Académique Documents
Professionnel Documents
Culture Documents
Gestionnaire de configuration
Avril 2023
Mode de diffusion :
Restreinte☒ Libre ☐
2
Gestionnaire de configuration
21/04/2023
Remerciements
Je tiens à exprimer ma reconnaissance envers tous ceux qui m'ont aidé à réaliser ce mémoire sur
l'application de la démarche scientifique.
Tout d'abord, je tiens à remercier mon maître d’apprentissage, Valentin FUMEZ pour son soutien et
ses précieux conseils tout au long de la rédaction de ce mémoire. Sa disponibilité et son expertise ont
été essentielles pour la réussite de ce projet. Je tiens à remercier Thomas GALISSI, Stéphane PAPILLON,
Fabrice FRANCESCHI et Vincent GAYTON pour leur participation au projet.
Je tiens également à remercier les personnes qui ont accepté de répondre à mes enquêtes et à mes
entretiens, sans qui ce mémoire n'aurait pas pu être réalisé.
Résumé
De nos jours, la gestion et la configuration de parc informatiques d’entreprise peuvent poser différents
problèmes, notamment dans les entreprises possédant un grand nombre de serveurs. En effet, la
difficulté d’un parc informatique est de pouvoir gérer l’intégralité de ces serveurs uniquement de
manière centralisée.
La solution idéale pour ces entreprises serait de pouvoir gérer à distance leur système d’information.
Un administrateur pourrait ainsi gérer les configurations qu’il souhaite directement depuis son bureau,
sans pour autant se déplacer.
L’autre aspect important des exigences imposées est le système d’exploitation des serveurs imposé et
il s’agit de Windows. A travers ce rapport, vous trouverez tous les éléments nécessaires à l’application
de la démarche scientifique.
Abstract
Nowadays, the management and the configuration of Computer Park of company can cause various
problems, in companies having a great number of servers. Indeed, the difficulty of a computer park is
to be able to manage all these servers only in a centralized way.
The ideal solution for these companies would be to be able to manage their information system
remotely. An administrator could then manage the configurations he wants directly from his office,
without having to travel.
In view of the requirements of this project, certain functionalities are imperative: The retrieval and
deployment of a file or a configuration is necessary, execution reports to monitor the proper
functioning of a deployment is just as important.
The other important aspect of the imposed requirements is the operating system of the servers is
imposed and it is Windows. Through this report, you will find all the necessary elements to apply the
scientific approach.
1. Introduction
1.1 Problématique
La problématique initiale de ce sujet d’application de la démarche scientifique est le suivant : Quelles
solutions permettraient de gérer et déployer des configurations à grande échelle de manière
sécurisée ? Aujourd’hui, les administrateurs systèmes de la DIT de FIDUCIAL prennent beaucoup de
temps à accéder à certaines applications ce qui impacte leur qualité de travail et aucun outil ne
permettent de centraliser et de déployer des configurations. Abritant environ 1300 serveurs Windows,
l’outil doit permettre de récupérer rapidement des informations à travers ceux-ci. Que ce soit
l’installation, le positionnement ou la récupération de configurations, l’outil doit répondre au besoin
d’une utilisation à grande échelle. L’origine de cette problématique vient du manque d’existant chez
FIDUCIAL à ce sujet. Aucune solution de ce genre est présente sur le parc informatique ce qui fait
perdre un temps précieux aux équipes informatique de la DIT. L’attendu souhaité devra répondre aux
critères présent dans le tableau ci-dessous.
Le tableau régit de la méthode MOSCOW, un outil de gestion de projet utilisé pour classer les tâches
en fonction de leur importance et de leur urgence. Les lettres MOSCOW représentent les catégories
suivantes :
L’avantage de cette méthode est que la priorisation des tâches est bien indiquée en fonction de la
case dans lesquelles les tâches se situent. Cela permet aussi de visualiser le temps et les ressources
disponibles pour le projet.
FIDUCIAL est une entreprise française spécialisée dans les services aux entreprises, aux particuliers
ainsi qu’aux professionnels. Fondé en 1970 par son président, Christian LATOUCHE, FIDUCIAL est basé
à Lyon et est présent dans 80 pays dans le monde.
Les services proposés par FIDUCIAL sont variés et comprennent notamment la comptabilité, la gestion
fiscale, le conseil en droit social, le juridique, le conseil en gestion de patrimoine, la sécurité humaine
et télésurveillance, l’équipement de bureau, …
FIDUCIAL est organisé en plusieurs filiales, chacune spécialisée dans un domaine particulier. Il y a
FIDUCIAL EXPERTISE, qui est dédié à l’expertise comptable et aux services de gestion d’entreprise, on
retrouve aussi FIDUCIAL LEGAL BY LAMY qui est spécialisé dans le conseil juridique et d’autres filiales
qui seront présentées dans quelques paragraphes.
FIDUCIAL a une forte présence dans les petites et moyennes entreprises en France, offrant des
solutions pour les aider à gérer leurs opérations financières et administratives de manière efficace. La
société se concentre également sur l’innovation et la numérisation de ses services pour rester à la
pointe de l’industrie et offrir des solutions adaptées aux besoins de ses clients.
En termes de chiffres, FIDUCIAL possède un chiffre d’affaire de 1.830 Milliard $ à l’échelle mondiale
avec 1.240 Milliard € à l’échelle Européenne. D’un point de vue effectif, l’entreprise compte 19600
collaborateurs dans le monde (dont 15300 en Europe) pour un total de 1230 bureaux à l’international
et 830 agences dans toute l’Europe. En France, le réseau FIDUCIAL représente une agence tous les
30Km.
