer Operations).

A. LA GESTION DU SYSTEME

La gestion du système (SMAE : System Management Application Entity) met en relation deux
processus Manager et Agent. Le protocole standardisé de niveau application CMIP « Common
Management Information Protocol » est utilisé. Le Manager envoie des messages de
commandes à ses Agents; ceux-ci lui retournent les résultats des opérations effectuées dans
des messages de réponses.

Modèle de Gestion Manager –Agent

Dans ce modèle, l’Agent n’utilise pas les mêmes normes ou la même syntaxe de
communication que le Manager, une entité tierce appelée « Proxy-Agent » permet d’adapter
le protocole de l’Agent et de convertir ses données au format du Manager. Le Proxy-Agent est
situé soit au niveau de l’Agent, soit au niveau du Manager.

Modèle de Gestion Manager –Agent avec l’agent Proxy

 12

B. LA GESTION DE COUCHE

La gestion de couche (ou protocole de couche), fournit les moyens de transfert des
informations de gestion entre les sites administrés. C’est un dialogue horizontal (CMIP,
Common Management Information Protocol, ISO 9596). Les opérations de couche (N), ou
protocole de couche (N) supervisent une connexion de niveau N. Ces opérations utilisent les
protocoles OSI classiques pour le transfert d’information. C’est par exemple :
Le CMIP utilise les primitives de service suivantes (CMISE : Common Management
Information Service Element) :

 Get :il est utilisé par le gérant pour lire la valeur d’un attribut ;
 Set : fixe la valeur d’un attribut ;
 Event : permet à un agent de signaler un événement ;
 Create : génère un nouvel objet ;
 Delete : permet à l’agent de supprimer un objet.

C. OPERATIONS DE COUCHES

Elles concernent les mécanismes mis en œuvre pour administrer l’unique instance d’une
communication entre 2 entités homologues. Les opérations de couche N (protocole de Couche
N) supervisent une connexion de niveau N en utilisant un certain nombre de primitive de
service. Il s’agit d’un dialogue Vertical assuré par le CMIS (Common Management
Information Service).

2.1.2. LE MODELE INFORMATIONNEL

Un modèle informationnel aussi appelé «Management Information Base (MIB)» ou « Base de

l’Information d’Administration» est un modèle qui constitue la base de données des
informations d’administration en énumérant les objets administrés et les informations s’y
rapportant (attributs). L’ensemble des objets gérés constitue la MIB (ISO 10165). La MIB
contient toutes les informations administratives sur les objets gérés (ponts, routeurs,
cartes,…). La norme ne spécifie aucune organisation particulière des données ; Seul, le
processus agent a accès à la MIB et le processus manager accède aux données via le processus
agent.

2.1.3. LE MODELE FONCTIONNEL

L’OSI a regroupé les activités d’administration en cinq groupes fonctionnels « Specific

Management Function Area (SMFA) » ou « Aire de Fonction d’Administration Spécifique »:

 Gestion de configuration ;
 Gestion de performance ;
 Gestion de panne ;
 Gestion de comptabilité ;
 Gestion de sécurité.
 13

Modèle de fonctionnel d’administration selon OSI

 La gestion des anomalies ou de panne (Fault Management) : elle a pour objectif de

faire le diagnostic rapide de toute défaillance interne ou externe du système (par
exemple la panne d’un routeur). Ces pannes peuvent être d’origine interne résultant
d’un élément en panne ou d’origine externe dépendant de l’environnement du système
(coupure d’un lien publique).Cette gestion implique :
 La surveillance des alarmes (filtre, report, …) ; il s’agit de surveiller le système et
de détecter les défauts. On établit un taux d’erreurs et un seuil à ne pas dépasser.
 Le traitement des anomalies ;
 La localisation et le diagnostic des incidents (séquences de tests) la journalistique
des problèmes, etc.
 La gestion de la configuration (Configuration Management) : elle a pour objectif
d’identifier de manière unique chaque objet administré par un nom ou un
identificateur d’objet (OID : Object Identifier). Il s’agit également de :
 gérer la configuration matérielle et logicielle et ;
 préciser la localisation géographique.
 La gestion des performances (Performance Management) : elle a pour objectif de
contrôler, à évaluer la performance et l’efficacité des ressources comme le temps de
réponse, le débit, le taux d’erreur par bit, la disponibilité (aptitude à écouler du trafic
et à répondre aux besoins de communication pour lequel la ressource a été mise en
service).Elle comprend :
 la collecte d’informations, statistiques (mesure du trafic, temps de réponse, taux
d’erreurs, etc.), le stockage et l’interprétation des mesures (archivage des
informations statistiques dans la MIB, calculs de charge du système, tenue et examen
des journaux chronologiques de l’état du système).
 Elle est réalisée à l’aide d’outil de modélisation et simulation permettant d’évaluer
l’impact d’une modification de l’un des paramètres du système.
 La gestion de la sécurité (Security Management) : Elle couvre tous les domaines de
la sécurité afin d’assurer l’intégrité des informations traitées et des objets administrés.
L’ISO a défini cinq services de sécurité :
 14

 Les contrôles d’accès au réseau ;

 La confidentialité (les données ne sont communiquées qu’aux personnes, ou processus
autorisés) ;
 L’intégrité (les données n’ont pas été accidentellement ou volontairement modifiées
ou détruites) ;
 L’authentification (l’entité participant à la communication est bien celle déclarée) ;
 La non-répudiation (impossibilité pour une entité de nier d’avoir participé à une
transaction).

Pour cela l’ISO utilise les mécanismes d’encryptage, l’authentification des extrémités (source
et destinataire) et le contrôle des accès aux données. Notons également que c’est au niveau de
la gestion de sécurité que l’on trouve la notion de configuration du serveur AAA3
(Authentification – Authorization – Accounting).

 La gestion de la comptabilité (Accounting Management) : elle permet de connaitre

les charges des objets gérés, les coûts de la consommation… cette évaluation est
établie en fonction du volume et la durée des transmissions. La gestion de la
comptabilité comporte les taches suivantes :
 la consommation réseau par abonné ;
 la définition des centres de coût ;
 la mesure des dépenses de structure (coûts fixes) et répartitions ;
 la mesure des consommations par services ;
 l’imputation des coûts.

2.2. MODELES DE L’ADMINISTRATION DES RESEAUX INFORMATIQUES

SELON TCP/IP

Le Standard de fait dans l’administration des réseaux TCP/IP, le protocole SNMP (Simple
Network Management Protocol) est proche des concepts ISO. Cependant, non orienté objet
SNMP confond la notion d’attribut et d’objet. Issu du protocole de gestion des passerelles IP
(SGMP, Simple Gateway Monitoring Protocol – RFC 1028), SNMP est décrit dans la RFC
1157. Ce document est complété par de nombreuses RFC dont :

 les RFC 1155 qui spécifient comment les objets gérés sont représentés dans les bases
d’informations (SMI, Structure of Management Information). SMI utilise la notation
ASN1 (Abstract Syntax Notation 1) ;
 les RFC 1156 et 1213 qui définissent les MIB (MIB I et MIB II). Les MIB décrivent
les objets gérés (attributs ISO). Une MIB particulière (RMON MIB, Remote Monitor
Network MIB) est spécifié pour les réseaux locaux (Ethernet et Token Ring), les objets
RMON sont implémentés dans des sondes d’analyse et de surveillance. Cependant en
environnement commuté, les sondes RMON n’ont accès qu’aux segments sur lesquels
elles sont installées.

Pour assurer un accès aux différents éléments des réseaux commutés, une sonde spécifique a
été définie (RFC 2613, SMON, Switched RMON). Le SNMP spécifie les échanges entre la

3
La configuration du serveur AAA consiste à une méthode de définition du cadre de référence pour
l’utilisation sécurisée des ressources en réseau c’est-à-dire l’administrateur sera en mesure de
connaitre qui se connecte, et qui a le droit d’accéder à quoi et qui consomme quoi…
 15

station d’administration et l’agent. S’appuyant sur UDP (User Datagram Protocol), SNMP
est en mode non connecté. De ce fait, les alarmes (trap) ne sont pas confirmées. La plus
grande résistance aux défaillances d’un réseau d’un protocole en mode datagrammes vis-à-vis
d’un protocole en mode connecté ainsi que la rapidité des échanges justifient le choix d’UDP.
Les messages SNMP permettent de lire la valeur (exemple : compteur de collisions) d’un
objet administré (attribut d’ISO) (GetRequest et GetNextRequest), de modifier la valeur
d’un objet (SetRequest). L’agent administré répond à ces sollicitations par le message
GetResponse. Le message Trap est émis sur l’initiative de l’agent qui notifie ainsi, à
l’administrateur, qu’une condition d’alarme a été détectée.

