Pfe Final Correction

CONCEPTION ET MISE EN ŒUVRE D’UNE SOLUTION DE
CONTRÔLE D’ACCES AU RESEAU : CAS DE CFAO

TECHNOLOGY &ENERGY
DEDICACE
Je tiens à dédicacer ce projet de fin d’étude à toute ma famille, celle qui

m’a permis d’être à ce niveau intellectuel en me scolarisant toutes ces
années sans vraiment se soucier du poids qu’ils avaient sur les épaules.
Toutes ces années de sacrifices pour leur fils aîné, afin de lui donner des
chances de réussite dans le milieu professionnel.
TECHNOLOGY &ENERGY
REMERCIEMENTS
Je tiens à remercier toutes les personnes qui ont contribué au succès de

mon stage et qui m’ont aidée lors de la rédaction de ce mémoire.
Je voudrais dans un premier temps remercier, mon directeur de

mémoire M.KOUADIO Photo, professeur à l’ENSIT, pour sa patience, sa
disponibilité et surtout ses judicieux conseils, qui ont contribué à
alimenter ma réflexion.
Je remercie également toute l’équipe pédagogique de l’ENSIT et les

intervenants professionnels responsables de ma formation, pour avoir
assuré la partie théorique de celle-ci.
Je tiens à témoigner toute ma reconnaissance aux personnes suivantes,

pour leur aide dans la réalisation de ce mémoire :
Monsieur MOKE Joseph qui m’a beaucoup appris sur les défis à relever
dans le monde des affaires et de l’entreprise. Il a partagé ses
connaissances et expériences dans le domaine de l’informatique, tout en
m’accordant sa confiance et une large indépendance dans l’exécution de
missions valorisantes.
Messieurs Fabrice DAO, Emile N’GUESSAN et Hypolite N’ZUE pour

m’avoir accordé des entretiens et avoir répondu à mes questions sur la
compréhension des phénomènes du réseau, ainsi que leur expérience
personnelle. Ils ont été d’un grand soutien dans l’élaboration de ce
mémoire.
Mademoiselle Becanthy LANDJI, pour avoir relu et corrigé mon

mémoire. Ses conseils de rédaction ont été très précieux.
Mes parents, pour leur soutien constant et leurs encouragements.

TECHNOLOGY &ENERGY
SOMMAIRE
RESUME
ABREVIATIONS ET SIGLES
LISTE DES FIGURES
AVANT-PROPOS
INTRODUCTION & PROBLEMATIQUE
Première Partie : CADRE DE REFERENCE
CHAPITRE I : PRESENTATION DE L’ENTREPRISE
CHAPITRE II : CAHIER DES CHARGES DU PROJET
Deuxième Partie : ETUDE TECHNIQUE
CHAPITRE III : ETAT DE L’ART DE L’EXISTANT
CHAPITRE IV : ETUDE COMPARATIVE
CHAPITRE V : INTRODUCTION ET PRESENTATION DE LA

SOLUTION
Troisième Partie : MISE EN OEUVRE DE LA SOLUTION
CHAPITRE VI : CONFIGURATIONS ET INTEGRATION DE LA

SOLUTION
CHAPITRE VII : BILAN ET EVALUATION DU PROJET
CONCLUSION
WEBOGRAPHIE
TABLE DES MATIERES

TECHNOLOGY &ENERGY
RESUME
Plusieurs entreprises exerçant dans le domaine informatique rencontrent

des problèmes de contrôle d’accès à leur réseau. Afin de pouvoir pallier
ce phénomène gênant, les constructeurs d’équipements réseau ont
proposés une solution intégrée qui leur permettent de filtrer l’accès au
réseau en utilisant l’adresse MAC qui est une adresse unique. Constat
fait, le filtrage d’adresse MAC est limité dans la mesure où il ne permet
aucun suivi une fois l’accès autorisé, ne permet aucune différenciation
des utilisateurs et avec l’usurpation d’adresse MAC autorisées par
exemple (MAC Spoofing) peut être contournable.
L’objectif de cette étude est de pouvoir mettre en place une solution qui
pourra garantir à la fois la sécurité d’accès, la disponibilité des
ressources, l’historique de connexion des différents terminaux et surtout
la différenciation de chaque utilisateur. Par conséquent la question
suivante se pose : existe-t-il une solution informatique permettant de
gérer tous ces points ? Dans ce contexte, le contrôle d’accès correspond
à la manière dont on a accès à un système d’information, ce qui permet
de restreindre le nombre d’utilisateurs.
Pour répondre à la problématique, une étude comparative a été

effectuée pour mettre en lumière les fonctionnalités des solutions
trouvées ainsi que leurs avantages et inconvénients. Les réponses
récoltées après cette étude montrent que le choix d’une solution de
contrôle d’accès repose tout d’abord sur la définition de la politique de
sécurité qui joue réellement un rôle primordial.
TECHNOLOGY &ENERGY
A partir de ces conclusions, les administrateurs réseau peuvent
s’attacher à représenter la politique de sécurité par le système de
contrôle d’accès à leur réseau.
TECHNOLOGY &ENERGY
ABREVIATIONS ET SIGLES
AAA Authentification-Autorisation-Accounting
AD Active Directory
BYOD Bring Your Own Device
CFAO Compagnie Française de l’Afrique de l’Ouest
DACL Downloadable Acces Control List
DHCP Dynamic Host Configuration Protocol
EAP Extensible Authentication Protocol
HTTPS HyperText Transfert Protocol Secure
IP Internet Protocol
ISE Identity Services Engine
LDAP Lightweight Directory Acces Protocol
MAC Media Acces Control
NTP Network Time Protocol
RADIUS Remote Authentication Dial In User Service
SGACL Security Group Access Control List
SGT Security Group Tag
SNMP Simple Network Management Protocol
SSH Secure SHell

TECHNOLOGY &ENERGY
VPN Virtual Private Network
TECHNOLOGY &ENERGY
LISTE DES FIGURES
Figure 1:Commande permettant la config de base.................................37

Figure 2: insertion des informations primaires........................................39
Figure 3:Ping de la passerelle................................................................40
Figure 4: Formulaire de connexion.........................................................42
Figure 5: Page d'accueil de la plateforme...............................................45
Figure 6: Volet permettant de définir le service d'annuaire.....................46
Figure 7:Le service d'annuaire................................................................48
Figure 8: Onglet de création de service d'annuaire................................48
Figure 9:Jointure des nœuds au service d'annuaire...............................49
Figure 10: Message de confirmation de jointure.....................................50
Figure 11: Jointure effective de ISE et de 'lAD.......................................50
Figure 12: Ajout de groupe.....................................................................51
Figure 13: Ensemble des groupes..........................................................52
Figure 14: Groupes sélectionnés............................................................53
Figure 15:Création des emplacements...................................................54
Figure 16: Ajouter un appareil................................................................56
Figure 17: Champs à renseignés pour l'ajout de l'appareil.....................56
Figure 18: Image montrant la création de l'appareil................................60
Figure 19: Case à cocher pour la vérification.........................................61
Figure 20: Figure permettant d'ajouter des séquences d'identification...66
Figure 21: Sélection des champs de séquence d'identification..............67
TECHNOLOGY &ENERGY
AVANT-PROPOS
Depuis l’indépendance de la Côte d’Ivoire, les autorités

gouvernementales ont fait de l’éducation, une priorité. Cette politique
menée par son premier président, avait pour but de promouvoir
l’excellence en formant des ingénieurs et des techniciens supérieurs
compétents capables de répondre aux exigences des entreprises. Créée
en 1997, l'École nouvelle supérieure d’ingénieurs et de
technologies (ou ENSIT) est une école d'ingénieurs avec un cycle
préparatoire intégré située à Abidjan en Côte d'Ivoire. Établissement
supérieur du réseau de l'Agence universitaire de la francophonie, elle
forme des ingénieurs dans le domaine des TIC, avec des diplômes
reconnus par l’Etat de Côte d’Ivoire depuis 2005 et une reconnaissance
du diplôme d’ingénieur en sciences informatiques par le Conseil Africain
et Malgache pour l’Enseignement Supérieur depuis 2007. Elle a vocation
d'enseignement et de recherche à la fois dans l'application des hautes
technologies de l'information, de la communication dans les entreprises
et dans le management.
L'ENSIT offre un cursus universitaire qui a pour mission de former des

ingénieurs en sciences informatiques.
Pour atteindre ses objectifs, l'ENSIT s'appuie sur des enseignants-

chercheurs. Elle fait aussi appel à des compétences du monde
professionnel qu'à des experts étrangers.
L'intégration à l'ENSIT, comme pour toute autre école d'ingénieurs, se

fait uniquement par la voie des tests d'entrée pour le cycle préparatoire
TECHNOLOGY &ENERGY
ou cycle d'ingénieurs selon le niveau d'étude. L'école est située dans le
quartier résidentiel de Cocody-les deux plateaux et comporte :
 une direction académique ;
 un conseil scientifique ;
 une direction des études ;
 une direction des stages ;
 un département d'études des sciences informatiques.
Avec ses nombreux diplômés depuis sa création, cette école initie en fin
de cycles, des stages pratiques en entreprise, obligatoires, de trois (3)
mois minimum permettant à l’étudiant de se familiariser aux réalités de
l’entreprise, et de mettre au profit de celle-ci, les connaissances acquises
tout au long de sa formation. C’est dans cette optique que nous avons
été accueillis du 06 Mai au 04 Novembre 2019 au sein de l’entreprise
CFAO TECHNOLOGY & ENERGY Côte d’Ivoire.
INTRODUCTION & PROBLEMATIQUE
Le contrôle d'accès logique est un système de sécurité de l'information. Il

est souvent couplé avec le contrôle d’accès physique et permet de
restreindre le nombre d’utilisateurs du système d’information. De plus, la
sécurité d’un système d’information passe notamment par :
- La définition d’une politique de sécurité,