Le fonctionnement interne de FIDUCIAL est divisé en plusieurs parties. La première partie est
composée des clients internes de FIDUCIAL : les métiers. FIDUCIAL liste 14 métiers : Le droit avec
FIDUCIAL SOFIRAL et FIDUCIAL LEGAL BY LAMY qui exercent leurs missions de conseil et de défense
des intérêts de leurs clients dans le respect professionnel de leur déontologie, l’audit et le
commissariat aux comptes avec FIDUCIAL AUDIT qui réalise des missions de commissariat aux
comptes, d’Audit légal et contractuel. L’indépendance ou la qualité de la prestation fournie sont les
valeurs fondamentales de cette activité. L’expertise comptable avec FIDUCIAL EXPERTISE, société
d’experts-comptables proches de ses clients grâce à leur implantation nationale, maîtrise les
particularités de leurs métiers et établi une relation de confiance et de sécurité. Les organismes
agréés, dont FIDUCIAL EXPERTISE est le membre fondateur, ils font bénéficier à leurs adhérents des
prestations contractuelles leur garantissant une gestion et une fiscalité en toute sécurité. La banque
avec FIDUCIAL BANQUE, qui offre pour les entrepreneurs des services bancaires tels que le
financement, le placement en compte livret et la tenue de comptes. La gestion de placements
immobiliers et de groupement forestiers avec FIDUCIAL GERANCE, qui exerce en qualité de gérant
statuaire ou de mandataire social des véhicules immobiliers qui lui sont confiés toutes les activités
qu’implique la gestion de ces sociétés et de leurs associés ainsi que celles de leurs actifs immobiliers.
Le conseil en gestion de patrimoine et fiscalité, FIDUCIAL CONSEIL propose des prestations dans les
domaines de la protection sociale, de l'assurance vie et aussi des placements immobiliers par
l'intermédiaire de SCPI gérées par FIDUCIAL GERANCE. L’informatique par FIDUCIAL INFORMATIQUE
qui conçoit, développe et déploie des solutions informatiques complètes destinées aux entreprises,
artisans, commerçants et professions libérales, afin de les accompagner dans la gestion de leur activité.
Le Cloud avec FIDUCIAL CLOUD aide à concevoir et à mettre en œuvre des solutions adaptées aux
besoins de l'entreprise pour intégrer / migrer son Système d’Information dans le Cloud et ainsi en tirer
le meilleur parti. La sécurité, où FIDUCIAL SECURITE met en œuvre chez ses clients son expertise et ses
services pour répondre à la sécurité des personnes, des informations et des biens. Et pour finir, le
monde du bureau avec FIDUCIAL OFFICE SOLUTIONS qui commercialise des fournitures de bureau, du
mobilier, de la bureautique et de l'imprimerie. Les 3 derniers métiers sont FIDUCIAL SUISSE, FIDUCIAL
BELGIQUE et la branche de FIDUCIAL aux États-Unis.
Ces 11 métiers possèdent chacun leurs propres bureaux d’études (BE) qui vont exprimer un besoin en
particulier qui va arriver sous la forme d’un projet (réalisation d’un système de paie, création d’un
serveur de fichiers, …). La partie BE fait la transition entre le métier et la DIT (Direction Informatique
et Technique).
La DIT est le dernier élément et la partie la plus importante du fonctionnement interne de FIDUCIAL.
Elle est composée de plusieurs services informatiques tels que la DIT-SSI, la DIT-EPDT, la DIT-CLOUD,
la DIT-SSD et la DIT-Firme. La DIT-SSI est l’équipe chargée de la sécurité du SI de FIDUCIAL, l’équipe
est composée d’ingénieurs sécurité, d’un analyste SOC et d’un architecte sécurité. La DIT-EPDT
s’occupe de l’environnement poste de travail des salariés de FIDUCIAL. La DIT-CLOUD est responsable
de l’organisme FIDUCIAL CLOUD. Le rôle de la DIT-SSD est de préparer les postes ainsi que les serveurs
d’agences, la différence avec la DIT-EPDT est que celui-ci s’occupe plus de la partie déploiement et
utilisation du master. La DIT-FIRME est composée de 5 équipes qui sont respectivement Systèmes,
Réseau, Exploitation, Socle ainsi que les chefs de projets. Les missions des systèmes sont de pouvoir
intégrer les applications des BE, allant de la simple création de VM à l’assistance en architecture ou à
l’intégration d’un composant. Ils ont aussi comme mission de faire évoluer les outils et pratiques afin
de répondre plus facilement aux besoins des BE, de pouvoir faire de l’amélioration continue ainsi que
de répondre aux tickets des BE. L’équipe réseau a pour but de gérer les ouvertures de flux entre les
différentes machines sur le réseau, de plus ils procèdent à la création de l’architecture réseau de
certains projets orientés infrastructures. L’équipe exploitation supervise et gère les états des serveurs
du parc informatique de FIDUCIAL. L’équipe socle est principalement axée sur la partie sauvegarde et
disponibilité de la donnée et pour finir, les chefs de projets ont pour objectif de cadrer les différents
projets proposés par les bureaux d’études, ils orchestrent les échanges entre les autres équipes de la
DIT-Firme et les BE.