Principe d’administration des réseaux informatiques selon TCP/IP

Les MIB (Management Information Base)

Les MIB décrivent les objets gérés, en définissent le nommage, ils en précisent le type, le
format et les actions. Les différentes valeurs des objets ne sont pas contenues dans la MIB,
mais dans des registres externes que l’agent vient consulter à la demande du manager. La
RFC 1213 (MIB II) formalise une structure de définition des objets.

Ainsi, l’objet « SysUpTime » qui mesure le temps, en centième de seconde, depuis que
l’agent a été réinitialisé, est de type TimeTicks (type de variable défini dans la SMI, TimeTicks
mesure le temps en centièmes de seconde) et est accessible uniquement en lecture
(read_only). Cet objet obligatoire (mandatory) est le troisième objet décrit dans la MIB
system.

Les objets (variables) gérés par les MIB sont désignés selon une hiérarchie définie par l’ISO
selon un arbre dit « arbre de nommage ». Dans l’arbre de la figure 18.7, chaque organisation
de normalisation possède une entrée au premier niveau. Les différentes branches permettent
 16

de nommer un objet de manière unique. Les MIB standard établies par l’IETF appartiennent à
la branche « internet » et sont classées dans la sous-branche mgmt(2).

Arbre de nommage des objets dans l’administration TCP/IP

Il sied également de signaler que l’accès aux variables des MIB dites privées est assuré par un
agent spécifique qui effectue les conversions nécessaires : le proxy-agent.

Le proxy-agent permet ainsi le dialogue entre deux systèmes d’administration différents. Le

principe du proxy-agent est illustré ci-dessous. Celui-ci peut être localisé dans le serveur pour
l’utilisation d’une MIB privée, ou dans le manager si l’agent serveur n’est pas conforme au
standard (conversion de protocole).

Principe d’un proxy-agent (mandataire).

 17

2.3. LES LOGICIELS DE SUPERVISION RESEAUX INFORMATIQUES

2.3.1. LA GESTION DE RESEAU AVEC SNMP

Le logiciel SNMP est né pour répondre aux difficultés de surveillance et de maintien des
réseaux informatiques, un protocole d’administration, intitulé SNMPv1 (Simple Network
Management Protocol) a été finalisé en 1990. Ce protocole permet :

 de modifier la configuration des équipements ;

 de détecter et d’analyser les problèmes du réseau par interrogation ou remontée
d’alarmes ;
 de surveiller ses performances et ;
 de réaliser des statistiques.

Dans cette première version, le protocole est défini par un standard IETF (Internet
Engineering Task Force) intitulé RFC 1157 (Request For Comments) « A Simple Network
Management Protocol (SNMP) » datant de mai 1990. Le but de cette architecture est de
faciliter son utilisation, d’être suffisamment extensible pour être compatible dans le futur et
qu’elle soit indépendante de l’architecture et des mécanismes des hôtes ou serveurs
particuliers. (IETF, 1990).

La sécurité de SNMPv1 est basée sur des noms de communautés qui sont utilisés comme des
mots de passe pour accéder à une arborescence de données de l’équipement appelée MIB
(Management Information Base). Le nom de la communauté est transmis en clair dans le
message SNMP. La première version n’étant pas sécurisée, le protocole SNMP a ainsi évolué
en une deuxième version finalisée en janvier 1996, intitulée SNMPv2C (RFC 1901 à 1908).
La sécurité de cette version est encore faible car elle s’appuie sur le modèle de SNMPv1 en
réutilisant les noms de communauté, d’où la lettre C de SNMPv2C. Cependant, elle comble
des lacunes de la version 1, en particulier au niveau de la définition des objets, du traitement
des notifications et du protocole lui-même. Une troisième version finale, intitulé SNMPv3, a
et approuvée comme projet de norme en avril 1999. Elle est devenue un standard en décembre
2002 (RFC 3410 à 3418). Elle a pour but principal d’assurer la sécurité des échanges.

La technologie SNMP s’appuie sur le modèle OSI (Open System Interconnection). Ce modèle
de communication mis en place par l’Organisation internationale de normalisation (ISO :
International Organization for Standardization) comporte 7 couches (1 = Physique, 2 =
Liaison Données, 3 = Réseau, 4 = Transport, 5 = Session, 6 = Présentation et 7 =
Application). Le rôle du modèle OSI, décrit dans la norme ISO 7498-1, est de standardiser la
communication entre les machines.
 18

SNMP est un protocole situé entre la couche 4 et la couche 7 de ce modèle OSI. Il s’appuie
sur le protocole de télécommunication UDP (User Datagram Protocol). Le paquet UDP est
encapsulé dans un paquet IP (Internet Protocol). UDP est plus simple à utiliser que TCP
(Transmission Control Protocol) car il fonctionne en mode non connecté. Le mode non
connecté n’oblige pas les deux entités à établir une connexion entre elles avant de transférer
des données puis de mettre fin à leur connexion. En revanche, UDP ne permet pas de savoir si
les datagrammes sont bien arrivés et s’ils sont arrivés dans un ordre différent de celui
d’émission.

Cette architecture SNMP fonctionne sur un modèle client-serveur. Le client correspond à la

station de gestion de réseau, souvent appelée Manager ou encore Network Management
Station (NMS) par certains éditeurs. Les serveurs correspondent aux agents SNMP qui
enregistrent en permanence des informations les concernant dans leur MIB. La station
interroge les MIB des différents agents pour récupérer les informations qu’elle souhaite.
 19

Illustration de la gestion d’un réseau avec SNMP

2.3.2. LES LOGICIELS DE SUPERVISION « OPEN SOURCE »

Tout d’abord, il sied de rappeler que les logiciels dits « Open Source »4 sont définis
particulièrement comme des « logiciels libres », c’est-à-dire que ce sont des logiciels qui
rassemblent les applications livrées avec leurs codes sources, que l’on peut donc modifier a
volonté pour l’adapter à ses besoins… afin de dire qu’un logiciel est libre, il faudrait tenir
compte des 9 aspects suivants :

 la libre distribution ;
 la mise à disposition du code source ;
 la possibilité de distribuer ses travaux dérivés ;
 le respect du code source originel ;
 l’absence de la discrimination envers les personnes ;
 l’absence de la limitation sur le domaine d’application du logiciel ;
 la distribution de la licence ;
 la non-spécificité a un produit ;
 elle ne doit pas contaminer les travaux des autres ;

Les logiciels de supervision dits « Open Source », les plus utilisées sont :

 le logiciel NAGIOS ;
 le logiciel CACTI ;
 Le logiciel CENTREON ;
 20

 Etc.

2.3.3. LES LOGICIELS DE SUPERVISION « PROPRIETAIRES »

Les logiciels de supervision dits « propriétaires » sont des logiciels caractérisés par
l’appartenance à une personne ou à une société en particulier. Ce sont des logiciels qui ne sont
pas des standards à l’ origine et ne sont pas compatibles avec d’autres logiciels comparables
de la concurrence. Les logiciels de supervision dits « propriétaires », les plus utilisées sont :

 le logiciel HP - OPENVIEW ;
 le logiciel PRTG NETWORK MONITOR ;
 Le logiciel MEMO GUARD ;
 Etc.

2.3.4. LES PLATES-FORMES D’ADMINISTRATION DES RESEAUX

INFORMATIQUES

Les outils d’administration se répartissent en trois catégories :

 les systèmes de gestion des couches basses ;

 les hyper viseurs donnant une vue d’ensemble du réseau ;
 les systèmes d’exploitation avec administration partiellement intégrée.

A. LES OUTILS D’ADMINISTRATION DES COUCHES BASSES

Dans cette catégorie, on trouve les consoles d’administration de câblage et les analyseurs de
protocoles. Les gestionnaires de câblage permettent de suivre les évolutions du câblage et le
brassage de celui-ci. Compte tenu de la charge de travail imposée par l’acquisition préalable
des données et la mise à jour des évolutions, ces outils ne sont justifiés que pour les réseaux
importants en nombre de prises. Les sondes sont des éléments insérés dans un réseau pour en
surveiller le fonctionnement. Elles fournissent, en temps réel, toutes les informations utiles au
gestionnaire pour connaître l’état actuel de son réseau (taux d’erreurs, trafic...).

B. LES HYPERVISEURS

Les hyperviseurs sont de véritables plates-formes complètes d’administration de réseau. Ils

permettent de superviser le réseau global de l’entreprise. Offrant les services d’une
administration propriétaire (ex. : NetView d’IBM pour le réseau SNA) ou ouverte (ex :
OpenView d’HP pour les environnements Unix), les hyperviseurs offrent une vue d’ensemble
du réseau (état des liens, des noeuds, d’un port d’un routeur, d’une carte...).