- La préservation de la confidentialité, l’intégrité et la disponibilité
des données,
- La détection des intrus.
TECHNOLOGY &ENERGY
Les processus énumérés ci-dessus nous permettront de mieux filtrer les
accès aux différents réseaux.
Le contrôle d’accès a trois objectifs : fournir la confidentialité, l’intégrité et
enfin la disponibilité des données.
Ces différentes étapes aussi importantes les unes que les autres devront
être appliquées à tous types d’appareils pouvant accéder au réseau.
Le nombre d’appareils connectés et la pluralité de réseau sont des

facteurs qui exposent les données à caractère privé de l’entreprise.
Cette vulnérabilité étant causée par l’accès aux ressources, le besoin de
contrôle d’accès est impératif.
Dans le cadre de son déménagement, CFAO TECHNOLOGIES a

exprimé le besoin d’une solution de contrôle d’accès à son réseau pour
mieux répondre à la question de sécurité d’accès vu le nombre croissant
de réseaux non sécurisés (comme par exemple le filtrage d’adresses
MAC qui a des limites) et la prise en charge du nombre de nouveaux
appareils connectés.
Pour mener à bien ce projet, il nous a été demandé de contribuer à sa

mise en œuvre, en proposant une solution de contrôle d’accès
répondant aux besoins. Nous présenterons donc notre travail en trois
parties : La première présentera la structure d’accueil et le cahier de
charge. La deuxième partie décrira l’étude technique qui nous permettra
le choix de la solution et enfin, la troisième partie fera l’objet de la mise
en œuvre de la solution.
TECHNOLOGY &ENERGY
Première Partie : CADRE DE REFERENCE
CHAPITRE I : PRÉSENTATION DE L’ENTREPRISE
1.1. Présentation de CFAO TECHNOLOGIES CI
CFAO TECHNOLOGIES est une division du groupe CFAO, lui-même

membre du groupe TOYOTA TSHUSHO CORPORATION, qui détient
100% du capital de CFAO.
Créée en 2002, CFAO Technologies opère aujourd’hui dans 21 pays

d’Afrique à partir de dix filiales et quatre centres de compétences :
l’Algérie, le Cameroun, le Sénégal et la Côte d’Ivoire. Intégrateur de
solutions informatiques, réseaux et télécommunications, et distributeur
de produits et services bureautiques, CFAO Technologies développe, en
Afrique, une offre de services, intégrée et complète, à forte valeur
ajoutée dans le domaine des Nouvelles Technologies de l'Information et
de la Communication (NTIC).
TECHNOLOGY &ENERGY
CFAO TECHNOLOGIES Côte d’Ivoire (CI), maintenant connu sous le

nom de CFAO TECHNOLOGY & ENERGY Côte d’Ivoire, et filiale du
groupe CFAO TECHNOLOGIES, est une Société Anonyme de droit
ivoirien créée en 2002 avec les éléments d’identification suivants :
- Capital : 1.200.000.000 FCFA
- Registre de commerce : n° 11 362 ABIDJAN
- Siège social : Km4, Boulevard de Marseille, Treichville, Abidjan
- Adresse postale : 01 BP 2114 Abidjan 01
- Téléphone : 21 21 21 21 / Fax : 21 21 21 20
CFAO Technologies Côte d'Ivoire est un intégrateur de solutions,

capable de vous accompagner dans vos projets de développement en
TECHNOLOGY &ENERGY
vous fournissant une ligne de services et de produits couvrant la plupart
de vos besoins dans le domaine des technologies de l’information. Avec
un personnel de plus de 180 employés, CFAO Technologies Côte
d'Ivoire réalise un chiffre d’affaires de plus de 11 milliards de FCFA en
moyenne par an et constitue un centre de compétence régional qui
couvre le Libéria, le Ghana, le Togo, le Bénin, le Burkina Faso et le
Niger. Son offre couvre pratiquement tous les domaines des
technologies de l’information : informatique, réseaux,
télécommunications, énergie et bureautique.
1.2. Domaines d’activités de CFAO TECHNOLOGIES CI
CFAO TECHNOLOGIES CI propose trois grandes offres à sa clientèle, à

savoir :
- La Consultance
De l'audit à la rédaction du cahier des charges et de l'aide à la
conception du système informatique jusqu'à la phase de mise en service,
suivi de la maintenance du système, du développement et de
l'ingénierie, de la formation des utilisateurs et de l'intégration logicielle,
CFAO Technologies dispose à la fois des ressources et des partenaires
nécessaires pour mettre en oeuvre les projets qui lui sont confiés et
garantir la qualité des services qu'elle fournit.
- L’Intégration
Dans un environnement en pleine mutation, les entreprises doivent
maintenir leur compétitivité et satisfaire leurs clients en développant des
systèmes d'information et des communications souples, efficaces et
évolutives. CFAO TECHNOLOGIES CI, intégrateur de services, réseaux
TECHNOLOGY &ENERGY
& télécoms, informatique, bureautique et technique du bâtiment, maîtrise
les solutions les plus innovantes et propose à ses clients un large
éventail d'expertises pour une approche globale de leur système
d'information et de communication.
- L’Infogérance
Décider d'externaliser les services de support de vos réseaux, systèmes
et / ou postes de travail, est un choix stratégique qui affectera votre
organisation à moyen et à long terme. Spécialiste des systèmes
informatiques et de bureautique depuis 2002, CFAO Technologies CI
accompagne les directions informatiques dans la recherche et la
réalisation de projets d’externalisation et propose des solutions adaptées
aux besoins de chacun de nos clients.
1.3. Organisation de CFAO TECHNOLOGIES CI
Pour atteindre ses objectifs, la société CFAO Technologies, filiale de

Côte d’Ivoire, avec à sa tête M. Stéphane FRANCO, est organisée en
plusieurs directions.
À notre arrivée, nous avons été reçus par le ressource planner, dans le
but de travailler sous la coupole des ingénieurs technico-commerciaux et
de leur apporter notre aide technique sur les projets en cours.
TECHNOLOGY &ENERGY
1.4. Organigramme général de CFAO TECHNOLOGIES CI
TECHNOLOGY &ENERGY
Chapitre II : CAHIER DES CHARGES
I. CONTEXTE ET JUSTIFICATION
Dans le cadre de la transformation digitale qui a entrainé l’évolution des

réseaux informatiques, nombreuses sont les entreprises intervenant
dans le secteur numérique désireuses de se doter d’une infrastructure
réseau fiable, performante et surtout sécurisée dû aux fréquentes
attaques liées au système d’information.
La société CFAO Technology & Energy, filiale du groupe CFAO et leader
du marché de l’infogérance, disposant d’un vaste réseau qui s’étend sur
tout le territoire Ivoirien, souhaite sécuriser l’accès à son réseau tout en
ayant un rapport quotidien de l’utilisation de ses ressources et
l’historique de connexion des différents terminaux ayant accédés à son
réseau.
Ce projet revêt un caractère important dans la mesure où d’une part, il
assure une sécurité à tous les niveaux du réseau local de l’entreprise et
d’autre part offre une connexion sécurisée permettant de différencier
chaque utilisateur, améliorant ainsi la qualité du réseau. Enfin il
permettra un accès aux ressources à partir de n’importe quel point de
connexion tout en fournissant une connexion sécurisée et un espace qui
est fonction du groupe d’appartenance.
C’est donc dans cette optique que CFAO Technology & Energy a
exprimé le besoin de garantir une couverture réseau sécurisée donnant
accès aux ressources sur l’ensemble du territoire.
TECHNOLOGY &ENERGY
Le thème qui en ressort est le suivant : << Conception et mise en
œuvre d’une solution de contrôle d’accès au réseau : cas de CFAO
Technology & Energy >>.
II. OBJECTIFS
Objectif général
L’objectif général de ce projet est la mise en œuvre d’une solution d’une

part permettant de sécuriser le réseau local de l’entreprise et d’autre part
d’optimiser les connexions à distance en vue de garantir une protection
des données et une haute disponibilité du réseau. Cette solution va
aussi permettre aux ingénieurs réseau de gérer de façon beaucoup plus
souple la sécurité et le réseau de l’entreprise et ce, sans devoir même se
déplacer sur site.
Objectifs spécifiques
Dans le cadre de ce projet, il est question de classifier les utilisateurs, de

propager la classification à travers les nœuds du réseau et de déployer
la solution assurant :
 L’accès au réseau IP,
 La gestion de contenu et des connexions internet,
 Le contrôle des flux entrants et sortants.
TECHNOLOGY &ENERGY
Deuxième Partie : ETUDE TECHNIQUE
CHAPITRE III : ETAT DE L’ART DE L’EXISTANT
La facilité de mise en œuvre d’un réseau sans fil expose le réseau lui-
même au piratage. Pour sécuriser votre réseau sans fil, afin de le rendre
plus robuste, il est possible d’utiliser plusieurs mesures de sécurité
applicable sur le réseau et les équipements.
Une de ces mesures que vous devez mettre en place est ce qu’on
appelle le filtrage d’adresse MAC, et c’est une option intégrée au
routeur wifi que vous pouvez activer.
En sécurité informatique, le filtrage par adresse MAC est une méthode
de contrôle d'accès au réseau informatique, basée sur l'adresse
MAC physique de la carte connectée au réseau.
Il sert à limiter les appareils qui sont autorisés à se connecter à votre