2. Développement
Un gestionnaire de configuration informatique (GCI) est un outil utilisé par les entreprises pour gérer
et surveiller les configurations des ordinateurs et des périphériques réseaux. Il permet de détecter les
modifications apportées aux configurations, de stocker les configurations initiales et de générer des
rapports sur les différences entre les configurations actuelles et initiales. Les GCI peuvent également
être utilisés pour automatiser le déploiement de logiciel et de mises à jour, ainsi que pour gérer les
accès aux ressources réseau. En utilisant un gestionnaire de configuration, les entreprises peuvent
améliorer la sécurité de leur réseau, réduire les risques de perturbations et augmenter l’efficacité de
leurs opérations informatiques. Dans le cadre du projet « Gestionnaire de configuration », les seuls
périphériques seront des serveurs.
La première partie de l’état de l’art est basé sur l’identification des éléments de configuration : « Les
éléments du système sont les sujets, les questions, les questions de fait, les positions, les arguments et
les modèles, les questions de fait, les positions, les arguments et les problèmes types. » (KUNZ & W. J.,
1970). Cette citation désigne l’importance qu’implique l'identification des différents éléments du SI.
Ceux-ci doivent être suivis et contrôlés car ils sont le produit sur lequel le gestionnaire de configuration
va opérer. Cela peut inclure des logiciels, des serveurs, des réseaux, des bases de données, des
applications, des données et des documents. D’un point de vue général, le système d’information
d’une entreprise est ce qui fait fonctionner celle-ci.
« La gestion des réseaux informatiques est toujours un travail pénible, laborieux, sujet aux erreurs et
dont la complexité est sans cesse croissante en raison de l’évolution des technologies et du matériel qui
entre en compte » (HALLÉ, VILLEMAIRE, & CHERKAOUI, 2005). Premièrement, les équipements
formant le système d’information d’une entreprise doivent se comporter comme s’ils composaient un
groupe, comme s’ils coexistaient. D’un autre côté, ces mêmes équipements sont gérés et configurés
initialement de manière individuelles. En effet, la configuration d’un serveur change en fonction du
besoin de l’utilisateur. La complexité réside dans l’ajout de nouveaux services sur ces appareils,
l’administrateur du parc informatique doit s’assurer du bon réglage des paramètres de configurations
de ses serveurs.
Disponibilité
gestionnaires de configuration a bien évolué depuis. Dans un résumé de l’IDC, « Le marché européen
du SCM retrouve lentement une trajectoire positive, avec une croissance marginale prévue en 2021 à
1,2% en dollars constants. Cependant, il s'accélérera après 2022, avec une croissance qui passera à plus
de 4 %. Ceci est le résultat des perturbations majeures provoquées par la pandémie et des asymétries
de reprise entre les régions européennes - les économies locales rebondissent à des rythmes différents,
et certaines industries clés sont toujours confrontées à des défis. » (STRATIS, 2021) Comme Indiqué par
l’IDC, le marché des gestionnaires de configuration est touché par des évènements mondiaux tels que
la covid-19. En effet l’arrivée de cette pandémie a eu pour effets sur les entreprises d’instaurer le
télétravail pour ses collaborateurs. Cette solution a permis de mettre en avant les solutions de
gestionnaires de configuration afin de pouvoir gérer tous les équipements à distance. Couplée à
l’évolution du nombre d’équipements informatiques dans les entreprises, cette augmentation de 4%
est justifiable. A l’avenir, ce marché semble tout autant être amené à croître.
Le tableau suivant proposé par le site MARKETSANDMARKETS prévoit un taux de croissance annuel
composé (de l’anglais Compound Annual Growth Rate) de 15,1% sur la période prévisionnelle de 2019
à 2024 avec un capital total de 3.3 milliard de dollars en 2024.
Figure 6 : Le triangle du service informatique (MEYLER, HOLT, OH, SANDYS, & RAMSEY, 2013)
Sécurité
Alex BAKMAN, le PDG d’Ecora Software indique dans le journal Computer Fraud & Securite que « Selon
les données du FBI et de l'université Carnegie Mellon, plus de 90 % des failles de sécurité impliquent
une vulnérabilité logicielle causée par l'absence d'un correctif dont le service informatique avait
connaissance. En fait, le ver SQL Slammer aurait pu être évité si un correctif disponible six mois plus tôt
avait été appliqué. Il suffit de demander à la Bank of America, au ministère américain de la défense et
au ministère de l'énergie, parmi tant d'autres, ce qu'il en est advenu. » (BAKMAN, 2003) SQL Slammer
est un ver informatique ayant provoqué un déni de service sur des équipements hôtes d’internet
causant à la suite d’un correctif de mis à jour non appliqué. L’application de correctif de mises à jour
sur les équipements d’un système d’information permet de corriger les vulnérabilités connues dans le
logiciel ou le système d’exploitation. D’un point de vue performance, un patch peut permettre de
corriger certains bugs et erreurs affectant les performances des équipements. Mais surtout, le
déploiement de correctifs de mises à jour favorise la maintenance de la conformité du système
d’information.
« Il n’est pas rare dans un projet de devoir revenir à un état antérieur au développement courant, que
ce soit pour intervenir sur une version précédente, mais aussi pour défaire un développement qui s’est
avéré erroné et bloquant. Aussi, une simple copie figée d’une version antérieure ne suffit pas dans ce
dernier cas. Idéalement il faut pouvoir défaire tous les changements apportés un par un et pour ce faire
il est nécessaire d’archiver chaque modification et pouvoir retracer ces modifications grâce à un
historique explicite. […] Souvent le terme de gestion de configuration est confondu avec celui de gestion
de versions, car il s’agit d’un principe essentiel. Pourtant la GCL ne doit pas être réduite à ce seul
aspect.» (JGENTI, 2005) Le contrôle des versions est un autre élément important de la gestion de
configuration. Il s'agit de gérer différentes versions des éléments de configuration et de les contrôler
pour s'assurer que les changements apportés sont cohérents et conformes aux exigences du système.