C. LES SYSTEMES INTEGRES AU SYSTEME D’EXPLOITATION

Les NOS (Network Operating System) comportent un ensemble d’outils non seulement pour
la gestion des utilisateurs, des ressources et de la sécurité, mais aussi de supervision du
fonctionnement général du réseau et tout particulièrement de la machine serveur (charge du
CPU, swapping... ).
 21

CHAPITRE 3 : SECURISATION DES RESSOURCES MATERIELLES ET

LOGICIELLES

La sécurité réseau, c’est-à-dire la sécurisation des ressources matérielles et logicielles, est

mise en place pour réduire les risques inhérents à la connexion à un réseau. Un réseau est un
canal de circulation de données conçu pour accroître l’accès aux nœuds distants, alors que la
sécurité est conçue pour contrôler l’accès. La sécurité du réseau est une combinaison de
contrôles techniques, administratifs et physiques.

L’une des tâches de sécurité réseau les plus importantes c’est le développement d’une
politique de sécurité du réseau. Les administrateurs réseau sont appelés à suivre la vie du
réseau au quotidien et à le sécuriser. Il y aura toujours un besoin de trouver une solution qui
résout le problème de la sécurité du réseau. Un plan de sécurité existant et bien pensé
permettra à l’administrateur de décider de ce qui a besoin d’être protégé, combien vaut la
peine d’investir dans la protection informatique, qui sera responsable de l’exécution des
mesures pour assurer la protection souhaitée. Un plan de sécurité est un document qui décrit
la façon dont une organisation va répondre à ses besoins de sécurité. Il doit évoluer en
permanence pour s’adapter à l’évolution des besoins de l’organisation. Les sections suivantes
comportent les questions abordées par le plan.

3.1.Politique

Un plan de sécurité doit indiquer la politique de l’organisation en matière de sécurité. Une

politique de sécurité est une déclaration de haut niveau de but et d’intention. Les intentions
déclarées portent notamment sur la façon d’ouvrir le réseau et sur la façon de le sécuriser en
conséquence. L’énonce de la politique doit préciser ce qui suit:

Les objectifs de l’organisation pour la sécurité. Par exemple, la protection contre la perte de
données due à une catastrophe naturelle comme une inondation ou un incendie, la protection
de l’intégrité des données, ou comment d’éviter aux utilisateurs de nier les opérations qu’ils
ont effectuées.

Une autre déclaration doit porter sur l’attribution de responsabilités de la sécurité. Par
exemple, si la responsabilité incombe à un petit groupe chargé de la sécurité informatique, à
chaque employé, ou aux gestionnaires concernés?

Et enfin, l’engagement de l’organisation en matière de sécurité. Par exemple, qui fournit un

soutien en matière de sécurité pour le personnel, et où se trouve la place de la sécurité dans la
structure de l’organisation?
 22

La figure présente le cycle de vie de la sécurité dont les phases sont les suivantes:

1. Planification
2. Définition et implémentation de la politique
3. Contrôle et gestion
4. Détection d’intrusion
5. Évaluation
6. Analyse de menaces/risques
7. Création d’une politique de sécurité.

Nous allons aborder l’essentiel de ces phases dans cette section.

3.2. Existant et exigences

Pour être en mesure de planifier pour la sécurité, une organisation doit comprendre les
vulnérabilités actuelles auxquelles elle peut être exposée: Il faut répondre à la question de
savoir quel est l’état actuel de l’entreprise en matière de sécurité. Une enquête minutieuse du
système, de son environnement, et des choses qui pourraient mal se passer doit être menée
avec l’intention de découvrir des vulnérabilités. L’état actuel, encore appelé existant, peut être
exprimé comme une liste des actifs de l’organisation, les menaces à la sécurité sur les actifs et
les contrôles en place pour protéger ceux-ci. L’état indique également qui est responsable de
protéger un actif identifié.

Par ailleurs, le plan de sécurité se bâtit sur les exigences de sécurité qui sont généralement
dérivées de besoins organisationnels. Par exemple, l’accès aux enregistrements de données
devrait être limité (et on indiquera à qui l’accès doit être limité). Les exigences ne doivent pas
inclure les aspects de la mise en oeuvre; elles élucident uniquement ce qui doit être fait, sans
se préoccuper de comment cela doit être fait. Chaque exigence doit être:

 Correcte: Une exigence doit être clairement compréhensible et sans erreur.

 Consistante: Une exigence ne doit pas être en conflit avec une autre et doit avoir un
sens unique.
 Complète: Une exigence aborde toutes les situations de sa nécessité.
 23

 Réelle: Il doit être possible de mettre une exigence en œuvre.

 Nécessaire: Une exigence doit être nécessaire pour l’organisation.
 Vérifiable: Lorsqu’une exigence est mise en œuvre, elle doit pouvoir la mesurer et
prouver que son besoin exact a été atteint.
 Traçable: Une exigence doit être tracée du point de vue des fonctions et des données
associées afin que les changements dans une exigence puisse conduire à la
réévaluation nécessaire.

3.3.Contrôles et responsabilités

Les exigences de sécurité exposent les besoins du système en termes de ce qui doit être
protégé. Le plan de sécurité doit également recommander quels contrôles doivent être intégrés
dans le système pour répondre à ces exigences. L’analyse des risques est nécessaire pour créer
une carte de correspondance des vulnérabilités aux contrôles. La cartographie nous dit
comment le système répondra aux exigences de sécurité. Autrement dit, les contrôles
recommandés portent sur des questions de mise en œuvre: comment le système doit être
conçu et développé pour répondre aux exigences de sécurité énoncées.

Un plan de sécurité doit par ailleurs identifier les personnes qui sont responsables de la mise
en œuvre des exigences de sécurité. Il doit toujours y avoir une ou des personnes responsables
de la mise en œuvre de chaque exigence recommandée. Partant, la responsabilité sera
attribuée à cette personne.

3.4.Chronogramme

Un plan complet de sécurité ne peut être exécuté immédiatement. Le plan de sécurité inclut un
calendrier qui montre comment et quand les éléments du plan seront exécutés. Ces dates
donnent aussi des jalons afin que la direction puisse suivre la progression de la mise en œuvre
(des deux côtés; les contrôles et les personnes responsables). Le plan devrait indiquer l’ordre
dans lequel les commandes doivent être mises en œuvre afin que les expositions les plus
graves soient couvertes dès que possibles.

4.1.5 Action continue

Les bonnes intentions ne suffisent pas quand il s’agit de la sécurité. Nous devons non
seulement prendre soins de définir les exigences et les contrôles, mais nous devons aussi
trouver des moyens pour évaluer la sécurité d’un système pour être sûr que le système est
aussi sûr que nous n’en avons l’intention. Ainsi, le plan de sécurité doit amener à procéder à
une ré-examen périodique de la situation de sécurité. Comme les utilisateurs, les données et
les équipements changent et nouveaux risques peuvent se développer. En outre, les moyens
actuels de contrôle peuvent devenir obsolètes ou inefficaces. L’inventaire des objets (entités
passives) et la liste des contrôles doit être périodiquement examinée et mise à jour, et
l’analyse des risques doit être reprise. Le plan de sécurité doit fixer les dates de ces examens
périodiques, sur la base soit du temps du calendrier (du genre, revoir le plan tous les neuf
mois) ou de la nature des changements de système (du genre, revoir le plan après chaque
publication d’une nouvelle version majeure du système).
 24

NB : La sécurité est un volet primordial et omniprésent de l’administration réseau. Compte

tenu de la diversité des menaces et des sources de menaces, de la nature et du niveau de
vulnérabilité des ressources qui nécessité une sécurisation, de la complexité des théories qui
sous-tendent les techniques de protection, du fait que la sécurité nécessite un coût et de
l’évolution rapide dans le domaine, le choix et l’implémentation des techniques de sécurité
sont loin d’être évidents. Le risque d’aboutir à un fossé de sécurité est toujours présent. La
politique de sécurité permet à l’administration réseau de gérer la sécurité avec une approche
systématique.

4.2 - Analyse de risques

La sécurisation du réseau et de ses composants doit être proportionnelle aux risques auxquels
ils sont exposés. Toutefois, le processus de détermination des contrôles de sécurité qui soient
appropriés et rentables dans chaque cas est souvent assez complexe et demeure parfois une
question subjective. L’une des fonctions principales de l’analyse des risques de sécurité est de
parvenir à fonder ce processus sur une base plus objective. Il existe un certain nombre
d’approches distinctes d’analyse des risques. Cependant, celles-ci peuvent être regroupées
essentiellement en deux types: Approches quantitatives et approches qualitatives.