réseau sans fil.
Une adresse MAC physique est une adresse unique, assignée à

chaque carte réseau, commutateur, routeur, caméra IP, interface de
connexion, etc. Ainsi, utiliser le filtrage par adresse MAC sur un réseau
informatique permet de contrôler l'accès au réseau d'équipements définis
dans une liste blanche, une liste noire, un script, la configuration
d'un pare-feu. Cette technique n'est effective qu'au sein d'un réseau local
car l'adresse MAC n'est pas conservée après passage par un routeur.
Le routeur wifi comprend un certain nombre de fonctions configurables
destinées à améliorer la sécurité de votre réseau, mais ne sont pas
TECHNOLOGY &ENERGY
toutes utiles. Le filtrage d’adresse MAC est la meilleure option disponible
que vous pouvez mettre en place pour bien sécuriser son wifi.
Le filtrage d’adresses MAC comme toute solution a des avantages

comme des inconvénients qui sont :
- Avantage : les adresses IP des machines peuvent être

administrées au niveau du routeur sans avoir à modifier
individuellement les paramètres de filtrage (ex : DHCP) des clients
- Inconvénient : le travail de collecte des adresses MAC peut être

fastidieux dans un grand réseau et en cas de changement de la
carte réseau, la configuration du système de filtrage doit être
adaptée.
Le filtrage sur adresse MAC des connexions sur un point d'accès Wi-
Fi peut être réalisé. Depuis 2014, certains équipements utilisent une
adresse MAC aléatoire pour scruter les réseaux Wi-Fi disponibles, et
n'utilisent leur véritable adresse MAC qu'une fois connectés.
Cette disposition complique, voir empêche, ces équipements de se
connecter aux réseaux Wi-Fi par un filtrage des connexions sur adresse
MAC.
Contrairement aux idées reçues, l'usurpation d'adresse MAC (appelée

MAC Spoofing) est très facile à réaliser. Les pirates informatiques
utilisent ce schéma d'attaque pour dissimuler leur propre identité ou en
imiter une autre. Les cibles les plus populaires pour les attaques de
spoofing sont le protocole Internet (IP), le Domain Name System
(DNS) et l'adresse MAC de résolution d'adresse via le protocole Address
Resolution Protocol (ARP). En effet il faut distinguer l'adresse MAC
physique de l'adresse MAC logicielle. L'adresse physique est en effet
TECHNOLOGY &ENERGY
difficile à modifier, mais celle-ci sert uniquement d'adresse MAC par
défaut pour établir les connexions réseau. C'est le système d'exploitation
qui choisit les adresses MAC avec laquelle (lesquelles) il désire
communiquer. Une bonne politique de sécurité ne doit donc pas reposer
sur l'adresse MAC, puisque dans le cadre d'une connexion réseau, celle-
ci n'est que logicielle.
TECHNOLOGY &ENERGY
CHAPITRE IV : ETUDE COMPARATIVE
Cette partie nous présentera deux solutions, notamment UCOPIA et

CISCO ISE, tout en donnant leurs origines, leurs caractéristiques et leur
apport en fonction du besoin exprimé.
I- FONCTIONNALITES-AVANTAGES-INCONVENIENTS
D’UCOPIA
Créée en 2002 par Didier Plateau, Ucopia est une solution commerciale
qui permet à toutes les organisations de monétiser leur infrastructure Wi-
Fi. Elle connecte les visiteurs, les invités, les clients et les audiences de
tout réseau Wi-fi de manière sécurisée et sûre et nous permettons aux
entreprises de communiquer avec leurs utilisateurs.
TECHNOLOGY &ENERGY
Remarque : La solution UCOPIA gère la bande passante
II- FONCTIONNALITES-AVANTAGES-INCONVENIENTS DE
CISCO ISE
TECHNOLOGY &ENERGY
Cisco Identity Services Engine (ISE) est un produit d'administration
réseau qui permet la création et l'application de politique. ISE est un
point de réseau où toutes les méthodes et identités d'accès au réseau
sont vérifiées par rapport à l'ensemble de règles défini et aux sources
d'authentification. Le principe fondamental pour ISE est d'agir comme un
serveur Radius.
Fonctionnalité Avantage
● Aide les administrateurs à configurer et gérer

de manière centralisée les services de
profileur, de posture, d'invité, d'authentification
et d'autorisation dans une console Web
unique.
● Simplifie l'administration en fournissant des
services de gestion intégrés à partir d'un seul
Gestion centralisée volet.
Riche identité ● Fournit un modèle de stratégie basé sur des

contextuelle et règles et basé sur des attributs pour des
politique d'entreprise stratégies de contrôle d'accès flexibles et
pertinentes pour l'entreprise.
● Inclut des attributs tels que l'identité de
l'utilisateur et du terminal, la validation de la
posture, les protocoles d'authentification,
l'identité du périphérique et d'autres attributs
externes. Ces attributs peuvent être créés
TECHNOLOGY &ENERGY
dynamiquement et enregistrés pour une

utilisation ultérieure.
● S'intègre à plusieurs référentiels d'identité
externes, tels que Microsoft Active Directory,
LDAP, RADIUS, Mot de passe unique RSA
(OTP), les autorités de certification pour
l'authentification et l'autorisation, les
fournisseurs ODBC et SAML.
● Offre une gamme d'options de contrôle

d'accès, y compris des listes de contrôle
d'accès téléchargeables (dACL), des
attributions de réseau local virtuel (VLAN),
des redirections d'URL, des listes de contrôle
d'accès nommées et des listes de contrôle
d'accès du groupe de sécurité (SGACL) avec
Contrôle d'accès la technologie Cisco TrustSec.
Sécurisez l'accès ● Permet de déployer rapidement un accès

réseau sans réseau hautement sécurisé en dérivant
demandeur avec l'authentification et l'autorisation à partir des
Easy Connect informations de connexion sur les couches
d'application, permettant ainsi l'accès des
utilisateurs sans nécessiter l'existence d'un
demandeur 802.1X sur le système
TECHNOLOGY &ENERGY
d'extrémité.
Remarque : Cisco ISE met à disposition un filtrage plus important

dans la mesure où nous pouvons définir un système d’exploitation
minimal, un antivirus à jour, un firewall, etc… pour permettre
l’accès au réseau.
CHAPITRE V : INTRODUCTION ET PRESENTATION DE LA

SOLUTION
TECHNOLOGY &ENERGY
À mesure que la technologie évolue, l'évolution des menaces à la

sécurité du réseau est inévitable. Le concept de réseau sans frontières
permet aux utilisateurs de se connecter et d'accéder à leurs ressources
à tout moment, de n'importe où avec n'importe quel appareil, ce qui est
un vrai bonheur pour les utilisateurs. Mais le concept de réseau sans
frontières sera-t-il pertinent s'il n'était pas sécurisé et si les données
auxquelles les utilisateurs accèdent via le réseau peuvent être piratées /
falsifiées ou récupérées ?
Le réseau de l'entreprise n'est plus confiné entre quatre murs. Il suit les
déplacements des employés et des données. Les employés utilisent
davantage de terminaux pour accéder aux ressources de l'entreprise via
un nombre croissant de réseaux non professionnels. La mobilité et les
appareils connectés ont transformé la manière dont nous vivons et
travaillons. Les entreprises doivent être capables de prendre en charge
la multiplication des nouveaux appareils connectés au réseau, tout en se
protégeant d'une multitude de malwares. Les violations de données
récemment médiatisées sont la preuve qu'il est impératif de sécuriser
des réseaux d'entreprise en constante évolution.
Cisco Identity Services Engine est une solution de stratégie consolidée
qui sécurise l'accès au réseau sans frontières et garantit que toutes les
admissions et activités sur le réseau sont authentifiées, autorisées,
validées, profilées et consignées. Avec cette plate-forme de contrôle de
stratégie d'entreprise tout-en-un, vous pouvez appliquer de manière
fiable la conformité, améliorer la sécurité de l'infrastructure et simplifier
les opérations de service. Ce qui facilite beaucoup le travail d'un
administrateur, qui consiste à contrôler toutes les activités du réseau.
TECHNOLOGY &ENERGY
Au fil du temps, le réseau moderne s'étend, le triage des ressources, la
gestion des technologies de sécurité disparates et la maîtrise des
risques se compliquent. Face à cette complexité à laquelle s'ajoutent la
connectivité omniprésente des appareils connectés et un manque
manifeste de ressources IT, les éventuelles retombées d'une incapacité
à identifier et à éliminer les malwares peuvent être très lourdes.
Une approche différente est nécessaire pour la gestion et la sécurité de
l'entreprise mobile en constante évolution. Elle repose sur la solution
Cisco® ISE (Identity Services Engine).
Soyer moins vulnérable et réduir vos risques, anticiper les attaques

grâce à une meilleure visibilité et un meilleur contrôle. Bénéficiez d'une
visibilité complète sur les utilisateurs et les terminaux qui accèdent à
votre réseau, ainsi que d'un contrôle dynamique permettant de garantir
que seuls les utilisateurs autorisés et détenteurs de terminaux autorisés
peuvent accéder aux services de l'entreprise demandés. Désormais, le
contrôle d'accès sécurisé est le même pour les réseaux
multifournisseurs filaires et sans fil, ainsi que pour les connexions VPN à
distance. Grâce à ses capteurs réseau et à ses fonctionnalités
intelligentes de profilage, Cisco ISE vous permet d'obtenir une visibilité
intégrale sur les utilisateurs et les appareils qui accèdent aux ressources.
En partageant des données contextuelles stratégiques par le biais de
l'intégration sur les plates-formes partenaires de l'écosystème et par
l'application de la politique Cisco TrustSec pour la segmentation définie
par logiciel, Cisco ISE transforme la nature du réseau, qui passe du
statut de simple vecteur de données à celui de garant de la sécurité
TECHNOLOGY &ENERGY
permettant d'accélérer la détection et l'élimination des malwares.
De plus, ISE exploite la technologie Cisco Platform Exchange Grid
(pxGrid) pour partager des données contextuelles riches avec les
solutions intégrées de l'écosystème partenaire. Cette technologie
optimise leur fonctionnement notamment pour identifier et atténuer les
malwares sur tout le réseau de l'entreprise.
Globalement, le contrôle d'accès sécurisé est centralisé et simplifié pour