Comme dit dans la citation ci-dessus, la gestion de versions fait partie de la gestion de configuration et
les deux ne peuvent pas être comparées. Contrainte importante mais non nécessaire à notre projet, la
faculté de pouvoir faire des retours arrière relève d’une gestion de versions.
La gestion et la configuration d'un parc informatique de grand compte peuvent s’avérer être une tâche
complexe. La solution idéale serait de pouvoir gérer à distance le système d'information, ce qui
permettrait de gérer les configurations souhaitées directement depuis son bureau, sans avoir à se
déplacer. Certaines fonctionnalités sont indispensables, telles que la récupération et le déploiement
de fichiers ou de logiciels, ainsi que des rapports d'exécution pour surveiller le bon fonctionnement
des déploiements.
L’outil que nous utilisons actuellement pour recenser l’intégralité des serveurs chez FIDUCIAL est un
tableur. Ce fichier conserve depuis 2001 toutes les données sur les serveurs du parc informatique de
l’entreprise. Un total de 3012 serveurs est inscrit sur le fichier. Cette solution possède plusieurs
inconvénients : les administrateurs sont obligés d’indiquer manuellement les nouveaux serveurs créés.
De plus l’accès à ce fichier n’est pas protégé et une personne non formée sur le tableur pourrait causer
des problèmes au fichier. Enfin, le réel inconvénient de celui-ci réside dans son évolutivité. Comment
s’assurer qu’un serveur est toujours fonctionnel à partir de ce fichier, existe-t-il encore ?
1377
1635
Windows Linux
Grâce au résultat sorti par le tableau, on remarque que plus de la moitié des serveurs tournent sous
un environnement Linux. Dans le cadre du projet, mon objectif est de m’assurer de la bonne
implémentation des serveurs Windows dans le gestionnaire de configuration.
Sur le schéma de gauche, on déduit rapidement qu’en grande partie la majorité des serveurs Windows
de FIDUCIAL tournent sous Windows server 2012, suivi par Windows 2008 r2. On peut soulever un
questionnement important à partir de ce diagramme : Le gestionnaire de configuration peut
paramétrer des serveurs ayant comme système d’exploitation Windows 2012 et moins ? La
compatibilité des gestionnaires de configuration est un facteur très important dans le choix de notre
solution finale.
Coté système d’exploitation Linux, on remarque rapidement le très grand nombre de distributions et
la problématique reste la même sur les versions arriérées.
2.5.1 SCCM
SCCM de son acronyme System Center Configuration Manager, est un logiciel de gestion de systèmes
utilisé pour gérer les ordinateurs et serveurs sur un réseau d’entreprise. Il permet aux administrateurs
informatiques de déployer, mettre à jour et gérer les logiciels, les paramètres et les politiques sur les
composants Windows. SCCM peut tout aussi être utilisé pour effectuer des inventaires matériels et
logiciels, gérer les images système et effectuer des diagnostics à distance. SCCM est souvent utilisé en
conjonction avec d’autres outil de gestion de Microsoft, tels que Active Directory et Microsoft Intune.
La mise en œuvre de System Center Configuration Manager requiert que des prérequis soient
respectés et appliqués afin que notre environnement soit stable. Une version de SQL Server est
nécessaire pour le fonctionnement de SCCM, j’ai donc opté pour un SQL Server 2019. De plus, nous
avons besoin de ADK 1809 et l’Add-On de WinPE. Nous avons besoin de ses outils pour personnaliser
les images Windows pour des déploiements à grande échelle et pour tester la qualité et les
performances de notre système. En terme de ressource, il faut à minimum 50Go de stockage 8Go de
RAM et 4 processeurs.
Une fois l’environnement configuré correctement, nous voici sur le tableau de bord de SCCM :
L’onglet « Devices » se présente comme ceci. Nous pouvons remarquer 7 serveurs. Chaque serveur
possède une icône . La première icône signifie le fait que le serveur a été découvert par
SCCM grâce à la découverte de l’AD. En effet, nous pouvons activer une option permettant de
découvrir tous les serveurs de notre domaine de test. La deuxième icône signifie que le serveur est
actif et il possède un agent SCCM actif. La dernière icône indique que le serveur est inactif et possède
un agent SCCM.
Grâce à l’activité de l’agent SCCM, nous bénéficions de beaucoup d’informations sur les serveurs gérés
allant de leurs ressources aux derniers utilisateurs connectés ainsi que d’autres renseignements.
La partie « Administration » est une partie complète qui nous permet d’aller chercher des
fonctionnalités directement sur internet. C’est dans cette partie aussi que l’on peut configurer une
hiérarchie à l’aide de groupes, paramétrer les méthodes de découverte, gérer les forêts Active
Directory, …
2.5.2 KACE
Solution de gestion de la flotte d’ordinateur pour entreprises, KACE est un produit de Dell Technologies
qui permet de gérer de manière centralisée les ordinateurs de son réseau. Il offre une variété de
fonctionnalités pour automatiser les tâches courantes de gestion de l’infrastructure informatique,
comme la distribution de logiciels, la mise à jour de pilotes, la gestion de paramètres de sécurité, la
surveillance des performances mais aussi la génération de rapports. KACE est basé sur une architecture
client-serveur où des agents légers sont installés sur les ordinateurs clients pour communiquer avec le
serveur KACE et recevoir des instructions. KACE permet de créer des scripts pour automatiser les
tâches répétitives. Il offre également une fonctionnalité de déploiement de package qui permet de
déployer des applications et des mises à jour sur les ordinateurs clients toujours de manière
centralisée. De plus, KACE propose des fonctionnalités de surveillance pour surveiller les performances
des ordinateurs clients, y compris la mémoire utilisée, l’espace disque disponible et les utilisateurs
connectés. Accompagné de la génération de rapports, cela aide les administrateurs à identifier les
problèmes potentiels.