Un risque est un problème potentiel que le système ou ses utilisateurs peuvent rencontrer. Une
planification de sécurité bonne et efficace est effectuée après une analyse minutieuse des
risques. La figure montre les composantes essentielles d’une analyse de sécurité. Un risque est
associé à ce qui suit:

 La perte associée à un événement. Il s’agit d’un effet négatif qui peut survenir comme
conséquence d’un risque: compromission de la sécurité, le temps perdu, la qualité
réduite, argent perdu, perte de contrôle, perte de compréhension, et ainsi de suite.
Cette perte est appelée l’impact du risque.
 La probabilité que l’événement se produise. C’est la probabilité d’occurrence associée
à chaque risque. Elle est mesurée de 0 (impossible) à 1 (certain). Lorsque la
probabilité de risque est de 1, nous disons que nous avons un problème.
 La mesure dans laquelle nous pouvons influencer le résultat. Nous devons déterminer
ce qu’il faut faire en cas d’occurrence d’un risque; si c’est possible, nous devons faire
quelque chose pour éviter l’impact d’un risque ou tout au moins pour réduire ses
effets.
Le risque est inévitable dans la vie, nos réactions à son égard sont: identifier, limiter, éviter,
transférer, et contrôler son existence. Les étapes de l’analyse des risques sont discutées ci-
dessous.
 25

Trois composantes essentielles de l’analyse et évaluation de risques

4.2.1 Identification des biens

Avant que nous puissions identifier les vulnérabilités, il faut d’abord décider ce que nous
devons protéger. Ainsi, la première étape d’une analyse de risques est d’identifier les actifs du
système informatique qui sont disponibles dans notre infrastructure réseau. Les actifs peuvent
être classés dans les catégories suivantes:

 Hardware: processeurs, cartes-mère, claviers, moniteurs, terminaux, micro-

ordinateurs, stations de travail, lecteurs de bandes magnétiques, imprimantes, disques
durs, câbles, contrôleurs et média de communication.
 Logiciels: programmes sources, programmes objet, programmes achetés, programmes
internes, utilitaires, systèmes d’exploitation, programmes système (tels que des
compilateurs), et programmes de diagnostic de maintenance.
 Données: Données utilisées lors de l’exécution, données stockées sur différents
supports, données imprimées, données archivées, mises à jour, journaux et
enregistrements d’audit.
 Personnes: compétences nécessaires pour faire fonctionner le système informatique ou
des logiciels spécifiques.
 Documentation: sur les programmes, le matériel, les systèmes, les procédures
administratives, et l’ensemble du système.
 Fournitures: papier, formulaires, cartouches laser, supports magnétiques, et fluides
d’imprimante.

Cette liste et son ordre ne sont pas obligatoires, mais elle représente plutôt une ébauche qui
devrait être adaptée en fonction de la situation de l’organisation. Certains actifs ne sont pas
dignes de protection dans certaines organisations mais hautement prioritaire dans d’autres
organisations. La figure montre le diagramme de flux de l’analyse de risques avec les
différentes phases que nous allons parcourir dans cette activité. L’identification des biens et
l’estimation de la valeur de valeur (du point de vue de la sécurité) c’est ce que nous avons
abordé ici.
 26

4.2.2 Détermination de vulnérabilités

La prochaine étape dans l’analyse des risques est de déterminer les vulnérabilités de ces actifs.
Cette étape exige de l’imagination: Nous voulons prédire ce qui pourrait se produire comme
dommages aux biens et de quelles sources cela pourrait provenir. Nous pouvons améliorer nos
compétences imaginatives en développant une idée claire de la nature des vulnérabilités. Cette
nature découle de la nécessité d’assurer les trois objectifs de base de la sécurité informatique:
la confidentialité, l’intégrité et la disponibilité. Ainsi, nous pouvons appréhender la
vulnérabilité comme désignant toute situation qui pourrait entraîner une perte de
confidentialité, d’intégrité et de disponibilité. Nous voulons utiliser une approche organisée
dans la considération des situations qui pourraient causer ces pertes pour un objet particulier.

4.2.3 Estimation de la probabilité d’occurrence et des pertes attendues

La troisième étape de la réalisation d’une analyse des risques consiste à déterminer combien
de fois chaque vulnérabilité est susceptible d’être exploitée. La probabilité de réalisation est
fonction de la rigueur des contrôles existants et de la probabilité que quelqu’un ou quelque
chose échappe aux contrôles existants. Il existe différentes méthodes utilisées pour évaluer la
probabilité d’un événement. L’une de ces méthodes consiste à demander à un analyste
familier avec le système de rapprocher le nombre de fois où un événement décrit a eu lieu
dans un certain laps de temps (un an par exemple). Le nombre pourrait ne pas être exact
(parce les informations à la disposition de l’analyste peuvent ne pas être complètes), la
connaissance de l’analyste du système et son utilisation peuvent donner une estimation
raisonnable.

A ce niveau après l’estimation de la probabilité d’occurrence, nous avons acquis une

compréhension des actifs que nous valorisons, leurs vulnérabilités possibles, et la probabilité
que les vulnérabilités seront exploitées. Dans la prochaine étape il faut déterminer la perte
probable si l’exploitation venait effectivement à se produire. Comme la probabilité
d’occurrence, cette valeur est difficile à déterminer. Certains coûts, tels que le coût de
remplacement d’un élément matériel, sont faciles à obtenir. Pour le coût de remplacement
 27

d’un morceau logiciel on peut effectuer une approximation raisonnable à partir du coût initial
d’acquisition (ou développement: Spécification, conception et implémentation). Cependant,
nous devons prendre soins d’inclure les coûts cachés dans nos calculs. Par exemple, il y a un
coût engendré chez les autres par la non disponibilité d’un matériel ou d’un logiciel. De
même, il existe des coûts pour la restauration d’un système dans son état précédent, la
réinstallation de logiciels, ou la dérivation d’un élément d’information. Ces coûts sont
nettement plus difficiles à mesurer.

En outre, il peut y avoir des coûts cachés qui impliquent des frais juridiques si certains
événements venaient à se produire. Par exemple, certaines données doivent être protégées
pour des raisons juridiques. Les données personnelles, telles que les dossiers de police, les
renseignements fiscaux, les données de recensement et de l’information médicale sont si
sensibles que la législation prévoit des sanctions pénales pour la divulgation de telles données
à des personnes non autorisées. D’autres données font partie des secrets de l’entreprise; leur
publication peut donner un avantage compétitif aux concurrents en rapport avec de nouveaux
produits ou sur des changements possibles sur le prix des actions notées à la bourse. Certaines
données financières, en particulier quand elles reflètent un événement indésirable, pourraient
affecter sérieusement la confiance du public dans une banque, une compagnie d’assurance, ou
une société de courtage en bourse. Il est difficile de déterminer le coût de divulgation de ces
données.

4.2.4 Analyse des contrôles

À ce stade de notre analyse des risques, nous comprenons les vulnérabilités du système et la
probabilité de leur exploitation. Nous passons maintenant à une analyse des contrôles pour
voir ceux qui portent sur les risques que nous avons identifiés. Nous voulons faire
correspondre chaque vulnérabilité à au moins une technique de sécurité appropriée.

4.2.5 Validation du projet

À ce stade de notre analyse de risques, nous avons des contrôles qui répondent à chacune des
vulnérabilités dans notre liste identifiée. L’étape suivante consiste à déterminer si les coûts
l’emportent sur les avantages de la prévention ou de l’atténuation des risques. Rappelons que
l’on multiplie la probabilité des risques par l’impact du risque pour déterminer le niveau de
vulnérabilité au risque. L’impact du risque est la perte que nous pourrions subir si le risque
venait à se transformer en un véritable problème. Il existe des techniques pour nous aider à
déterminer la vulnérabilité à un risque.

Le rapport coût/efficacité d’un contrôle donné représente le coût réel du contrôle (comme le
prix d’achat, les coûts d’installation, et les coûts de formation), moins les pertes attendues de
l’utilisation du contrôle (tels que les coûts administratifs ou d’entretien). Ainsi, le coût réel
d’un contrôle peut être positif si le contrôle est coûteux à administrer ou induit de nouveaux
risques dans un autre compartiment du système. Ou le coût peut même être négatif si la
réduction du risque est plus importante que le coût du contrôle.

Nb : L’analyse de risques est un long processus qui doit être conduit avec minutie, au risque
d’aboutir à des résultats qui ne reflètent pas la réalité. Elle permet de dresser la liste des
 28

ressources de l’entreprise et d’associer un niveau de vulnérabilité à chacune. Ceci permet

d’envisager les mesures de protection nécessaires pour prévenir les différents risques ou
atténuer leur impact le cas échéant. Toutefois, une mesure de protection envisagée ne sera
définitivement retenue et implémentée que si le gain attendu dépasse le coût
d’implémentation.