garantir un provisionnement sans risque des services d'entreprise,
renforcer la sécurité de l'infrastructure, faire respecter les critères de
conformité et simplifier les opérations de service. Grâce à son intégration
avec les solutions de gestion des informations et des événements de
sécurité (SIEM) et avec les solutions de protection contre les malwares
(TD), ainsi qu'à la visibilité accrue qu'il fournit sur le réseau et à ses
fonctionnalités de contrôle d'accès sécurisé, ISE joue un rôle essentiel
au sein des solutions Cisco de cybersécurité et d'exploitation du réseau
pour les détections et les interventions. Enfin, ISE offre la visibilité, le
contexte et le contrôle dynamique dont l'entreprise a besoin pour mettre
en oeuvre une sécurité efficace tout au long du processus d'attaque. Elle
peut contrôler l'accès au réseau avant l'attaque, identifier les malwares
et les bloquer pendant l'attaque, et réduire les délais de détection et de
résolution après l'attaque.
Bénéfices
TECHNOLOGY &ENERGY
 Mettre en place un contrôle d'accès centralisé et ultrasécurisé basé
sur les rôles pour appliquer une politique cohérente d'accès au
réseau, que les utilisateurs se connectent via un réseau filaire, sans fil
ou un VPN.
 Bénéficier d'une meilleure visibilité et d'une identification plus précise

des appareils grâce au service de profilage des terminaux et aux flux
d'informations associés de Cisco® ISE (Identity Services Engine), qui
aident à réduire le nombre de terminaux inconnus.
 Simplifier l'expérience d'utilisation des invités pour mieux les intégrer

et mieux les gérer en proposant des portails d'accès personnalisés à
l'image de votre entreprise pour les terminaux mobiles et de bureau.
Ces portails se créent en quelques minutes grâce à des workflows
visuels dynamiques qui vous permettent de gérer facilement chaque
paramètre de l'accès des invités.
 Accélérer le BYOD et la mobilité de l'entreprise grâce au déploiement

d'une solution prête à l'emploi, à l'intégration et à la gestion de
terminaux en libre-service, à la gestion interne de certificats de
terminaux et à une solution partenaire de gestion de la mobilité
d'entreprise pour l'intégration de terminaux sur et hors site.
 Établir une politique de segmentation définie par logiciel pour

maîtriser les attaques du réseau grâce à la technologie Cisco
TrustSec, qui permet de contrôler les accès en fonction des rôles des
utilisateurs sur la couche de routage et de commutation. Segmentez
dynamiquement l'accès sans la complexité liée au déploiement de
plusieurs VLAN ou à la restructuration du réseau.
 Échanger des données contextuelles détaillées avec des solutions

partenaires de réseau et de sécurité pour améliorer leur efficacité
TECHNOLOGY &ENERGY
globale et réduire les délais de détection et d'élimination des attaques
du réseau. Maîtrisez automatiquement les malwares grâce à
l'intégration de Cisco Firepower Management Center et à ISE qui peut
traiter, surveiller ou supprimer les terminaux infectés.
TROISIEME PARTIE : MISE EN ŒUVRE DE LA SOLUTION
Chapitre VI : Configuration et Intégration de la solution
I- Configuration de Base
TECHNOLOGY &ENERGY
Suite à la création de la plateforme virtuelle ISE, la configuration de base
se fait sur le serveur grâce à la commande SETUP suivie de la touche
de validation ENTREE comme indiqué sur la figure. Dans cette
configuration, il est question de définir les éléments essentiels au
fonctionnement de la plateforme.
Figure 1:Commande permettant la config de base
Ce sont entre autre :
- Le nom de la plateforme (Hostname) qui permettra d’indentifier

cette derniere
- L’adresse IP et le masque de sous réseau, identifiant de la

plateforme sur le réseau
- La passerelle par défaut (Default-gateway), qui permettra de

pouvoir sortir du réseau local pour attaquer le réseau internet
- Le domaine DNS par défaut, pour permettre un mappage entre le

nom de domain et l’adresse IP de la plateforme
- Le primary nameserver, qui est l’adresse IP du serveur hôte avec

une possibilité de renseigner un deuxième serveur hôte qui
prendra la relève en cas de panne ou de disfonctionnement du
premier
TECHNOLOGY &ENERGY
- Le serveur NTP (Network Time Protocol), qui permet la
synchronisation l’horloge locale de la plateforme via le réseau
informatique sur une référence d’heure. Dans notre cas, le NTP
serveur est le primary nameserver
- L’activation du service SSH, qui est à la fois un programme

informatique et un protocole de communication sécurisé
permettant d’interagir avec la plateforme
- Le login et le mot de passe, qui sont indispensables pour la

connexion/accès à la plateforme ISE.
TECHNOLOGY &ENERGY
Figure 2: insertion des informations primaires
Suite à cette configuration de base, il s’en suit un ping de la passerelle et

du primary nameserver pour s’assurer de la validité des adresses
renseignées plus haut dans la configuration de base. Cela est
représenté à la figure 2 ci-dessous.
TECHNOLOGY &ENERGY
Figure 3:Ping de la passerelle
La figure 3 illustre un ping qui fait la relation entre le nom de domaine et

l’adresse IP de la plateforme afin de s’assurer que le nom de domaine
renseigné concorde avec l’adresse IP de la plateforme. Le résultat du
ping étant concluant, nous pouvons continuer notre configuration en
nous connectant sur la plateforme pour y apporter les modifications
souhaitées, qui sont fonctions de notre cahier de charge.
II- Présentation de l’interface graphique de la plateforme
Le Login et le mot de passe renseignés plus haut dans la configuration

de base, nous donne la possibilité de se connecter via le formulaire de
connexion qu’on obtient en faisant https://10.71.152.113 .
Une fois la page affichée, il est question pour nous de renseigner le

Login et le password de la configuration de base dans les champs
appropriés (username : admin, password : Abcd1234).
TECHNOLOGY &ENERGY
Après avoir lancé la page par le biais du protocole https, il se présente à
nous une interface graphique qui caractérise le formulaire de connexion
de la plateforme sur lequel existe deux champs (Nom d’utilisateur et Mot
de passe). Il est aussi important de préciser que la page de connexion
est réservée à l’administrateur du réseau. La figure 4 nous donne un
aperçu de ladite page.
Figure 4: Formulaire de connexion
Le renseignement des champs par le bon Login et le mot de passe

donne accès à l’interface graphique de configuration de la plateforme qui
affiche directement le contenu de l’onglet Home. L’onglet Home nous
TECHNOLOGY &ENERGY
permet de voir le récapitulatif des actions menées sur le réseau par le
biais de différentes parties qui sont :
- Summury
- Endpoints
- Guests
- Vulnerability
- Threat
 Summury
Il présente un bref résumé du nombre total d’appareils connectés sur le

réseau, différencie les appareils actifs de ceux qui ont été rejetés. Il fait
aussi l’état des comportements anormaux, du nombre d’invités
authentifiés, des appareils personnels des employés et la conformité des
appareils aux exigences du réseau. Toutes ces informations sont
présentes dans le tableau METRICS.
En plus de ce tableau, nous avons des blocs indépendants qui donnent

le nombre d’appareils authentifiés, qui donne un résumé des alertes et
du système.
 Endpoints
Il présente un récapitulatif plus détaillé de tous les appareils connectés

en donnant le statut, la catégorie et les appareils réseau. On entend par
appareils réseau les appareils qui rentrent en ligne de compte lorsqu’on
fait état de l’architecture du réseau.
TECHNOLOGY &ENERGY
 Guests
Cet onglet nous apporte les informations sur le statut des Invités, le type,
les raisons de l’échec de connecxion et l’emplacement de l’invité lors de
sa connection au réseau.
 Vulnerability
En ce qui concerne cet onglet, il nous fait état de toutes les faiblesses
des terminaux, de son classement, des détails sur la provenance, du
type de faiblesse et de l’appareil qui l’abrite.
 Threat
Cette partie fait office de récapitulatifs des menaces auxquelles le

réseau est exposé. De façon détaillée, il présente le total des appareils
compromis ou infectés, le total des menaces quel que soit leur nature,
les appareils compromis au fil du temps et une liste de surveillance de
menaces afin de mieux anticiper sur la sécurité.
TECHNOLOGY &ENERGY
Figure 5: Page d'accueil de la plateforme
III- Configuration complète de la plateforme