Pour réaliser l’installation de Kace, j’ai fait appel à un technicien de Quest (éditeur de logiciels dont
Kace fait partie). Une réunion s’est tenue afin de pouvoir échanger sur les prérequis à avoir pour la
bonne installation des serveurs et de l’environnement Kace. Par le passé, j’ai déjà utilisé Kace lors de
mon stage de 1ère année d’école d’ingénieurs. Ce gestionnaire de configuration m’a marqué à cause de
sa facilité à trouver rapidement l’information que je souhaitais.
L’environnement du POC (Proof Of Concept) a bien été limité à quelques machines virtuelles. De plus
le domaine de test a été utilisé afin d’éviter d’utiliser le domaine principal de FIDUCIAL.
La première étape était d’installer le serveur qui allait héberger Kace SMA (System Management
Appliance). Les prérequis pour la machine étaient de posséder 4 processeurs (CPU), 8 GB de mémoire
vive (RAM) et 1TB de stockage. Le disque de stockage a été configuré en « thin provisionning ». Lors
de la configuration de machines virtuelles, le choix nous est proposé de configurer les disques de
stockage en « thick provisionning » ou en « thin provisionning », le premier est une méthode de
provisionnement dans laquelle la capacité de stockage allouée à un disque de VM est réservée
immédiatement sur le système de stockage. Cela signifie que si la quantité de stockage n’est pas
utilisée entièrement, la réservation peut gaspiller de l’espace de stockage. La seconde méthode est à
l’inverse de la première, plus adaptable. En effet, la capacité de stockage est allouée dynamiquement
au fur et à mesure que la VM en a besoin. La carte réseau de la machine est configurée de telle sorte
à ce qu’elle est uniquement accès à notre laboratoire de test situé en zone privée.
Une fois la machine virtuelle créé, nous avons pu commencer à la paramétrer sur le réseau. Nous avons
pris le choix de configurer le serveur à l’aide d’une IP statique et non d’un DHCP (protocole permettant
d’attribuer dynamiquement des IP aux serveurs d’un réseau) car cela nous permet plus facilement de
repérer le serveur en fonction de son adresse et cela nous évite des erreurs réseaux à la suite d’un
changement d’adresse. Bien évidemment, nous avons donné un nom à l’hôte du serveur : SMA. Dans
le paramétrage du serveur, nous avons indiqué le domaine du labo afin de pouvoir joindre le contrôleur
de domaine. Le DNS principal étant situé sur le serveur 4, nous avons dû insérer son adresse ip. La
dernière configuration est d’insérer la passerelle par défaut. Voici un schéma explicatif du laboratoire
pour le POC.
Après avoir créé les comptes de connexion à la plateforme web de Kace SMA, nous voilà rendu sur la
page d’accueil :
Nous pouvons observer sur la capture d’écran que 3 périphériques sont connectés à l’appliance. De
plus, un diagramme nous montre le pourcentage de système d’exploitation géré dans notre parc de
test. En cliquant sur les connexions, nous sommes renvoyés sur un autre onglet recensent nos
périphériques :
Nous retrouvons 3 serveurs de notre lab. A partir de cet onglet, nous pouvons obtenir un nombre
d’informations conséquentes sur les périphériques : L’état des machines (si elles sont gérées par un
agent ou non), leur nom, leur adresse IP, l’adresse IP de la passerelle (similaire aux 3 étant donné que
nous sommes sur un réseau commun), le dernier utilisateur connecté, le dernier inventaire réalisé par
l’agent (il est possible de choisir l’intervalle d’inventaire d’un agent pouvant aller de 15 min à 5 heures,
de plus nous pouvons forcer l’inventaire à n’importe quel moment), le dernier redémarrage du
serveur, la version de l’agent ainsi que le nom du cessionnaire.
En cliquant sur un des serveurs, des détails plus poussés sont donnés sur le périphérique :
Voici le résumé d’information du serveur 1. Uniquement avec cette vue, nous pouvons déterminer
les principales caractéristiques qui composent ce serveur.
La logique derrière le recensement de chaque information facilite la recherche d’information. Une des
parties intéressantes est la partie « Logiciel » ainsi que sa sous partie « Programmes installés ». Elle
permet de faire un listing rapide des applications présentes sur le serveur, les services Microsoft sont
aussi présents. De plus, Une des contraintes obligatoires du projet gestionnaire de configuration est la
faculté à pouvoir installer et désinstaller des programmes.
On peut tout de suite repérer que Kace SMA nous propose des scripts déjà configurés. Tous types de
scripts sont proposés : Activation de lecteurs, Arrêts de systèmes, émissions de commandes DOS,
contrôle à distance, … Dans les contraintes du projet, la solution de gestionnaire de configuration doit
être capable de déployer des fichiers à distance. Voici un exemple de script permettant de déployer
un fichier :
Les premiers champs à remplir pour créer un script sont d’indiquer le nom de celui-ci, du type du script
(il existe trois types : le KScript en ligne qui est le langage de scripting propre à Kace ; du script Shell en
ligne ; et du KScript hors ligne), de l’insérer dans une catégorie de script en particulier ce qui nous
permet de répertorier les scripts en fonction de nos choix. Il est aussi possible d’ajouter une description
et des remarques au script (la plupart du temps, on notera le nom de l’extension du fichier et l’objectif
de déploiement de celui-ci).