4.3 Politiques de sécurité

Introduction

La planification de la sécurité basée sur l’analyse des risques de toute organisation devrait
conduire à une politique de sécurité efficace. Une politique de sécurité doit répondre à trois
questions: qui peut accéder à quelles ressources et de quelle manière?

Détails de l’activité

Une politique de sécurité est un document de gestion de haut niveau pour informer tous les
utilisateurs sur l’utilisation d’un système. Un document de politique est écrit en des termes
assez larges qui ne changent pas fréquemment. La politique de sécurité est le fondement sur
lequel tous les efforts de protection sont construits. Il devrait être une représentation visible
des priorités de toute l’organisation, et devrait en définitive stipuler les hypothèses sous-
jacentes aux activités de sécurité. La politique devrait articuler les décisions de le top
management en matière de sécurité ainsi que l’affirmation de l’engagement de ce
management pour la sécurité. Pour être efficace, la politique doit être comprise par tout le
monde comme le produit d’une directive d’une personne d’autorité et influente au sommet de
l’organisation.

Il existe quelques idées fausses qui persistent autour de la politique de sécurité du réseau:

 Le but de la sécurité du réseau consiste en la sécurisation du réseau. Plutôt le but c’est

de sécuriser l’organisation ou l’entreprise. Les politiques de sécurité décrivent ce qu’il
faut sécuriser, et les façons de les sécuriser, pour soutenir l’entreprise ou sa mission. Il
représente le référentiel pour l’utilisation de mécanismes différents: le quoi, comment,
pourquoi, quand et par qui.
 Les politiques de sécurité sont considérées comme devant être longues et complexes.
En fait, c’est le contraire qui est vrai. Nous croyons à l’axiome de sécurité bien connu
“La complexité et la sécurité sont inversement proportionnelles.” Les systèmes
complexes sont généralement moins sûrs que les systèmes simples. Les politiques
complexes sont généralement ignorées; les politiques simples ont la chance de vivre.
Une bonne politique de sécurité est vraiment un ensemble de documents, abordant
chacun un besoin spécifique. En décomposant notre politique globale en petits
morceaux, chacun géré séparément, nous simplifions grandement le processus de
création de documents efficaces, cohérents, pertinents et utiles.
 On attend des politiques de sécurité qu’elles soient presque parfaites, ou à 100%
complètes. Que non! Une sécurité assez bonne maintenant est mieux que jamais une
sécurité parfaite. Un bon plan exécuté en ce moment, est beaucoup mieux qu’un plan
parfait exécuté la semaine prochaine. Il est parfaitement bien de construire des
politiques de sécurité dans certaines parties, affiner chaque partie séparément dans un
processus continu de développement de la politique de sécurité.
 Les politiques de sécurité sont considérées devant être écrites une fois pour toutes.
Non. Jusqu’à ce qu’il n’y ait plus méchants dans le monde et/ou que tout le monde
 29

accepte de s’occuper de soi-même, le processus de gestion d’une politique de sécurité

ne sera jamais terminé. Les menaces auxquelles l’entreprise doit faire face va changer
au fil du temps. De la même façon que les menaces qui guettent l’entreprise changent,
les exigences de l’entreprise vont aussi changer. Les vulnérabilités évolueront aussi,
de la même façon que les risques que l’entreprise sera prête à prendre pour faire les
affaires, de même façon que les outils que nous utilisons pour réduire ou contrer ces
risques. En raison de tout cela, le processus de la politique de sécurité n’est jamais
vraiment achevé.

La politique de sécurité représente la boussole de l’entreprise en matière de sécurité. Elle n’est

jamais achevée et n’est jamais parfaite. Ceci veut dire que l’administration réseau et le
management de l’entreprise doivent intégrer la réalité selon laquelle un incident de sécurité ou
même un sinistre peut effectivement se produire. Raison pour laquelle parmi les mesures de
sécurisation usuelles figurent en bonnes des mesures de gestion des incidents, c’est à dire des
mesures visant à atténuer l’impact d’un incident lorsqu’il s’est réellement produit.

4.4 - Sécurité physique

La sécurité physique concerne la gestion de l’accès aux composants matériels de

l’infrastructure: Salles serveur, salles de télécommunications, etc. Au-delà du filtrage à
l’accès, il faut garder les traces sur les mouvements et gestes des personnes admises dans des
locaux sensibles.

La sécurité physique est la protection du personnel, du matériel, des programmes, des réseaux
et des données de conditions physiques et les événements qui pourraient entraîner de graves
pertes ou des dommages à une organisation. Ceci inclut la protection contre les incendies, les
catastrophes naturelles, les cambriolages, le vol, le vandalisme et le terrorisme. contrôles de
sécurité physiques typiques comprennent gardes, serrures, et des clôtures pour dissuader les
attaques directes. En outre, il existe d’autres types de protection contre les catastrophes moins
directes, comme les inondations et les coupures de courant; ceux-ci, aussi, font partie de la
sécurité physique. Comme nous le verrons, de nombreuses mesures de sécurité physique ne
sera fournie par simple bon sens. Pour comprendre la sécurité physique, nous devons d’abord
comprendre les menaces physiques qui sont classées en trois:

 menaces physiques externes: Ici, nous parlons; inondations, tremblements de terre, les
vents, les ouragans, le feu, la glace, les produits chimiques, etc.
 menaces physiques internes: Ici, nous parlons; une interruption électrique, une fuite de
liquide, une insuffisance de l’environnement, etc. menaces physiques humaines: Ici,
nous parlons; le vol, l’accès non autorisé, le vandalisme, le sabotage, l’espionnage,
etc. contrôles de sécurité physiques doivent être mises en place pour empêcher ces
menaces d’être la réalité. Par conséquent, les clôtures, les barrières, portes, portes avec
des serrures, des badges, des escortes, des systèmes de détection, protection de
l’alimentation, la protection de l’eau, la protection incendie, etc sont mis en place pour
contrôler les attaques.

Le moyen essentiel de la sécurisation physique des biens du réseau c’est le contrôle de l’accès
à ces ressource. En effet, seules des personnes disposant du privilège nécessaire (et qui
 30

découle généralement de la responsabilité occupée) doivent avoir accès aux serveurs et

d’autres équipements sensibles, et même ouvrir un poste de travail.

La sécurisation du matériel et des applications réalisée par l’administrateur réseau est un

exercice qui dépasse actifs compréhension de sécurité, les menaces, les vulnérabilités et les
contrôles; il comprend également la gestion et la mise en oeuvre. Pour réaliser la sécurité, la
planification de la sécurité doit être accompli soutenu par l’analyse des risques à venir avec
une politique de sécurité. Une politique de sécurité organisationnelle est un document qui
précise les objectifs de l’organisation en matière de sécurité. Il énumère les éléments
politiques qui sont des déclarations sur les actions qui doivent ou ne doivent pas être prises
pour préserver ces objectifs. Les documents de politique conduisent souvent à des procédures
de mise en oeuvre. Sécurisation du matériel et des applications a une forte composante
humaine, de l’écriture des plans et des politiques, le travail mental à effectuer une analyse de
risque, les gardes humains qui mettent en oeuvre ou renforcent de nombreux contrôles
physiques et équipe technique qui met en oeuvre des contrôles techniques.

CHAPITRE 4 : MAINTENANCE ET EVOLUTION

Du point de vue de l’administration réseau le cycle de vie des composants et même de

l’infrastructure peut se résumer en trois phases: Installation, maintenance et mise à niveau.

La maintenance se définit comme étant l’ensemble des mesures et activités techniques et

administratives visant à maintenir une unité dans un état (ou à la ramener dans cet état) où elle
peut remplir normalement sa fonction prévue. Ainsi, la maintenance constitue le gros de
l’exploitation d’une infrastructure réseau. Tous les composants allant de simples câbles aux
équipements et aux systèmes logiciels complexes constituent les unités devant faire l’objet de
la maintenance.

La maintenance a un coût, raison pour laquelle toutes les unités ne peuvent pas bénéficier du
même niveau de maintenance. La politique de maintenance procède dans la plupart des cas en
fonction de la valeur économique et de l’importance des composants dans l’infrastructure. Les
activités de maintenance sont nombreuses et nécessitent une organisation efficace.