1- Configuration des services d’annuaire
Pour la première étape de la configuration de la plateforme, nous allons

nous pencher sur la création d’un service d’annuaire qui est à l'origine un
protocole permettant l'interrogation et la modification des services
d'annuaire pour les systèmes d’exploitation Windows.
TECHNOLOGY &ENERGY
Figure 6: Volet permettant de définir le service d'annuaire
Dans un premier temps, il va nous falloir créer une base de données

nous permettant de stocker les renseignements relatifs aux ressources
réseau d’un domaine. Le choix de cette base de données ou annuaire
est porté sur Active Directory qui a pour rôle ou objectif premier de
centraliser l’identification et l’authentification d’un réseau de postes
Windows.
Les fonctions additionnelles permettent aux administrateurs de gérer

efficacement une stratégie de groupe, ainsi que l’installation des logiciels
et des mises à jour sur les stations du réseau. L’active directory contient
trois types d’objets :
- Les ressources (postes de travail, imprimantes, scanneur, …)
- Les utilisateurs (comptes individuels et groupes, liste des

utilisateurs avec leurs droits et leurs services)
TECHNOLOGY &ENERGY
- Les services (courrier électronique, …)
Pour configurer le service d’annuaire active directory, il nous faut déjà

configurer une source d’identité extérieure. A ce stade, nous devrons
choisir une des sources prédéfinies (LDAP, ODBC,…).
L’affichage d’une nouvelle page comme présenté à la figure 7 nous

montre que nous sommes bien dans la configuration du service et
plusieurs services sont proposés.
Notre choix étant porté sur L’active directory, on sélectionne le champ
AD et un tableau s’affiche à droite de l’écran, ce qui va nous permettre
de créer un nouveau service d’annuaire.
Figure 7:Le service d'annuaire
Suite à l’ajout d’une nouvelles source d’identité, on voit apparaitre un

petit formulaire de deux champs qui nous permettra de créer l’annuaire
Active Directory qu’on nommera AD et de renseigner le nom de domaine
ce qui nous donnera la possibilité d’atteindre la plateforme tout en
utilisant son nom (le hostname) suivie du nom de domaine.
TECHNOLOGY &ENERGY
Figure 8: Onglet de création de service d'annuaire
Le but de cette configuration étant de joindre tous les nœuds de la

plateforme ISE au service d’annuaire, il nous faut activer l’AD en utilisant
l’identifiant (jmoke) et le mot de passe (Abcd1234) de l’administrateur
réseau pour pouvoir joindre tous les nœuds de ISE au service d’annuaire
par l’intermédiaire du nom de domaine. Cette action permet entre autre
de rendre la base de stockage (l’AD) accessible à la réception de toutes
informations concernant les logs et tout ce qui rentre en ligne de compte
pour l’identification et l’authentification.
Figure 9:Jointure des nœuds au service d'annuaire

TECHNOLOGY &ENERGY
Suite à cette action, une fenêtre de confirmation apparait à l’écran nous
permettant de confirmer notre choix d’association, du service d’annuaire
et des nœuds ISE, afin de permettre à la plateforme d’aller rechercher en
cas de besoins les informations nécessaires à l’authentification ou à
l’identification. Cette action permet de rendre l’association effective.
Figure 10: Message de confirmation de jointure
La jointure, qui est une association entre la source externe d’identité et

ISE, se résume par un tableau présenté à la figure 11 qui montre bien la
jointure en associant le nœud ISE primaire au nom de domaine définit
plus haut (viselab.lab.com).
Figure 11: Jointure effective de ISE et de 'lAD

TECHNOLOGY &ENERGY
Comme énoncé dans les rôles ou objectifs de l’active directory, nous

allons maintenant créer ou sélectionner les groupes de gestion qui nous
permettront de gérer ou administrer les différentes connections au
réseau. Pour se faire, on sélectionne l’active directory qu’on vient de
créer car il contient une multitude de groupes existants par défaut, on
sélectionne ensuite l’onglet groupe puis faire retrieve groupe pour
afficher les groupes existants dans l’annuaire.
Figure 12: Ajout de groupe
Dans notre travail, nous aurons besoins du groupe utilisateurs du

domaine, le groupe sponsor et enfin le groupe ordinateurs du domaine.
Comme son nom l’indique, le groupe utilisateurs contiendra tous les
utilisateurs qui auront les mêmes droits d’accès au réseau, le groupe
sponsor quant à lui contiendra les administrateurs des invités et enfin le
TECHNOLOGY &ENERGY
groupe ordinateur du domaine pour tous les ordinateurs qui feront partis
du domaine de l’entreprise.
Cette sélection a pour but d’enregistrer tous les utilisateurs du domaine

dans une liste présente dans le groupe utilisateur du domaine, d’associer
un ordinateur du domaine à un utilisateur et enfin le groupe sponsor sera
une liste contenant les administrateurs des Guests ; les sponsors sont
ceux qui sont désignés pour créer un espace invité ainsi que la
configuration du profil utilisateur et la modification des droits.
Figure 13: Ensemble des groupes
Figure 8
TECHNOLOGY &ENERGY
Figure 9
Figure 14: Groupes sélectionnés
2- Configuration des appareils et des groupes d’appareils réseau
La création de groupes sur la plateforme nous permettra de définir les

différentes catégories en fonction du type et de la localisation.
- Le type
Ici, le type fait référence aux appareils connectés par câble ou par Wifi.
Cette catégorisation a pour rôle de différencier les différents accès au
réseau afin de mieux organiser le trafic et donner des informations plus
précises (le switch de connexion, le port, …).
- La localisation
TECHNOLOGY &ENERGY
En fonction de l’emplacement, ISE pourra définir un groupe d’accès pour
tous les appareils de même emplacement afin de déterminer le site de
connexion et le niveau de sécurité de cette connexion.
Figure 15:Création des emplacements
Enregistrement du Switch dans ISE
L’onglet administration étant le lieu de gestion de la plateforme où se

gère la définition des paramètres. Le bloc network ressources, élément
de l’onglet administration, nous donne la possibilité de gérer ou
configurer les ressources présentent dans notre réseau.
La sélection de network devices comme indiqué sur la figure 16, nous
donne accès à la fenêtre de configuration ou de gestion des appareils
qui feront partie de notre architecture.
TECHNOLOGY &ENERGY
Une fois affiché, pour ajouter un périphérique, il nous suffit de

sélectionner Add ce qui nous renverra sur une nouvelle page contenant
un formulaire. Il nous faudra renseigner le nom du périphérique, sa
description, son adresse IP.
Figure 16: Ajouter un appareil

TECHNOLOGY &ENERGY
Figure 17: Champs à renseignés pour l'ajout de l'appareil
Plusieurs protocoles peuvent être configurés sur le switch en fonction

des besoins, mais nous allons nous intéresser aux protocoles RADIUS
car le principe même de ISE est d’agir comme un serveur RADIUS et
SNMP qui permet de gérer les équipements réseaux.
- Le protocole RADIUS
De sa signification Remote Authentication Dial-in User Service qui est

le service d’utilisateur à distance pour authentification à distance, c’est
un protocole client/serveur (mode de communication à travers un réseau
entre plusieurs programmes : l’un qualifié de client envoie une requête et
l’autre de serveur attend la requête client et y répond) permettant de
centraliser des données d’authentification. Le serveur RADIUS traite
l’authentification en accédant si nécessaire à une base externe qui est ici
Active Directory.
TECHNOLOGY &ENERGY
- Le SNMP
De sa définition Simple Network Management Protocol, ce qui signifie

protocole simple de gestion de réseau, c’est un protocole de
communication qui permet aux administrateurs de gérer les équipements
du réseau, de superviser et de diagnostiquer des problèmes réseau et
matériels à distance.
Les systèmes de gestion de réseau sont basés sur 3 éléments

principaux : Un superviseur, des nœuds, des agents.
Dans la terminologie SNMP, manager est plus souvent évoqué que
superviseur. Le superviseur est la console qui permet à l’administrateur
réseau d’exécuter des requêtes de gestion, les agents sont des entités
qui se trouvent au niveau de chaque interface, contenant des objets
gérables. Ces objets peuvent-être des informations matérielles, des
paramètres de configuration, des statistiques de performances et autres
statistiques liées au comportement en cours de l’équipement en
question. Ces objets sont classés dans une sorte de base de données
arborescente appelée MIB (Management Information Base). Le SNMP
permet le dialogue entre le manager et les agents afin de recueillir les
objets souhaités dans le MIB.
TECHNOLOGY &ENERGY
L’architecture de gestion du réseau proposée par le SNMP est donc
fondée sur trois principaux éléments :
- L’équipement (Managed device) qui est un élément réseau

contenant des objets de gestion (Managed objects) pouvant être
des infos sur le matériel, des éléments de configuration ;
- Les agents qui sont chargés de transmettre les données locales de
gestion du périphérique au format SNMP ;
- Les systèmes de gestion de réseau Network Management
System) qui sont les consoles à travers lesquelles les
administrateurs peuvent réaliser des tâches d’administration
TECHNOLOGY &ENERGY
L’image ci-dessous nous montre que la création et l’enregistrement du
switch a été effectué avec succès.
Figure 18: Image montrant la création de l'appareil
Evaluer la config du Switch
Figure 19: Case à cocher pour la vérification
L’évaluation de la configuration du Switch nous permettra de savoir si les

listes (ACL) de permissions ont été bien structurées, si l’adresse IP
renseignée pour comme adresse IP du switch d’accès répond aux Ping
envoyés depuis la plateforme, si les différents protocoles de
communication et de sécurité ont été établit.
TECHNOLOGY &ENERGY
Cette partie concerne les authentifications SSH configurées sur le

switch. En effet, étant une manipulation à distance, ce test de bonne
configuration implique l’activation du canal SSH qui sera considéré
comme canal de communication avec l’équipement réseau qu’est le
switch. On renseigne le nom d’utilisateur (username) et le mot de passe
(login), la version du protocole de communication utilisé, le port de
connexion.
Dans notre cas, username : admin et login : admin.