Partie principale pour le bon déploiement du script, Kace nous laisse l’opportunité de directement
déployer ce script sur l’intégralité des périphériques. Dans le cadre de notre POC, nous allons
seulement le déployer sur le serveur 1. La partie « Gérer les étiquettes associées » permet de déployer
le script sur un nombre de serveurs possédant une étiquette ayant le même nom. La partie « Gérer les
systèmes d’exploitation » permet de déployer le script sur l’OS que l’on souhaite. Cela peut varier entre
Windows, Mac et Linux mais aussi sur des versions internes à l’OS (Windows Server 2022,2016, …).
Suivant la partie déploiement, nous avons la possibilité de planifier le déploiement du script. Kace nous
laisse l’opportunité de totalement personnaliser cette partie. Dans la partie « Afficher le calendrier des
tâches », nous pouvons gérer tous les déploiements ainsi que leurs ordres.
Partie très complète pour l’élaboration d’une tâche, il est possible d’ajouter des actions en fonction de
l’état du script. Dans la partie « Vérifier » nous pouvons par exemple contrôler qu’une valeur dans
l’éditeur dans le registre est égal à 3, vérifier la présence d’un fichier dans un répertoire, … La partie
« En cas de réussite » permet d’insérer la réelle intention du script, dans notre cas pour le déploiement
d’un fichier, nous pouvons indiquer le téléchargement du fichier à l’endroit souhaité dans le serveur
sélectionné précédemment. La partie « Correction » fonctionne de pair avec la partie « Vérifier », si la
vérification est fausse, la correction permet de remplacer la valeur de l’éditeur de registre. Les deux
dernières partie « En cas de réussite de la correction » et « En cas d’échec de la correction » peut par
exemple servir à afficher des consignes, statuts, en fonction de la réussite/échec de la correction.
Kace génère automatiquement des rapports d’exécution qui indique l’état du déploiement en temps
réel. La possibilité nous est donnée d’exporter les rapports en fonction de différentes extensions de
fichier : .pdf, .txt, .xls, .html, …
A l’aide de cette information, on peut déduire que 94% des serveurs Windows seront couverts par
l’agent Kace.
2.5.3 Tanium
Tanium est une plateforme de gestion de la cybersécurité qui permet aux entreprises de surveiller et
de protéger leurs systèmes informatiques en temps réel. Il utilise une technologie de questionnement
en temps réel pour recueillir des données sur l’ensemble des appareils connectés parc informatique
d’une entreprise en quelques secondes. Cela permet la détection et la résolution de problèmes de
sécurité et de conformité par les administrateurs informatiques du réseau. De plus, Tanium offre une
vue complète de l’état de la sécurité des systèmes d’une entreprise permettant aux administrateurs
de surveiller les vulnérabilités, les logiciels malveillants ainsi que les configurations non conformes.
Finalement, Tanium est également capable de gérer les mises à jour de sécurité, les correctifs et les
applications sur les ordinateurs de l’entreprise, ainsi que les stratégies de sécurité et les politiques de
conformité. Il est souvent utilisé par les grandes entreprises et les organisations gouvernementales
pour protéger leurs systèmes contre les menaces de cybersécurité.
Deux prestataires de Tanium nous ont présenté un POC de leur solution. A travers cette
représentation, j’ai pu déterminer que Tanium est une solution informatique énormément orientée
sécurité pouvant faire office de gestionnaire de configuration. Le tableau de bord de Tanium est
accessible via le web et il a la capacité de suivre et récupérer les informations en temps réel. Un
système de requête est disponible sur le gestionnaire ce qui permet de facilement moduler le parc
informatique (ex : sélectionne tous les serveurs ayant un OS Windows 2016). De plus, l’implémentation
de scripts tout langage pour récupérer de la data est envisageable.
2.5.4 Ansible
Ansible est un outil de déploiement automatisé open source. Il permet aux administrateurs systèmes
de décrire les états souhaités de leur infrastructure, puis de les atteindre automatiquement en utilisant
des scripts appelés « playbooks ». Ansible utilise SSH pour communiquer avec les hôtes cibles, ce qui
signifie qu’il n’a pas besoin d’installer de logiciel supplémentaire sur les hôtes pour fonctionner. Il
utilise également un langage de définition de configuration simple appelé YAML pour écrire les
playbooks, ce qui le rend facile à apprendre et à utiliser. Ansible peut être utilisé pour configurer les
OS, installer des packages, déployer des applications et bien plus encore. Il peut gérer les états d’un
groupe d’hôtes simultanément en utilisant des groupes d’hôtes et des groupes de groupes, ce qui
permet de gérer un grand nombre d’hôtes de manière efficace. Il prend également en charge les autres
modules d’automatisation de tâches comme les commandes de base Linux, les commandes PowerShell
et les commandes Cisco IOS. Ansible est également capable de gérer les dépendances entre les tâches,
c’est-à-dire de s’assurer que les tâches sont exécutées dans un ordre précis, ce qui est particulièrement
utile pour les déploiements d’application complexes.