5.1 - Types de maintenance

La maintenance comprend un volet organisationnel aussi important que les tâches techniques
effectuées lors de l’exécution de la maintenance. Dans un contexte d’administration réseau il
doit y avoir une politique de maintenance bien connue qui définit entre autres le plan et les
méthodologies de maintenance applicables. Nous pouvons distinguer essentiellement deux
types de maintenance rencontrées en environnements informatiques (figure):

 Maintenance réactive.
 Maintenance préventive.
 31

La maintenance réactive ou corrective est une approche simple à la maintenance réseau. Elle
consiste à réagir aux défaillances et autres problèmes lorsqu’ils surviennent. Les
inconvénients de cette approche sont les suivantes sont considérables. On peut citer en
premier le fait que les tâches bénéfiques à un bon fonctionnement du réseau à long terme
soient ignorées, reportés ou oubliés: Quand on a réussi à remettre en fonctionnement l’unité
ayant connu un dysfonctionnement on éclipse facilement les causes, les répercutions et les
enseignements tirés du dépannage. L’autre inconvénient essentiel réside dans le fait que les
interventions de maintenance ne vont pas être effectuées dans l’ordre de priorité (d’urgence),
mais plutôt dans un ordre subjectif aux techniciens ou dans l’ordre d’occurrence des
dysfonctionnements.

En conclusion, la maintenance réactive devient de plus en plus insoutenable dans un

environnement concurrentiel pour les entreprises parce qu’elle conduit en définitive à des
durées d’indisponibilité plus grandes des composants, des compartiments ou de toute
l’infrastructure.

La maintenance structurée ou maintenance préventive permet de réduire le nombre de

défaillances dans l’infrastructure et de réagir plus efficacement aux dysfonctionnements qui
surviennent effectivement. Elle définit à l’avance les procédures et les tâches de maintenance
et établit une planification de ces dernières. La maintenance structurée présente des avantages
clairs par rapport à la maintenance réactive: Réduction de la durée d’indisponibilité, sûreté de
fonctionnement accrue, alignement avec les objectifs de l’entreprise, moins coûteuse. La
figure montre un tableau qui indique pour les deux grands types de maintenance le motif (ou
déclenchement) de l’action, l’état de l’unité et la tâche à réaliser.

Les approches et méthodologies de maintenance sont prises en compte dans les normes de
référence de management des réseaux comme TMN (Telecommunications Management
Network) ou de management des systèmes informatiques comme ITIL (IT Infrastructure
 32

Library). Le choix du type de maintenance détermine les types et quantités de ressources et

d’outils nécessaires à la maintenance.

La maintenance est une rubrique indispensable de l’administration réseau parce que tout
composant ou système technique est susceptible de connaître des dysfonctionnement et a un
durée de vie déterminé. L’organisation de la maintenance s’appuie sur la politique de
maintenance préalable élaborée et adoptée au sein de l’entreprise. La maintenance a un coût
qui dépend des exigences et des efforts à consentir. Raison pour laquelle toutes les unités ne
peuvent pas bénéficier du même niveau de maintenance.

5.2 - Tâches de maintenance

Les tâches de maintenance dans le cadre de l’administration réseau peuvent être regroupées en
cinq grandes catégories:

1. Installation et configuration des composants

2. Réaction aux défaillances
3. Gestion de la performance
4. Procédures organisationnelles
5. Sécurité.

L’installation et la configuration des composants matériels et logiciels représentent des tâches

récurrentes dans l’exploitation d’une infrastructure réseau. Un composant est configuré pour
la première fois lors de sa mise en service et, ensuite, il peut être reconfiguré à nouveau parce
qu’il a été victime d’une défaillance, parce que des changements sont intervenus dans son
environnement de fonctionnement ou parce que des mises à jour sont devenues nécessaires.
Pour les composants logiciels notamment la fréquence de mises à jour est particulièrement
élevée. C’est le cas notamment pour les systèmes d’exploitation et les autres systèmes dont les
 33

modules (de correction) de mise à jour doivent être téléchargés pratiquement au quotidien.
Pour les logiciels d’application la migration à une nouvelle version doit être évaluée, préparée
et justifiée par rapport à l’entreprise: On ne passe pas à une nouvelle version juste parce
qu’elle est disponible. Les tâches de maintenance dans le cadre de l’installation et la
configuration englobent aussi le backup et la restauration des données de configuration.

La deuxième catégorie des tâches de maintenance regroupe les tâches qui permettent de réagir
à l’occurrence de défaillances au niveau des composants individuels ou au niveau de
l’infrastructure réseau. Parmi celles-ci on peut citer l’assistance aux utilisateurs qui
rencontrent des difficultés avec la communication en réseau, le diagnostic des pannes
d’équipements et de lignes de communication, le remplacement d’équipements et la
restauration des backups. L’une des conséquences prévisibles des pannes qui peuvent survenir
dans un réseau c’est évidemment la perte de données. L’administration réseau doit avoir pour
objectif dans ce contexte de réduire les pertes à un minimum.

Le réseau étant un bien important et un outil de productivité incontournable pour l’entreprise,

l’objectif de l’exploitation est d’en tirer l’optimum. La performance perçue par les utilisateurs
au quotidien est une mesure immédiate de cet optimum. Les tâches de maintenance en rapport
avec la gestion de la performance du réseau comprennent : monitoring de l’utilisation, le
réglage (tuning) de la performance, et la planification de la capacité. La planification de la
capacité constitue la base la base pour prévoir l’évolution de l’infrastructure (à l’horizon de
quelques mois ou de quelques années). Il s’agit d’observer le rythme d’évolution du niveau
d’utilisation des différents composants (serveurs, routeurs, lignes de communication, disques
durs, …) et d’estimer les besoins en capacité supplémentaire qu’il faudra acquérir à des
horizons à indiquer. Le monitoring et le réglage de la performance sont des tâches à exercer
au quotidien. Le monitoring permet par exemple de détecter des utilisations déséquilibrées et
d’y remédier. Par exemple une ligne de communication qui est saturée par certains utilisateurs
ou certains systèmes d’application au détriment des autres.

Les procédures organisationnelles comprennent des tâches comme la documentation, l’audit

de conformité et le management du SLA (Service Level Agreement). Le SLA décrit le niveau
de service/performance que l’entreprise peut avoir pris comme engagement vis-à-vis d’un
client ou qui peut avoir été promis à l’entreprise par un fournisseur de service dans un contrat.
Par exemple l’entreprise peut avoir payé pour un certain niveau de service dans le contrat qui
la lie à son fournisseur d’accès Internet. L’administration réseau doit régulièrement évaluer le
niveau de service reçu pour savoir si le SLA est respecté ou pas.

La dernière catégorie de tâches comprend les tâches relatives à l’implémentation et le suivi de

la politique de sécurité de l’entreprise. Une bonne partie du travail dans le cadre de
l’administration réseau est consacrée à l’administration et la maintenance des systèmes de
protection tels que les firewalls et des systèmes de détection d’intrusion (Intrusion Detection
System, IDS).

Les tâches de maintenance sont nombreuses et s’étendent sur tout le cycle de vie des
composants. Par ailleurs, il faut noter qu’en plus des activités techniques on y comptent les
procédures administratives qui relèvent de la dimension managériale de la maintenance. En
fait, une bonne gestion est indispensable à un bon rendement en matière de maintenance. De
nos jours la maintenance s’appuie fortement sur l’utilisation de logiciels spécialisés. On parle
de GMAO (Gestion de la Maintenance Assistée par Ordinateur).

5.3 - Politique et programmation de la maintenance

 34

Nous avons appris des activités précédentes que la maintenance nécessite des procédures
administratives en plus des activités techniques. En fait sans un cadre administratif global
défini dans l’entreprise, on ne saurait prendre des décisions efficaces pour la maintenance et
surtout allouer les moyens financiers nécessaires. C’est la politique de maintenance qui
fournit ce cadre pour l’organisation et l’exécution de la maintenance.

La politique de la maintenance réseau représente le référentiel pour toutes les décisions et

activités relatives à la maintenance réseau dans l’entreprise. Elle fixe en premier la
philosophie de maintenance, c’est-à-dire l’ensemble des principes à respecter dans le cadre de
l’organisation et l’exécution de la maintenance au sein de l’entreprise. La politique de
maintenance doit fixer aussi :

 Le type de maintenance à appliquer, éventuellement en fonction des unités.

 Le niveau de maintenance à appliquer aux différents types de composants : Par
exemple l’inspection périodique des routeurs et des commutateurs du niveau primaire
(dorsale) et du niveau secondaire du réseau peut être autorisé, alors que ceux du
domaine tertiaire doivent uniquement faire l’objet de maintenance réactive.
 Les procédures de maintenance.
 Le plan de maintenance.

Le plan ou programme de maintenance intervient dans le cadre de la maintenance structurée.

Le but de la maintenance structurée ou préventive est d’anticiper sur les défaillances. Ainsi,
elle peut être systématique, c’est-à-dire que les interventions de maintenance sont
programmées et seront exécutées aux dates prévues, quel que soit l’état de l’unité concernée.
Elle peut aussi être conditionnelle : les interventions de maintenance sont exécutées en
fonction de l’état de dégradation constatée au cours de l’inspection préalable. En somme, un
plan de maintenance doit contenir des procédures permettant d’exécuter les tâches suivantes :

 Installation, configuration et mise en route de nouveaux composants.