TECHNOLOGY &ENERGY
TECHNOLOGY &ENERGY
3- Configuration des séquences d’authentification
L'authentification pour un système informatique est un processus

permettant au système de s'assurer de la légitimité de la demande
d'accès faite par une entité (être humain ou un autre système...) afin
d'autoriser l'accès de cette entité à des ressources du système
(systèmes, réseaux, applications…) conformément au paramétrage du
contrôle d'accès. L'authentification permet donc, pour le système, de
valider la légitimité de l'accès de l'entité, ensuite le système attribue à
cette entité les données d'identité pour cette session (ces attributs sont
détenus par le système ou peuvent être fournis par l'entité lors du
processus d'authentification). C'est à partir des éléments issus de ces
deux processus que l'accès aux ressources du système pourra être
paramétré (contrôle d'accès).
Les séquences d’authentifications sont gérées dans la partie Identity

management qui est le centre de gestion des identités de la plateforme
Cisco ISE.
TECHNOLOGY &ENERGY
Etant gérées dans l’onglet administration, plus précisément dans le bloc

Identity managment, les séquences d’authentification s’appuient sur trois
critères qui sont :
- Le nom
- La description
- La liste de recherche d’authentification
Cette liste de recherche aussi importante qu’elle soit, nous permet de

définir les répertoires dans lesquels le service d’annuaire doit effectuer
ses recherches d’identifiant.
TECHNOLOGY &ENERGY
Dans notre travail, nous partons selon la logique de création de 2

séquences d’authentification permettant ainsi de différencier 2 groupes :
l’active directory internal et le guest portal sequence.
 L’Active Directory Internal
Dans cette séquence, il s’agira d’identifier les utilisateurs internes du

réseau. Nous indiquons d’abord d’orienter la recherche dans l’active
directory qui contient toutes les infos et en cas d’échecs chercher dans
les utilisateurs internes du réseau.
Figure 21: Sélection des champs de séquence d'identification

TECHNOLOGY &ENERGY
 Le Guest Portal Sequence
Pour cette séquence, on a un plan de recherche plus large car il est

question des invités. Tout d’abord la recherche commence dans les
utilisateurs invités, ensuite se poursuit dans les utilisateurs internes et se
termine enfin dans les terminaux (appareils) internes.
On indique dans la recherche qu’il faudra tout d’abord chercher dans le

répertoire Guest Users (Utilisateurs Invités) puis dans Internal Users
(Utilisateurs Internes) et enfin dans le répertoire Internal Endpoints
(Terminaux Internes).
TECHNOLOGY &ENERGY
4- Configuration des politiques

TECHNOLOGY &ENERGY
Plus haut, lors de nos configurations précédentes, nous avons défini

deux types d’appareils (les appareils câblés et les appareils sans fil) pour
pouvoir mieux organiser notre accès au réseau.
Aux appareils câblés, nous appliquerons le MAB (MAC Authentication

Bypass) et aux sans fils, le DOT1x. Pour ces différents protocoles, il faut
une politique authentification qui permettra d’accéder aux ressources en
se connectant via le câble ou le WLC.
Il consiste, pour les appareils câblés comme sans fils, de créer une liste
d’authentification ou une séquence d’authentification qui permettrait aux
différents protocoles de pouvoir fonctionner.
TECHNOLOGY &ENERGY
Nous jouons ici sur trois essais selon lesquels :
- Le système interroge la liste d’authentification, si cette dernière n’a

pas la réponse, elle passe à la suivante ;
- La liste des utilisateurs, qui est la suivante, est interrogée à son
tour et même scénario dans le cas où elle n’a pas la réponse ;
- Pour finir, le système interroge les la liste des processus afin
d’essayer encore une fois de donner l’accès à la requête de
connexion.
Il s’agit dans cette partie de définir le schéma d’authentification qui

permettra à la fin de décider si l’utilisateur est accepté ou non sur le
réseau.
TECHNOLOGY &ENERGY
TECHNOLOGY &ENERGY
5- Configuration de l’accès invité

TECHNOLOGY &ENERGY
Un portail de sponsor permet à un sponsor de créer des comptes

temporaires pour des invités, des visiteurs, des sous-traitants, des
consultants ou des clients, afin de se connecter via HTTP ou HTTPS afin
d'accéder au réseau. Le réseau peut être un réseau d'entreprise ou un
accès peut fournir un accès à Internet.
Nous rappelons qu’un Sponsor est le responsable de l’utilisation du

portail fourni par Cisco ISE pour créer et gérer les comptes d’invités des
visiteurs autorisés de votre entreprise.
TECHNOLOGY &ENERGY
Les portails Web des utilisateurs finaux de Cisco ISE dépendent des
utilisateurs Administration, Policy Services et Monitoring pour fournir la
configuration, le support de session et les rapports.
 Nœud Administration : les modifications de configuration que

vous apportez aux utilisateurs, aux périphériques et aux portails
d'utilisateurs finaux sont écrites dans le nœud Administration.
 Nœud de services de stratégie : les portails d'utilisateurs finaux

s'exécutent sur un nœud de services de stratégie, qui gère tout le
trafic de session, notamment: accès réseau, approvisionnement
client, services invités, posture et profilage. Si un nœud de service
de stratégie fait partie d'un groupe de nœuds et qu'un nœud
échoue, les autres nœuds détectent l'échec et réinitialisent les
sessions en attente.
TECHNOLOGY &ENERGY
 Nœud de surveillance: le nœud de surveillance collecte, regroupe
et rapporte des données sur l'activité de l'utilisateur final et du
périphérique sur les portails Mes appareils, Sponsor et Invité. Si le
nœud de surveillance principal échoue, le nœud de surveillance
secondaire devient automatiquement le nœud de surveillance
principal.
Créer Sponsor Groupe
Les groupes de sponsors invités contiennent les autorisations et les

paramètres de l'utilisateur du sponsor. Les utilisateurs de sponsors
appartenant à un groupe de sponsors particulier disposent d'un certain
TECHNOLOGY &ENERGY
ensemble d'autorisations et de paramètres lorsqu'ils sont connectés au
portail de sponsors.
Les groupes de sponsors disposent d'autorisations basées sur les rôles

permettant aux sponsors d'autoriser ou de restreindre l'accès à
différentes fonctions du portail de sponsors.
En fonction des autorisations définies pour le groupe de sponsors, un

sponsor peut être autorisé ou limité pour effectuer les opérations
suivantes :
 Créer des comptes d'invités
 Modifier les comptes d'invités
 Suspendre ou rétablir les comptes d'invités
 Voir les détails de l'invité
 Envoyer les détails du compte aux invités par email ou SMS
Les groupes de sponsors sont configurés par votre administrateur

réseau dans le portail d'administration de Cisco ISE.
Les groupes de sponsors contrôlent les autorisations accordées à un

sponsor lors de l'utilisation de tout portail de sponsor. Si un sponsor est
membre d'un groupe de sponsors, il reçoit les autorisations définies dans
le groupe.
TECHNOLOGY &ENERGY
Un sponsor est considéré comme membre d'un groupe de sponsors si

les deux conditions suivantes sont vraies:
1. Le sponsor appartient à au moins un des groupes membres définis

dans le groupe de sponsors. Un groupe de membres peut être un
groupe d'identité d'utilisateur ou un groupe sélectionné à partir
d'une source d'identité externe, telle qu'Active Directory.
2. Le sponsor satisfait à toutes les autres conditions spécifiées dans

le groupe de sponsors. Les autres conditions, qui sont facultatives,
sont des conditions définies sur les attributs de dictionnaire. Le
comportement de ces conditions est similaire à celui utilisé dans
une stratégie d'autorisation.
Un sponsor peut être membre de plusieurs groupes de sponsors. Si tel

est le cas, le sponsor reçoit les autorisations combinées de tous ces
groupes, comme suit:
 Une autorisation individuelle telle que "Supprimer les comptes

d'invités" est accordée si elle est activée dans l'un des groupes.
 Le sponsor peut créer des invités en utilisant les types d'invités de

n'importe quel groupe.
TECHNOLOGY &ENERGY
 Le sponsor peut créer des invités aux emplacements de n’importe
quel groupe.
 Pour une valeur numérique telle qu'une limite de taille de lot, la

plus grande valeur des groupes est utilisée.
Si un sponsor n'est membre d'aucun groupe de sponsors, il n'est pas

autorisé à se connecter à un portail de sponsors.
 ALL_ACCOUNTS — Les sponsors peuvent gérer tous les comptes

d'invités.
 GROUP_ACCOUNTS — Les sponsors peuvent gérer les comptes

d'invités créés par des sponsors du même groupe de sponsors.
 OWN_ACCOUNTS: les sponsors ne peuvent gérer que les

comptes d’invités qu’ils ont créés.
Vous pouvez personnaliser les fonctionnalités disponibles pour des

groupes de sponsors particuliers afin de limiter ou d'étendre les
fonctionnalités du portail de sponsors. Créer des comptes de sponsors et
affecter des groupes de sponsors
Pour créer des comptes utilisateur de sponsor internes et spécifier les

sponsors pouvant utiliser les portails de sponsor:
Procédure
Étape1 Choisissez Administration > Gestion des

identités > Identités > Utilisateurs.
Attribuez le compte d'utilisateur du sponsor interne au groupe