2.5.5 PowerShell
PowerShell est un Shell développé par Microsoft pour Windows qui permet aux utilisateurs d’interagir
avec le système d’exploitation et les applications en utilisant des commandes et des scripts. Il a été
créé pour remplacer l’invite de commande de Windows et offre des fonctionnalités avancées telles
que la gestion de la configuration, l’automatisation des tâches et l’accès aux données de différents
services et protocoles. PowerShell est basé sur la syntaxe du Cmdlet, qui est similaire à celle des
commandes en ligne, mais permet également l’utilisation de scripts et de modules pour automatiser
des tâches complexes. Il prend en charge de nombreux protocoles, notamment WMI, CIM, et WS-
Management, et peut être utilisé pour gérer des services tels que Active Directory, Exchange, et
SharePoint. PowerShell est également intégré à Windows Server et peut être utilisé pour automatiser
des tâches liées à la gestion des serveurs, comme la configuration de la sécurité, la surveillance des
performances et la mise à jour des logiciels.
PowerShell n'est pas spécifiquement conçu pour être un gestionnaire de configuration, mais il peut
être utilisé comme tel en combinaison avec d'autres outils. PowerShell est souvent utilisé en
conjonction avec des outils de gestion de configuration tels que Puppet, Chef et Ansible, qui peuvent
exécuter des scripts PowerShell pour automatiser les tâches de configuration sur des machines
distantes.
2.5.6 GLPI
Acronyme de Gestionnaire Libre de Parc Informatique, GLPI est un système de gestion de parc
informatique open source développé en PHP. Il permet de gérer les actifs informatiques d’une
entreprise, tels que les ordinateurs, les imprimantes, les téléphones, les logiciels, etc. Il offre
également des fonctionnalités de gestion de la configuration, de la maintenance et de la sécurité.
Surtout connu pour son système de ticketing, GLPI utilise des formulaires pour créer des tickets
d’incident et gérer les demandes de service et suivre les tickets en cours. GLPI propose aussi des
fonctionnalités de reporting et de statistiques, qui permettent de générer des graphiques et des
tableaux de bord pour suivre les performances de l’infrastructure informatique, les tendances des
incidents, les coûts d’exploitation, etc.
Red Hat Enterprise Linux Smart Management est une fonctionnalité de gestion des OS qui permet de
gérer de manière centralisée des ordinateurs exécutant des OS RHEL. Il fournit des outils pour
automatiser les tâches de mise à jour, de configuration et de déploiement, ainsi que pour surveiller les
performances et la sécurité des systèmes. Avec RHEL Smart Management, les administrateurs peuvent
utiliser une interface web pour gérer des centaines d’ordinateurs à distance. Il permet de voir les
informations systèmes, de configurer les paramètres de sécurité, de mettre à jour les systèmes
d’exploitation et les logiciels. Il offre également des fonctionnalités de gestion de configuration,
permettant de vérifier l’état de la conformité et de déployer rapidement les modifications de
configurations.
Salt est un système de gestion de configuration open-source pour les OS basés sur UNIX. Il permet aux
utilisateurs de définir et de gérer la configuration de leurs systèmes de manière centralisée. Salt utilise
une architecture client-serveur, où un serveur Salt « maître » envoie des ordres aux « esclaves » ou
« nœuds » connectés. Les nœuds exécutent alors ces ordres et renvoient les résultats au serveur
maître. Les utilisateurs peuvent utiliser Salt pour installer des logiciels, mettre à jour des
configurations, gérer les utilisateurs et les groupes, et plus encore. Salt prend en charge un grand
nombre d’OS tels que Linux, MacOs et Windows. Salt utilise un langage de modèle de configuration
appelé SLS, qui est basé sur YAML et facile à lire et à écrire. Les utilisateurs peuvent écrire des modèles
de configuration SLS pour décrire la configuration souhaitée de leurs systèmes, et Salt s’assurera que
cette configuration est appliquée de manière consistante sur tous les nœuds correspondants.
2.5.9 Puppet
Outil de configuration open source, Puppet permet aux utilisateurs de décrire et de gérer l’état des OS
et des applications dans un environnement informatique. Il utilise un langage de déclaration de
configuration pour décrire la configuration souhaitée d’un système, puis automatise la mise en place
et la mise à jour de cette configuration sur les systèmes cibles. La gestion des systèmes distribués se
fait en utilisant un serveur Puppet centralisé pour gérer les configurations des systèmes distants. Il
peut également intégrer des outils de surveillance et de rapport pour suivre l’état des systèmes et les
changements apportés à leur configuration.
Afin de choisir la solution finale, j’ai dû comparer les solutions entre elles. Dans un premier temps, le
critère qui m’a permis d’écarter le plus de solutions de gestionnaires de configuration est le fait que la
solution doit être plus adapté aux clients Windows (important mais non nécessaire sur la table
MOSCOW). Même si les solutions comme Ansible, Salt et Puppet permettent la gestion d’OS sur
Windows, je les ai écartés de la sélection des challengers car ce sont des gestionnaires de configuration
plus adaptés au système d’exploitation Linux. RHEL Smart Management étant une solution
uniquement orientée Linux, je l’ai aussi écarté. Comme énoncé plus haut, Powershell n’est pas une
solution de gestionnaire de configuration à part entière, ce qui permet de l’écarter des challengers
aussi. J’ai décidé d’écarter la solution GLPI car il présentait plus d’inconvénients que d’avantages. En
effet, bien que GLPI soit une application très puissante, elle est assez complexe à mettre en place et à
configurer. Après des échanges avec mes équipiers, configurer GLPI peut très rapidement devenir une
« usine à gaz » et devenir moins ergonomique. De plus, GLPI est limité dans la gestion de configuration
avancée. La complexité du parc informatique avec différentes zones dont certaines n’ayant pas accès
à internet où des règles de sécurité rigoureuses doivent être appliquées n’est pas applicable par GLPI.