 Mise à jour des logiciels (upgrading ou patching).
 Adaptation aux ajouts, suppressions ou modifications de composants.
 Backup des données de configuration des équipements et des logiciels.
 Diagnostic des pannes d’équipements et de lignes de communication.
 Dépannage ou remplacement d’équipements défaillants.
 Mesure de performance et planification de la capacité.
 Rédaction et mise à jour de la documentation.
La maintenance préventive conditionnelle s’appuie donc sur les inspections qui sont
programmées à l’avance ou qui peuvent être ordonnées sur la base de certains indices issus de
données de fonctionnement de l’unité concernée. On peut définir une inspection comme étant
l’ensemble d’activités effectuées sur un composant dans le but de déceler des conditions
susceptibles de provoquer des défaillances et/ou de conduire à la détérioration du composant.

La maintenance dans le cadre de l’administration réseau est obéit à la politique et

maintenance en vigueur dans l’entreprise. La politique de maintenance fixe ce qu’on peut
entreprendre dans le cadre de la maintenance, détermine les méthodologies à suivre et définit
un plan de maintenance indispensable pour la maintenance préventive.

5.4 - Documentation réseau

 35

Les informations permettant de retrouver les composants (localisation) et leurs données de

configuration sont primordiales pour la maintenance réseau. Ces informations doivent être
disponibles dans la documentation réseau.

La documentation de l’infrastructure réseau représente un outil indispensable pour l’exécution

des différentes tâches de maintenance. Une telle documentation doit comprendre :

1. Carte du réseau: Il s’agit des diagrammes donnant ensemble la topologie physique et

logique du réseau. C’est-à-dire que la carte doit montrer les composants et les
connexions entre ceux-ci.
2. Liste des connexions: Cette liste doit présenter toutes les connexions physiques
importantes pour le réseau. En plus des câbles réseau et autres lignes de transmission il
y a notamment les circuits électriques.
3. Liste des équipements : Redonne la liste de tous les appareils, les numéros de
composants, les numéros série ; les logiciels installés et leurs versions, les
informations sur les licences et les garanties.
4. Plan d’adressage : Décrit le schéma d’adressage IP du réseau avec notamment la
structuration de l’adressage IP et toutes les adresses attribuées.
5. Configurations: Présente toutes les configurations actuelles des équipements et même
les archives des configurations antérieures.
6. Documentation du design: Ce document explique les choix d’implémentation visibles
sur les autres parties de la documentation réseau.

Les logiciels d’administration réseau, notamment les plate-formes de surveillance, fournissent

de nos jours une aide incontournable à la documentation réseau.
 36

Figure: Carte réseau dressée par un logiciel

La carte réseau représente le document de base pour l’administration du réseau et surtout pour
la maintenance. Les logiciels spécialisés facilitent désormais la création et la mise à jour de la
documentation réseau.

5.5 - Backup et reprise après incident

L’occurrence d’incidents pouvant conduire à des pertes de ressources (et notamment des
pertes de données) dans une infrastructure réseau sont inévitables, quelles que soient les
mesures préventives que l’on peut implémenter. C’est pour cette raison que la sauvegarde
régulière des données représente la seule solution envisageable pour réagir aux incidents et
aux sinistres éventuels.

Le backup ou sauvegarde de sécurité consiste à créer régulièrement des copies des données et
des logiciels contenus dans les machines (serveurs notamment) et les équipements actifs de
l’infrastructure réseau. Ces copies aussi appelées backups qui sont conservées en dehors des
machines en production sont utilisées pour restaurer l’état de configuration des équipements,
pour réinstaller les serveurs et autres systèmes ou pour retrouver les données d’application
après des incidents ayant conduit à des pertes de données ou à une incapacité de redémarrage
d’une machine. Les situations pouvant conduire à de pertes de données sont nombreuses :

 Défaillances d’équipements (hardware).

 Suppression ou modification accidentelle.
 Incidents de sécurité.
 Mises à niveau et migrations.

Le backup doit s’appuyer sur un plan qui doit être évidemment en conformité avec la
politique de générale de maintenance de l’entreprise. Les caractéristiques d’un bon plan de
backup sont les suivantes : Facilité d’exécution (il doit permettre l’automatisation des
sauvegardes, ainsi que les restaurations sélectives de fichiers/dossiers), possibilité de
programmer les sauvegardes, possibilité de vérifier les backups (c’est-à-dire les sauvegardes
effectuées), possibilité d’effectuer des copies délocalisées et portabilité. Le plan de backup
détermine aussi la stratégie de sécurisation. Parmi les stratégies existantes on a :

 Backup complet : On sécurise le système de fichier tout entier.

 Backup partiel : On sécurise sélectivement des fichiers ou dossiers choisis.
 Backup incrémentiel : On sécurise uniquement les fichiers modifiés depuis le dernier
backup.
 37

Un système moderne de sauvegarde

Le plan de backup peut par exemple fixer qu’un backup incrémentiel soit effectué au
quotidien (à la fin de la journée de travail) et qu’un backup complet soit effectué chaque
dimanche (le jour de repos où l’infrastructure est libre et à la disposition de l’administration).

Les systèmes d’exploitation modernes offrent des outils efficaces pour le backup et la
restauration. C’est ainsi que sous le système UNIX/Linux par exemple on a entre autres :

 dump et restore : Pour les backups de tout le système de fichiers. Les deux supportent
aussi les backups incrémentiels.
 tar : Permet un backup fichier par fichier (archivage) et il est particulièrement facile de
restaurer des fichiers sélectionnés.
 compress et gzip : Ces deux outils système permettent d’effectuer des compressions de
données sauvegardées. La compression n’est pas inhérente au backup, mais dans le
cadre du backup et de la restauration on se retrouve généralement devant de gros
volumes de données qui ne peuvent être maîtrisés qu’avec l’aide de la compression sur
disque.

Pendant longtemps les bandes magnétiques ont été type de mémoires secondaires de backup
par excellence. Puis vinrent les disques durs amovibles et, depuis des années on a des
systèmes de backup construits notamment sur la base d’une combinaison dense de disques
durs. De tels systèmes sont conçus pour fonctionner directement en réseau et non comme
périphériques d’un serveur. A ce sujet l’avènement des réseaux de sauvegarde (Storage Area
Network, SAN) a été aussi très bénéfiques pour le backup : Les SANs permettent aux
serveurs d’enregistrer les données directement sur des systèmes de sauvegarde externes de
grosse capacité et de haute performance, avec possibilité de duplication. Ce qui représente
déjà une sécurisation.

La raison d’être du backup c’est aussi de permettre une reprise après un sinistre. Un sinistre
ou désastre est un événement catastrophique qui provoque une panne affectant un massif
bâtiment ou d’un site entier. Du point de vue de la sécurisation de l’infrastructure, il faut
 38

compter avec une perte totale en cas de sinistre. Une catastrophe naturelle comme un
tremblement de terre ou inondation peut causer un sinistre en détruisant la salle des serveurs
ou le datacenter d’une entreprise. La prévention et la remise des sinistres nécessite un plan
bien élaboré.

Le backup consiste à sauvegarder les données d’application ou de configuration contenues

dans les systèmes en réseau en vue d’une restauration future après un incident ayant conduit à
la perte de données sur les composants en exploitation. Les sauvegardes effectuées sont aussi
appelées backups et doivent être gardées dans des environnements sécurisés. Pour cela il
existe des armoires du type des coffres-forts qui sont protégées contre l’eau et le feu (les
incendies et les inondations).
 39

IIème PARTIE : PRATIQUE AVEC WINDOWS SERVER

2008 R2
 40

Introduction

1. Configuration et Installation de Windows Server 2008 R2

2. Installation du contrôleur de domaine Active directory
3. Création des différents objets (UO, Groupes, Utilisateurs)
4. Configuration et Installation des postes clients
5. Windows 7 Edition Intégrale

Introduction

Dans ce chapitre, nous allons passer en revue toutes les étapes par lesquelles nous sommes
passés pour déployer notre solution de gestion centralisée des comptes étudiants et espace de
travail individuel. En commençant par l’installation et configuration du serveur de gestion.

Microsoft a adapté Windows pour que la version 2008 réponde aux besoins et aux attentes des
entreprises et des informaticiens, qu’ils soient programmeurs ou administrateurs.

L’architecture Windows a été adaptée sur plusieurs fondations solides, citons la flexibilité qui
introduit la notion de rôles et de fonctionnalités, lui permettent d’étendre la sécurité au niveau
de l’environnement comme avec l’utilisation de contrôleurs de domaine en mode lecture seule
pour garantir l’accès au réseau en offrant des identités de manières sécurisée.