TECHNOLOGY &ENERGY
d'identité d'utilisateur approprié.
Remarque La valeur Guest_Portal_Sequence par défaut du

groupe d'identité est attribuée aux groupes
d'identité.
Étape2 Choisissez Centres de travail > Accès invité > Portails et

composants > Groupes de sponsors > Créer, Modifier ou
dupliquer, puis cliquez sur Membres. Mappez les groupes
d’identité d’utilisateur parrain par groupe.
TECHNOLOGY &ENERGY
TECHNOLOGY &ENERGY
Outre la création de nouveaux types d'invités, vous pouvez modifier les
privilèges et paramètres d'accès par défaut des types d'invités. Les
modifications que vous apportez sont appliquées aux comptes d'invités
existants créés à l'aide de ce type d'invité. Les utilisateurs invités
connectés ne verront pas ces modifications tant qu'ils ne se seront pas
déconnectés puis reconnectés. Vous pouvez également dupliquer un
type d'invité pour créer d'autres types d'invités avec les mêmes
privilèges d'accès.
Pour un compte invité existant, les attributs sont configurés pour ce

compte par le type d'invité.
Si vous apportez des modifications à un type d'invité, les comptes

d'invité actifs utiliseront tous les attributs du type d'invité mis à jour, y
compris les heures, les dates et la durée d'accès par défaut, qui peuvent
ensuite être modifiés. De plus, les champs personnalisés du type d'invité
d'origine sont copiés dans le type d'invité mis à jour.
Chaque type d'invité a un nom, une description et une liste de groupes

de sponsors pouvant créer des comptes d'invité avec ce type
d'invité. Vous pouvez désigner certains types d’invités comme suit:
utilisez cette option uniquement pour les invités auto-enregistrés ou ne
créez pas de compte Invité (par un groupe de sponsors).
Procédure
Remplissez les champs suivants.
 Nom du type d'invité - Indiquez un nom (de 1 à 256 caractères)

permettant de distinguer ce type d'invité des autres types
TECHNOLOGY &ENERGY
d'invités.
 Description - Fournissez des informations supplémentaires (2

000 caractères maximum) sur l'utilisation recommandée de ce
type d'invité, par exemple, Utiliser pour les invités auto-
enregistrés. Ne pas utiliser pour la création de compte Invité, etc.
 Fichier de langue —Ce champ vous permet d'exporter et

d'importer le fichier de langue, qui contient le contenu de l'objet,
du message et des messages SMS dans toutes les langues
prises en charge. Ces langues et contenus sont utilisés dans les
notifications relatives à un compte arrivé à expiration et sont
envoyés aux invités affectés à ce type d'invité. Si vous créez un
nouveau type d'invité, cette fonctionnalité est désactivée jusqu'à
ce que vous enregistriez le type d'invité. Pour plus d'informations
sur la modification du fichier langue, voir Personnalisation de la
langue du portail .
 Collecter des données supplémentaires —Cliquez sur

le bouton Champs personnalisés ... pour sélectionner les
champs personnalisés à utiliser pour collecter des données
supplémentaires d'invités utilisant ce type d'invité.
Pour gérer les champs personnalisés, choisissez Centres de

travail > Accès invité > Paramètres > Champs personnalisés.
 Temps d'accès maximal
o La durée du compte commence —Si vous sélectionnez À

partir de la première connexion, l'heure de début du
compte commence lorsque l'utilisateur invité se connecte
pour la première fois au portail invité, et l'heure de fin est
égale à la durée configurée. Si l'utilisateur invité ne se
TECHNOLOGY &ENERGY
connecte jamais, le compte reste dans l' Awaiting first login
état jusqu'à ce que la stratégie de purge du compte invité
supprime le compte.
Les valeurs vont de 1 à 999 jours, heures ou minutes.
Le compte d'un utilisateur auto-enregistré commence lorsqu'il crée et se

connecte à son compte.
Si vous sélectionnez À partir de la date spécifiée par le sponsor,

entrez le nombre maximal de jours, d'heures ou de minutes auquel les
invités de ce type d'invité peuvent accéder et rester connectés au

réseau.
Si vous modifiez ces paramètres, vos modifications ne s'appliqueront

pas aux comptes d'invités existants créés à l'aide de ce type d'invité.
o Durée maximale du compte: saisissez le nombre de jours,

d'heures ou de minutes pendant lequel les invités affectés à
ce type d'invité peuvent se connecter.
Remarque La stratégie de purge de compte recherche les comptes

d'invité expirés et envoie une notification
d'expiration. Cette stratégie s'exécute toutes les 20
minutes. Par conséquent, si vous définissez une durée de
compte inférieure à 20 minutes, il est possible que des
notifications d'expiration ne soient pas envoyées avant la
purge du compte.
o Vous pouvez spécifier la durée et les jours de la semaine

auxquels l'accès est fourni aux invités de ce type d'invité à
TECHNOLOGY &ENERGY
l'aide de l'option Autoriser l'accès uniquement pour ces
jours et ces heures.
 Les jours de la semaine que vous sélectionnez

limitent l'accès aux dates pouvant être sélectionnées
dans le calendrier du sponsor.
 La durée maximale du compte est appliquée sur le

portail du sponsor, lorsque celui-ci choisit la durée et
les dates.
Les paramètres que vous définissez ici pour la durée d'accès affectent
les paramètres de temps disponibles sur le portail du sponsor lors de la
création d'un compte invité. Pour plus d'informations, voir Configuration
des paramètres de temps disponibles pour les sponsors .
 Options de connexion
o Nombre maximal de connexions simultanées: saisissez

le nombre maximal de sessions utilisateur pouvant être
exécutées simultanément par les utilisateurs associés à ce
type d'invité.
o Lorsque l'invité dépasse la limite —Lorsque vous

sélectionnez Nombre maximal de connexions
simultanées, vous devez également sélectionner l'action à
o exécuter lorsqu'un utilisateur se connecte après avoir atteint

le nombre maximal de connexions.
TECHNOLOGY &ENERGY
 Déconnectez la connexion la plus ancienne
 Déconnectez la connexion la plus récente -

Sélectionnez éventuellement Rediriger l'utilisateur
vers une page de portail affichant un message
d'erreur : un message d'erreur s'affiche pendant une
durée configurable, puis la session est déconnectée et
l'utilisateur est redirigé vers le portail Invité. Le
contenu de la page d'erreur est configuré dans la
boîte de dialogue Personnalisation de la page de
portail, sur la page Messages > Messages d'erreur.
o Nombre maximal de périphériques pouvant être enregistrés

par les invités: entrez le nombre maximal de périphériques
pouvant être enregistrés sur chaque invité. Vous pouvez
définir la limite sur un nombre inférieur à celui déjà
enregistré pour les invités de ce type d'invité. Cela ne
concerne que les comptes Invité nouvellement
créés. Lorsqu'un nouveau périphérique est ajouté et que le
maximum est atteint, le périphérique le plus ancien est
déconnecté.
o Groupe d'identité de point final pour l'enregistrement de

périphérique invité: choisissez un groupe d'identité de
point final à affecter aux périphériques invités. Cisco ISE
fournit le groupe d'identité de point final GuestEndpoints à
utiliser par défaut. Vous pouvez également créer davantage
de groupes d'identité de points de terminaison si vous
choisissez de ne pas utiliser les valeurs par défaut.
o Autoriser l'invité à contourner le portail Invité - Permet

TECHNOLOGY &ENERGY
aux utilisateurs de contourner le portail captif de type invité
authentifié (page d'authentification Web) et à accéder au
réseau en fournissant des informations d'identification aux
demandeurs ou aux clients VPN câblés et sans fil
(dot1x). Les comptes d'invités passent à l'Active état, en
contournant l' Awaiting Initial Login état et la page AUP,
même si celui-ci est requis.
Si vous n'activez pas ce paramètre, les utilisateurs doivent d'abord se

connecter via le portail captif invité authentifié avant de pouvoir accéder
à d'autres parties du réseau.
 Notification d'expiration du compte
o Envoi d'une notification d'expiration de compte __ jours

avant l'expiration du compte - Envoyez une notification
aux invités avant l'expiration de leur compte et spécifiez le
nombre de jours, d'heures ou de minutes avant l'expiration.
o Afficher les messages en —Spécifiez la langue à utiliser

lors de l'affichage des notifications par e-mail ou SMS lors
de leur configuration.
o Email: envoie les notifications d'expiration de compte par

courrier électronique.
o Utiliser la personnalisation à partir de - Appliquez les

mêmes personnalisations que vous avez configurées pour
le portail sélectionné aux e-mails d'expiration du compte de
ce type d'invité.
o Copier le texte à partir de: réutilisez le texte que vous

TECHNOLOGY &ENERGY
avez créé pour l'e-mail d'expiration de compte d'un autre
type d'invité.
o Envoyez-moi un email de test à
o SMS —Envoie les avis d'expiration de compte par SMS.
Les paramètres qui suivent pour les SMS sont les mêmes que pour les
notifications par courrier électronique, sauf que vous choisissez une
passerelle SMS pour envoyer un SMS test à moi.
 Groupes de sponsors —Spécifiez les groupes de sponsors dont

les membres peuvent créer un compte invité à l'aide de ce type
d'invité. Supprimez les groupes de sponsors que vous ne
souhaitez pas accéder à ce type d'invité.
Chaque compte invité doit être associé à un type d'invité. Les types
d'invités permettent à un sponsor d'attribuer différents niveaux d'accès et
TECHNOLOGY &ENERGY
différents temps de connexion réseau à un compte invité. Ces types
d'invités sont associés à des stratégies d'accès au réseau
particulières. Cisco ISE inclut les types d'invité par défaut suivants:
 Entrepreneur: utilisateurs qui ont besoin d’accéder au réseau

pendant une période prolongée, jusqu’à un an.
 Quotidien: invités ayant besoin d'accéder aux ressources du

réseau pendant 1 à 5 jours seulement.
 Hebdomadaire: utilisateurs ayant besoin d'accéder au réseau

pendant quelques semaines.
Lors de la création de comptes d'invités, certains groupes de sponsors

peuvent être limités à l'utilisation de types d'invités spécifiques. Les
membres d'un tel groupe peuvent créer des invités avec uniquement les
fonctionnalités spécifiées pour leur type d'invité. Par exemple, le groupe
de sponsors, ALL_ACCOUNTS, peut être configuré pour utiliser
uniquement le type d'invité entrepreneur et les groupes de sponsors,
OWN_ACCOUNTS et GROUP_ACCOUNTS, pour utiliser les types
d'invités quotidien et hebdomadaire. De plus, étant donné que les invités
auto-inscrits utilisant le portail Invité auto-enregistré n'ont généralement
besoin que d'un accès pendant une journée, vous pouvez leur attribuer
le type Invité quotidien.
Le type d'invité définit le groupe d'identité d'utilisateur pour un invité.