Le point qui m’a affirmé la non-sélection de GLPI est sa dépendance à d’autres applications notamment
pour la collecte de données sur le matériel, ce qui peut engendrer des problèmes de compatibilité et
aussi de mise à jour avec ces applications tierces. J’ai choisi d’écarter Tanium, bien que cette solution
soit complète, elle reste axée sur la partie sécurité et beaucoup d’options nous sont proposées alors
qu’elles ne correspondent pas à l’usage que l’on souhaite faire de Tanium. Ce surplus d’options
engendre une hausse de prix de la solution, ce qui ne nous convenait pas. Les deux gestionnaires de
configuration retenus sont donc SCCM et Kace.
J'ai réalisé un tableau comparatif des deux solutions de gestionnaire des configurations en prenant
en compte les contraintes spécifiques du projet, dans l'optique de déterminer quelle solution serait
la plus adaptée à nos besoins.
Les résultats de mon analyse comparative des deux solutions de gestionnaire des configurations ont
révélé que les deux options répondent de manière satisfaisante aux contraintes obligatoires du projet.
En effet, les deux challengers répondent à l’entièreté des critères obligatoires hormis la récupération
de fichier qui n’est pas envisageable des deux côtés.
J'ai remarqué que les résultats divergeaient sur les contraintes importantes mais non nécessaires au
projet. Bien que les deux solutions puissent satisfaire les exigences minimales, les fonctionnalités
avancées varient en fonction de la solution. D’un côté, SCCM ne permet pas le contrôle d’un fichier sur
ses versions ainsi que sa remise au standard. De plus, SCCM est une solution orientée uniquement sur
les produits de la gamme Microsoft, les serveurs Linux sont donc ingérables. D’un autre côté, Kace ne
permet pas de lier Atomic One Automation, notre solution d’automatisation de processus
informatique. Elle nous permet de planifier le lancement de scripts, et comme vu précédemment Kace
est en mesure de le faire.
J’ai commencé une étude de prix concernant les différentes licences proposées par Kace. Le premier
critère concernant la licence est de savoir si la solution sera « on premise (sur site) » ou hébergée par
Kace. J’ai décidé de choisir la solution « on premise » car les configurations seront plus pratiques si elle
est située dans notre système d’information. Le deuxième critère est le choix d’une licence perpétuelle
ou temporelle. La licence temporelle dure un certain temps et il faut la renouveler afin de bénéficier
des nouvelles mises à jour. La licence perpétuelle va disparaitre dès juin, j’ai donc opté pour une licence
temporelle. Le dernier critère est le temps de durée de la licence (soit 1 an, 3 ans ou 5 ans). J’ai pu
recevoir des estimations de prix pour une licence « on premise » perpétuelle et une licence temporelle
qui dure 1 an. Les devis sont en annexe.
3. Conclusion
La gestion de configuration est reconnue comme un des points clés pour le bon fonctionnement d’un
système d’information. A l’aide des jetons d’agents, ces deux notions permettent aux administrateurs
systèmes de continuer à assurer le fonctionnement de leur production même après un incident ou une
perturbation sur le système d’information de FIDUCIAL.
La mise en place de cette solution offre plusieurs perspectives d'évolution, notamment l'ajout de
modules supplémentaires pour compléter de nouveaux critères. L’élaboration d’une nouvelle matrice
de décision avec de nouvelles contraintes peut s’envisager afin d'avoir un produit convenant le plus
possible aux exigences futures.
La rédaction de ce mémoire m’a permis d’approfondir l’ensemble de mes connaissances sur la gestion
de configuration mais surtout sur l’application d’une démarche scientifique. De plus, le fait d’avoir pu
voir ce concept d’un point de vue pratique me permet de maitriser le sujet.
4. Bibliographie
BAKMAN, A. (2003). Computer Fraud & Security. Elsevier.
BORIS, M., & FISCHOF, P. (Janvier 2004). Gestion de configuration : état de l'art et marchés. La Lettre
d'ADELI n°54, 28.
HALLÉ, S., VILLEMAIRE, R., & CHERKAOUI, O. (2005). Configuration logic: A multi-site modal logic.
12th International Symposium on Temporal Representation and Reasoning (TIME 2005), (pp.
131-137). Burlington.
MEYLER, K., HOLT, B., OH, M., SANDYS, J., & RAMSEY, G. (2013). System Center 2012 Configuration.
Indianapolis: SAMS.
STRATIS, A. (2021, Décembre). European SCM Applications Forecast, 2021-2025: Cloud and Data-Rich
Insights Will Continue to Drive Growth in Europe. Récupéré sur IDC:
https://www.idc.com/getdoc.jsp?containerId=EUR148404421
5. Glossaire
A
DFS Distributed File System – Service Microsoft permettant de regrouper logiquement des
partages sur plusieurs serveurs et de lier les partages en un seul nom.
Master Un master est une configuration de système d’exploitation stocker sur un disque permettant
de déployer la même configuration sur un ensemble de serveurs.
RDS Remote Desktop Service – Service permettant à un utilisateur d’accéder à des applications et
des données sur un ordinateur à distance.
SCCM System Center Configuration Manager – Produit logiciel, édité par Microsoft, d’aide à la
gestion et à la télédistribution de parc informatique d’entreprise.
SQL Server Structured Query Language Server – Logiciel prenant en charge la gestion de base de
données relationnelle sur des plateformes Microsoft.
SLS Salt Stack – Extension de fichier et langages dans lequel des formules sont insérées pour
gérer les configurations.
YAML Yet Another Markup Language (puis YAML Ain’t Markup Language) est un format de
représentation de données par des caractères dit unicode.
6. Annexes