L’installation de Windows Server 2008 a été simplifiée et optimisée afin de réduire la durée
de l’installation. L’administrateur ne donnera que quatre informations :

 La langue à utiliser et les paramètres régionaux

 Le numéro de licence
 L’acceptation du contrat de licence
 Sur quel disque ou partition installer Windows
 41

TRAVAUX PRATIQUES AVEC WINDOWS SERVEUR 2008

Windows Serveur 2008 : Installation et Configuration des services Réseaux

1. Installation du serveur Windows 2008

Considérant que l’installation du système d’exploitation Windows Serveur 2008 est terminée
avec succès. Quelques taches sont nécessaires :

a) Nommer votre serveur, exemple « UACSr »

b) Attribuer une adresse IP fixe à votre serveur par exemple « 192.168.1.1/24 »
c) Activer les mises à jour Windows
d) Si besoin activer Bureau à distance

2. Installation et Configuration d’un serveur Active Directory

a. Installation

Commencez par ouvrir le "Gestionnaire de serveur" et cliquez sur "Ajouter des rôles".
Dans la fenêtre qui apparait, cochez la case "Services de domaine Active Directory".

Si votre serveur vous demande d’installer ".NET Framework", cliquez sur Ajouter les
fonctionnalités requises".
 42

Cliquez sur "Suivant".

Cliquez sur suivant

 43

Cliquez sur "Installer".

Patientez pendant l’installation.

 44

Cliquez sur "Fermer".

b. Configuration

Retournez ensuite sur le "Gestionnaire de serveur", puis cliquez sur "Accéder à services de
domaine Active Directory". Cliquez sur "Dcpromo.exe".

Soit dans Exécuter (Windows + R), taper dcpromo puis cliquer sur OK. Dans la fenêtre qui
s’affiche cochez sur "Utiliser l’installation en mode avancé", puis sur "Suivant".
 45

Cliquez sur "Suivant".

Sélectionnez "Crée un domaine dans une nouvelle forêt", puis cliquez sur "Suivant".
 46

Entrez le nom de votre domaine, puis cliquez sur "Suivant".

Entrez le nom NETBIOS, puis cliquez sur "Suivant".

 47

Ensuite vous devez choisir le niveau de fonctionnalité de la forêt. Pour faire simple,
vous devez indiquer le plus ancien système d’exploitation de vos serveurs que l’on
trouve dans votre forêt. Considérant que nous dans notre réseau avons un serveur
Windows 2008R2 et un autre serveur Windows 2008 par exemple, nous indiquons un
niveau de fonctionnalité : "Windows Server 2008".

Si vous n’avez pas de Serveur DNS sur votre réseau alors cochez "Serveur DNS".
 48

Si vous avez cochez l’option, la fenêtre suivante va apparaitre cliquez sur "Oui".

Indiquez les chemins des dossiers où seront stockés les fichiers journaux et les BDD,
pour une installation simple laissez les paramètres par défaut.
 49

Maintenant l’assistant va vous demander de configurer un mot de passe, qui servira

en cas de restauration.

Vérifiez les paramètres et cliquez sur "Suivant".

 50

Cochez la case "Redémarrer à la fin de l’opération", puis patientez pendant la

configuration.

Dans la fenêtre "Gestionnaire de serveur" vous observez que le rôle "DNS" et le rôle
"Service de domaine Active Directory" ont bien était installé.
 51

Pour continuer la configuration, développez le rôle DNS sur la partie gauche du

"Gestionnaire de serveur" puis faite un clic droit sur "Zone de recherche inversée" et
"Nouvelle zone ...".
 52

Cliquez sur "Suivant".

Sélectionnez "Zone principale" et cliquez sur "Suivant".

 53

Sélectionnez maintenant le mode de réplication des données DNS, laissons par

défaut, puis cliquez sur "Suivant".

Sélectionnez le type de zone inversée IPv4 ou IPv6, puis cliquez sur "Suivant".
 54

Entrez ensuite l’adresse réseau.

Sélectionnez "N’autoriser que les mises à jour dynamiques sécurisées", puis cliquez
sur "Suivant".
 55

Cliquez sur "Terminer".

c. Ajout d’un utilisateur

Pour créer un nouvel utilisateur, développez le rôle "Service de domaine Active
Directory" aller dans le dossier "Users".
 56

Faites clique droit, "Nouveau" puis "Utilisateur".

Renseignez les différents champs.

Configurez le mot de passe ainsi que les options du compte.

 57

Cliquez sur "Terminez", voilà votre premier utilisateur a était ajouté.

d. Ajout d’une unité d’organisation

Pour créer une nouvelle unité d’organisation (O.U.), qui permet de ranger les
utilisateurs par site ou par fonction dans l’entreprise et ainsi appliquer une GPO

(Group Policies Object) sur l’unité d’organisation pour contrôler les droits des
utilisateurs. Faite un clic droit sur le domaine, "Nouveau" puis "Unité d’organisation".
Donnez un nom puis cochez la case "Protéger le conteneur contre une suppression
 58

accidentelle", voilà votre unité d’organisation est ajoutée.

III- Configuration des postes clients

1. Sous Windows 7 Edition Intégrale

Attribution des adresses IP à l’ensemble des machines

 Le réseau : 192.168.0.0
 Le masque sous réseau: 255.255.255.0
 La passerelle : vide
 Le serveur DNS préférer : 192.168.0.1
 59

Figure 2-21 Attribution des adresses IP à l’ensemble des machines

e. Intégrer une machine dans le domaine

Pour intégrer une machine dans le domaine, ouvrez "Panneau de configuration" de

votre machine qui va se connecter au domaine.

Puis ouvrez "Système". Cliquez sur l’onglet "Nom de l’ordinateur" et sur "Modifier".
Sélectionnez "Domaine" puis entrez le nom de votre domaine.
 60

La station de travail vous demande alors le nom d’utilisateur et le mot de passe d’une
personne autorisé à joindre au domaine.

On vous souhaite la bienvenue.

Et on vous demande de redémarrer la station de travail.

 61

Après le redémarrage vous obtenez l’écran ci-dessous, faite "Ctrl + Alt + Suppr".

On entre ensuite son nom d’utilisateur sur le domaine, le mot de passe associé puis on clique
sur "Options" pour sélectionner le domaine auquel on veut se connecter via le menu
déroulant.
 62

Références du cours

1. [BANQ14] Banquet, P., Bobillier, S.: Linux: Administration système et

exploitation des services réseau. Eni, 3e édition (2014).
2. [BERG07] Bergstra, J., Burgess, M. (Editors): Handbook of Network and System
Administration. Elsevier Science (December 2007).
3. [BURG04] Burgess, M.: Principles of Network and System Administration. John
Wiley, 2nd edition (2004).
4. [Hunt97] Hunt, C.: TCP/IP Network Administration. O’Reilly, 2nd edition (1997).
5. [LIMO07] Limoncelli, T. A., Hogan, C. J., Chalup, S. R.: The Practice of System
and Network Administration. Addison-Wesley, 2nd edition (2007).
6. [PIGN07] Pignet, F.: Réseaux informatiques: Supervision et administration. Eni,
2e édition (2007).
7. Andrew S. TANENBAUM, “Computer Networks, 3rd edition” (traduction
française 1998) Prentice Hall, avril 1996, 813p
8. Danièle DROMARD, Fetah OUZZANI, Dominique SERET, « l’administration
des Réseaux informatiques. Cours et exercices. De la transmission de données à
l'accès au réseau. Tome 1» Eyrolles, mars 1995, 329p,
9. Eric HARTMANN et Frederic HINGRAY, “Administration de réseaux locaux”,
Addison-Wesley, août 1994, 390p,
10. Gérard MOURIER, « L'indispensable pour l’administration des réseaux locaux,
l'essentiel pour bien débuter », Marabout, janvier 1996, 658p,
11. James F. KUROSE, et Keith W. ROSS; “Computer Networking: A Top-Down
Approach”, 5th Edition, Addison-Wesley, 2008, ISBN 013-607967-9
12. Jean-Luc MONTAGNIER, « Pratique des réseaux d'entreprise - Du câblage à
l'administration - Du réseau local aux réseaux télécom » Eyrolles, juilet 1996,
482p.
13. Laurent BLOCH et Christophe WOLFHUGEL, Sécurité informatique.
Principes et méthode à l'usage des DSI, RSSI et administrateurs, 2e édition,
Eyrolles, Paris, 2009.
14. Pierre ROLIN, Gilbert MARTINEAU, Laurent TOUTAIN, Alain LEROY, «
l’administration des réseaux : principes fondamentaux », Hermes, décembre 1996,
574p.
15. William R. Stanek, « Microsoft® Windows Server 2012 : Guide de
l’Administrateur », 5th Edition, Addison-Wesley, 2008, ISBN 013-607967-9;