TECHNOLOGY &ENERGY
TECHNOLOGY &ENERGY
TECHNOLOGY &ENERGY
Chapitre 7 : Bilan
Au terme de notre analyse, nous pouvons affirmer que la solution répond

de manière exiguë aux besoins exprimés par l’entreprise. En effet, la
solution offre une sécurité à trois niveaux avec les AAA qui permettent à
la fois de gérer l’authentification, l’autorisation et la comptabilité avec des
TECHNOLOGY &ENERGY
protocoles en arrière-plan. L’utilisation de la segmentation de la
fonctionnalité trustSec permet la différenciation de chaque utilisateur du
réseau grâce à l’utilisation des balises de groupe de sécurité (SGT) qui
se propagent dans le réseau à travers tous les nœuds de ce dernier.
Grace à son onglet alarm, la solution nous permet d’être avertis en
temps réel des intrus, des malwares et des attaques.
Le besoin étant de fournir un accès sécurisé au réseau local et optimiser

les connexions à distance en vue de garantir une protection et une haute
disponibilité, la solution mise en œuvre comporte des fonctionnalités
diverses qui lui permette de répondre au mieux aux questions de
sécurité d’accès et de ressources disponibles sur l’ensemble du
territoire.
Par contre, nous avons rencontrés de petits problèmes notamment au

niveau de la jointure des nœuds de ISE et du service d’annuaire, et de
l’enregistrement des appareils réseau.
Problèmes liés au nom d’utilisation et au mot de passe qui pourraient
bien être déjà utilisés ou encore trop facile à pirater.
CONCLUSION
Ce mémoire avait pour ambition de répondre à un besoin exprimé par

l’entreprise CFAO, en se demandant s’il pouvait avoir une solution de
contrôle permettant de sécuriser les accès à son réseau tout en ayant un
rapport quotidien de l’utilisation de ses ressources et l’historique de
connexion des différents terminaux.
TECHNOLOGY &ENERGY
Il a fallu dans un premier temps définir la notion même de contrôle
d’accès à un réseau, énumérer les caractéristiques du contrôle d’accès
et mettre en lumière les vulnérabilité d’un réseau d’entreprise.
Au moyen de l’état de l’art de l’existant et d’une étude comparative qui

sont parties de l’étude technique, mais aussi des différents objectifs, il a
été possible de se lancer dans ce travail minutieux. Ainsi, les limites du
système existant couplées à l’envie d’un contrôle des accès à grande
échelle, dénotaient une volonté d’acquérir une solution pouvant à la fois
contrôler l’accès et fournir un rapport quotidien des activités sur le
réseau.
Il convenait alors de s’intéresser à une nouvelle méthode de contrôle

d’accès. Un parti fort a été adopté dans cette étape, celui de rendre plus
complexe l’adhésion au réseau tout en facilitant la supervision, et de
confronter les différentes options possibles allant dans le sens de la
pensée.
L’idée selon laquelle le filtrage d’adresses MAC n’est pas une méthode
de contrôle suffisante sur laquelle s’appuyer devrait être certifiée.
Comme le dit si justement bon nombre d’administrateurs réseau, une
bonne politique de sécurité ne doit donc pas reposer sur le filtrage
d’adresses MAC puisque dans le cadre d’une connexion réseau celle-ci
n’est que logicielle.
La solution Cisco ISE mise en œuvre nous permet de sécuriser l’accès

au réseau de l’entreprise en fournissant un contrôle à trois niveaux qui
par de l’authentification en passant par l’autorisation et qui se termine
par la comptabilité. Toutes ces séquences nous ont permis de maintenir
et d’assurer la confidentialité, l’intégrité et la disponibilité des données
mais aussi de pouvoir catégoriser et différencier chaque utilisateur du
réseau afin de leur dédier un espace propre.
TECHNOLOGY &ENERGY
Ce travail de mémoire se voulait principalement technique, mais dans
cette nouvelle perspective, il serait pertinent de procéder à une étude
transdisciplinaire mettant en exergue le rôle de tous les systèmes de
contrôle d’accès en proposant une norme ou une unique solution de
contrôle d’accès.
WEBOGRAPHIE
cisco. (2016). Comment configurer le Cisco TrustSec (SGTs) utilisant

Cisco ISE (étiquetage d’en ligne). https://cisco.com
Cisco. (2016). Configure-ISE-2-1-Profiling-Services. cisco.com.

https://cisco.com
CISCO. (2016, 3 août). Configurez les services de profilage ISE 2.1

basés sur la sonde d’AD -. https://www.cisco.com/
Cisco. (s. d.). 802.1x DACL, ACL de Par-utilisateur, Filtre-ID, et

comportement de cheminement de périphérique. Consulté 17 octobre
2019, à l’adresse https://cisco.com
Cisco. (2016). ISE Access portail administratif avec l’exemple de

configuration de qualifications d’AD. cisco.com. https://cisco.com
cisco. (2016a). Manage Users and External Identity Sources.

https://cisco.com
cisco. (2016b, janvier). Configurez ISE 2.0 : Autorisation

d’authentification et de commande IOS TACACS+ basée sur l’adhésion
à des associations d’AD. cisco.com. https://cisco.com
TECHNOLOGY &ENERGY
TABLE DES MATIERES
Chapitre

Pfe Final Correction

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Pfe Final Correction

Transféré par

Droits d'auteur :

Formats disponibles

CONCEPTION ET MISE EN ŒUVRE D’UNE SOLUTION DE

CONTRÔLE D’ACCES AU RESEAU : CAS DE CFAO

Je tiens à dédicacer ce projet de fin d’étude à toute ma famille, celle qui

Je tiens à remercier toutes les personnes qui ont contribué au succès de

Je voudrais dans un premier temps remercier, mon directeur de

Je remercie également toute l’équipe pédagogique de l’ENSIT et les

Je tiens à témoigner toute ma reconnaissance aux personnes suivantes,

Messieurs Fabrice DAO, Emile N’GUESSAN et Hypolite N’ZUE pour

Mademoiselle Becanthy LANDJI, pour avoir relu et corrigé mon

Mes parents, pour leur soutien constant et leurs encouragements.

LISTE DES FIGURES

INTRODUCTION & PROBLEMATIQUE

Première Partie : CADRE DE REFERENCE

CHAPITRE I : PRESENTATION DE L’ENTREPRISE

CHAPITRE II : CAHIER DES CHARGES DU PROJET

Deuxième Partie : ETUDE TECHNIQUE

CHAPITRE III : ETAT DE L’ART DE L’EXISTANT

CHAPITRE IV : ETUDE COMPARATIVE

CHAPITRE V : INTRODUCTION ET PRESENTATION DE LA

Troisième Partie : MISE EN OEUVRE DE LA SOLUTION

CHAPITRE VI : CONFIGURATIONS ET INTEGRATION DE LA

CHAPITRE VII : BILAN ET EVALUATION DU PROJET

TABLE DES MATIERES

Plusieurs entreprises exerçant dans le domaine informatique rencontrent

Pour répondre à la problématique, une étude comparative a été

BYOD Bring Your Own Device

CFAO Compagnie Française de l’Afrique de l’Ouest

DACL Downloadable Acces Control List

DHCP Dynamic Host Configuration Protocol

EAP Extensible Authentication Protocol

HTTPS HyperText Transfert Protocol Secure

ISE Identity Services Engine

LDAP Lightweight Directory Acces Protocol

MAC Media Acces Control

NTP Network Time Protocol

RADIUS Remote Authentication Dial In User Service

SGACL Security Group Access Control List

SGT Security Group Tag

SNMP Simple Network Management Protocol

SSH Secure SHell

LISTE DES FIGURES

Figure 1:Commande permettant la config de base.................................37

Depuis l’indépendance de la Côte d’Ivoire, les autorités

L'ENSIT offre un cursus universitaire qui a pour mission de former des

Pour atteindre ses objectifs, l'ENSIT s'appuie sur des enseignants-

L'intégration à l'ENSIT, comme pour toute autre école d'ingénieurs, se

 une direction académique ;

 une direction des études ;

 une direction des stages ;

 un département d'études des sciences informatiques.

INTRODUCTION & PROBLEMATIQUE

Le contrôle d'accès logique est un système de sécurité de l'information. Il

- La définition d’une politique de sécurité,

Le nombre d’appareils connectés et la pluralité de réseau sont des

Dans le cadre de son déménagement, CFAO TECHNOLOGIES a

Pour mener à bien ce projet, il nous a été demandé de contribuer à sa

Première Partie : CADRE DE REFERENCE

CHAPITRE I : PRÉSENTATION DE L’ENTREPRISE

1.1. Présentation de CFAO TECHNOLOGIES CI

CFAO TECHNOLOGIES est une division du groupe CFAO, lui-même

Créée en 2002, CFAO Technologies opère aujourd’hui dans 21 pays

CFAO TECHNOLOGIES Côte d’Ivoire (CI), maintenant connu sous le

- Capital : 1.200.000.000 FCFA